証明書管理について推奨する運用方法
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Microsoft System Center Configuration Manager 2007 のネイティブ モードを使用する場合は、PKI によって作成された証明書を使用します。モバイル デバイスを使用しているか、カスタムのソフトウェアの更新を管理している場合にも、PKI 証明書を使用することがあります。
PKI を慎重に計画して保護する 既存の PKI がある場合は、Configuration Manager 2007 がその PKI によって発行された証明書を使用できるようにする必要があります。既存の PKI がなく、PKI を実装して Configuration Manager 2007 をサポートする場合は、PKI 実装を非常に慎重に計画する必要があります。たとえば、PKI 階層で安全なルート CA を適切に計画できなかった場合、CA が発行するすべての証明書が侵害される可能性があります。考えられる今後の PKI 要件を考慮することなく 1 つのアプリケーションをサポートするように PKI を設計すると、PKI を分離し、再展開することを強いられる可能性があります。これにより、Configuration Manager 2007 のセキュリティと可用性が低下する場合があります。PKI の計画と保護については、PKI ベンダのマニュアルを参照してください。
証明書管理について業界や組織で推奨される運用方法に従う Configuration Manager 2007 には、証明書管理に関する特定の要件がありません。たとえば、Configuration Manager 2007 では、キーの長さの下限、証明書の有効期限の上限、発行ポリシーに関する推奨はありません。
ネイティブ モード クライアントで CRL チェックを 有効にする 発行された証明書が侵害されたか、侵害が疑われる場合などは、証明機関管理者によって証明書を失効させることができます。クライアントで証明書失効確認 (CRL) を有効にすると、パフォーマンスおよび管理のオーバーヘッドが増えますが、より安全になります。詳細については、「クライアントで証明書失効確認 (CRL) を有効にするかどうかを判断する (ネイティブ モード)」を参照してください。
注意
IIS では CRL チェックが既定で有効になっているので、ネイティブ モードの Configuration Manager 2007 サイト システムでさらに操作する必要はありません。
クライアント認証証明書の整合性を保護する Configuration Manager 2007 では、任意の証明書ストアからクライアント認証証明書を使用できます。証明書ストアに対するアクセス許可により、権限の低いユーザーからのアクセスが許可されている場合、その権限の低いユーザーは、証明書を使用して Configuration Manager 2007 ポリシーにアクセスし、ネットワーク アクセス アカウントおよびタスク シーケンス エディタのドメイン参加アカウントの資格情報を取得する可能性があります。その権限の低いユーザーは、そのクライアント コンピュータが送信した状態情報、ステータス情報、およびインベントリ情報を改ざんする可能性もあります。
証明書信頼リストを使用し、信頼されたルート証明機関を定義する 証明書信頼リスト (CTL) は、信頼されたルート証明機関の定義済みリストです。既定では、Windows オペレーティング システムは、VeriSign や Thawte など、よく知られている証明機関の証明書を信頼するように構成されています。これらの証明機関の証明書がオペレーティング システムにプレインストールされているためです。CTL を明示的に定義しなかった場合、プレインストールされた証明機関によってクライアント認証証明書が発行されたすべてのクライアントは、有効な Configuration Manager クライアントとして受け入れられます。CTL を構成した場合は、CTL に指定されている信頼されたルート証明機関のみが Configuration Manager によって信頼されます。詳細については、「IIS で 証明書信頼リスト (CTL) を構成する必要があるかどうかを判断する (ネイティブ モード)」を参照してください。
Active Directory ドメイン サービスを使用してサイト サーバー署名証明書を展開する サイト サーバー署名証明書を受け取るクライアントには、次のオプションがあります。
SMSSIGNCERT パラメータを使用して証明書をインストールするオプション
Active Directory ドメイン サービスに照会するオプション
管理ポイントから自動的に取得するオプション
管理ポイントで自動的に展開するソリューションは最もセキュリティが低いため、管理ポイントのセキュリティに不安がある場合は使用しないでください。たとえば、境界ネットワークに存在してインターネット ベースのクライアントの管理のためにインターネットからの接続を受け入れる管理ポイントは、イントラネット内でイントラネット クライアントからの接続のみを受け入れる管理ポイントよりセキュリティが低いと見なされます。ただし、管理ポイントがイントラネット クライアントからの接続のみを受け入れる場合に、手動展開の管理オーバーヘッドを回避するには、管理ポイントを介してサイト サーバー署名証明書のコピーを自動的に展開することが適切なソリューションである可能性があります。詳細については、「クライアントにサイト サーバー署名証明書を展開する方法を決定する (ネイティブ モード)」を参照してください。
サイト サーバー署名証明書のセキュリティを保護する サイト サーバー署名証明書が侵害されると、その階層のすべてのポリシーが疑わしくなります。ネイティブ モードでも、攻撃者は任意のポリシーを作成し、すべての Configuration Manager 2007 クライアントにおいて高い権限で実行できます。サイト サーバー署名証明書を安全にバックアップしていることを確認してください。重要な証明書の管理では、PKI セキュリティの運用方法に従ってください。たとえば、環境に適した発行ポリシーを検討し、証明書を安全に展開するための計画を作成します。
サイト サーバー署名証明書の更新時には新しいキー ペアを使用する 元のキー ペアを維持すると、管理オーバーヘッドが軽減され、Configuration Manager 2007 サイトの機能が中断されませんが、攻撃者がキーを解読するために使用できる時間が長くなります。新しいサイト サーバー署名証明書が、以前のサイト サーバー署名証明書と同じ信頼されたルート機関にチェーンする場合、Configuration Manager 2007 クライアントは、Active Directory ドメイン サービスまたは管理ポイントから新しいサイト サーバー署名証明書のコピーを自動的にダウンロードします。クライアントは、新しいサイト サーバー署名証明書によって署名されたポリシーを検証し、機能し続けます。これでは、特に、多くのクライアントが新しい証明書を取得する必要がある場合に、クライアントによる新しいポリシーの受信が遅れることがあります。詳細については、「サイト サーバー署名証明書の更新または変更」を参照してください。
注意
サイト サーバー署名証明書が 10 日以内に失効する場合、Configuration Manager 2007 はステータス メッセージ 5112 を 1 日に 1 回送信します。5112 を受信したときの動作をトリガする、ステータス フィルタの規則を作成できます。たとえば、証明書が近く失効することを通知するテキスト メッセージを送信するようにステータス フィルタの規則を構成できます。
すべての証明書が安全な証明書ストアに格納されていることを確認する 既定では、Configuration Manager 2007 はクライアント認証証明書をローカル コンピュータの個人用ストアで検索しますが、これは管理者アクセスに制限されています。しかし、任意のコンピュータの証明書ストアにあるクライアント証明書を使用することが可能です。クライアント認証証明書を格納するストアを適切に保護しなかった場合、権限の低いユーザーが証明書を制御する可能性があります。
参照:
その他のリソース
Configuration Manager について推奨するセキュリティ運用方法
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.