クライアントの証明書失効確認 (CRL) を有効または無効にする方法
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
ネイティブ モード サイトの Configuration Manager 2007 クライアント コンピュータで証明書失効確認を有効または無効にするには、次の手順に従います。
注意
モバイル デバイス クライアントでは、証明書失効リストは使用されません。
Configuration Manager サイトがネイティブ モードでインストールされている場合の既定のサイト設定では、ネイティブ モードのサイト システムと通信が正しく確立する前にクライアントが証明書失効リスト (CRL) を確認するようになっています。Configuration Manager サイトが混在モードでインストールされていて、ネイティブ モードに移行する場合、この設定は既定で無効になっています。個々のクライアントのこの設定を確認するには、「ネイティブ モードとインターネット ベースのクライアント管理でクライアント構成の詳細を特定する方法」を参照してください。Configuration Manager 2007 のネイティブ モード サイト システムの CRL チェックを構成することはできません。この設定は既定で有効になっており、IIS 構成とともに継承されます。
重要
CRL の発行および保守は公開キー基盤 (PKI) の不可欠な部分であり、Configuration Manager 2007 とは独立した要素です。Configuration Manager クライアント上での CRL チェックは、お使いのインフラストラクチャでサポートできることを確認してから行ってください。たとえば、インターネット ベースのクライアント管理を使用している場合で、ネイティブ モードのサイト システムの発行元証明機関がイントラネット上にある場合は、CRL がインターネットからアクセスできることを確認する必要があります。
クライアント上での CRL チェックの構成では、2 つの手順がサポートされています。使用している環境に適した手順を選択してください。ただし、タスク シーケンス アクションの結果実行されるクライアント機能では、クライアントが Configuration Manager 2007 SP2 より前のバージョンを実行している場合には必ず CRL チェックが行われます。2 つの手順は次のとおりです。
オプションをサイト プロパティとして構成します。Active Directory ドメイン サービスに発行されたサイト プロパティにアクセスできるクライアント コンピュータには、このオプションが自動で定期的に構成されます (サイトの割り当て時、クライアントの毎回の起動時、25 時間ごとなど)。クライアント プッシュ インストール方法を使用してインストールされたクライアントは、インストール時にのみこのオプションが構成されます。
インストールされたクライアントに Active Directory ドメイン サービスを使用して設定を行うには、次の条件をすべて満たす必要があります。
Active Directory ドメイン サービスは、Configuration Manager 2007 のスキーマ拡張で拡張する必要があります。
サイトは、Active Directory ドメイン サービスに発行している必要があります。
クライアントは、イントラネット上に存在する必要があります。
クライアントは、サイト サーバーと同じ Active Directory フォレストにある必要があります。
CCMSetup.exe コマンド ライン オプションを使用して、設定を指定します。CCMSetup のオプションは、クライアントを初めてインストールする場合、またはインストール後に実行するスクリプトとして指定する場合に使用できます (後者の場合は、新しい構成でクライアントが再インストールされます)。クライアントがすでにインストールされている場合は、ソフトウェア配布機能を使用してクライアントに CCMSetup コマンドを送信するか、または Configuration Manager 2007 タスク シーケンスを使用して実行することができます。
注意
CCMSetup で指定された設定が Active Directory ドメイン サービスに発行された設定と競合し、クライアントが Active Directory ドメイン サービスの設定にアクセスできる場合は、Active Directory ドメイン サービスからの設定が優先され、CCMSetup で指定された設定は使用されません。
さらに、社内のクライアント管理ツールを使用して設定を指定することもできます。たとえば、標準的なビルド イメージに設定を組み込んだり、レジストリを編集するカスタム スクリプトを展開したりすることが可能です。
設定をサイト プロパティとして構成し、クライアントで証明書失効確認 (CRL) を構成するには
Configuration Manager コンソールで、[System Center Configuration Manager]、[サイト データベース]、[サイトの管理]の順に移動します。
<サイト コード> - <サイト コード> を右クリックし、[プロパティ] をクリックします。
サイト プロパティのダイアログ ボックスの [サイト モード] タブで、[クライアントの CRL チェックを有効にする] を選択またはキャンセルします。
[OK] をクリックします。
CCMSetup.exe コマンド ライン オプションを使用して設定を指定し、クライアントで証明書失効確認 (CRL) を構成するには
CRL チェックを有効にするには、コマンド ライン プロパティ /native:CRL (ネイティブ モード通信および CRL チェックの場合) または /native:CRLANDFALLBACK (ネイティブ モード通信、CRL チェック、ローミングとサイトの割り当てのための HTTP 通信の場合) を指定して CCMSetup.exe を実行します。
CRL チェックを無効にするには、コマンド ライン プロパティ /native:(CRL チェックなしでネイティブ モード通信を行う場合) または /native:FALLBACK (CRL チェックなしで、ネイティブ モード通信およびローミングとサイトの割り当てのための HTTP 通信を行う場合) を指定して CCMSetup.exe を実行します。
CCMSetup インストール プロパティの詳細については、「Configuration Manager クライアント インストールのプロパティについて」を参照してください。
参照:
タスク
ネイティブ モードとインターネット ベースのクライアント管理でクライアント構成の詳細を特定する方法
クライアント プッシュを使用した Configuration Manager クライアントのインストール方法
概念
クライアントで証明書失効確認 (CRL) を有効にするかどうかを判断する (ネイティブ モード)
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.