ネイティブ モードの証明書要件
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Configuration Manager 2007 サイトをネイティブ モードで実行するために必要な公開キー基盤 (PKI) 証明書を以下の各表に示します。この情報は、PKI 証明書の基本的な知識があることを前提にしています。PKI の参照と展開のトピックの詳細については、「ネイティブ モードで必要な PKI 証明書の展開」を参照してください。
Microsoft の PKI ソリューションを使用している場合は、証明書テンプレートを使用するとこれらの証明書の管理が容易になります。テンプレートに基づく証明書を発行できるのは、Windows Server 2003 または Windows Server 2008 の Enterprise Edition または Datacenter Edition で実行されているエンタープライズ証明機関だけです。ただし、バージョン 3 のテンプレート (Windows Server 2008、Enterprise Edition) は使用しないでください。これらの証明書テンプレートで作成される証明書は、Configuration Manager と互換性がありません。ネイティブ モードで実行する Configuration Manager で必要な証明書の展開用の証明書テンプレートの使用方法については、次のトピックを参照してください。
Configuration Manager のネイティブ モードで必要な PKI 証明書の展開手順の例:Windows Server 2008 証明機関
Configuration Manager のネイティブ モードで必要な PKI 証明書の展開手順の例:Windows Server 2003 証明機関
重要
サイトをネイティブ モードで運用する前に、証明書を適所に配置する必要があります。Configuration Manager は、セットアップ時にネイティブ モードが選択されるか、セットアップ後にサイトがネイティブ モードに移行された場合に、サイト サーバー署名証明書の検証を試みます。ただし、Configuration Manager は、ネイティブ モードの運用に必要なその他の証明書を検証できません。
Configuration Manager のネイティブ モード準備ツールを手動で実行して、クライアント コンピュータがネイティブ モードに対応しているかどうかを検証できます。このツールの詳細については、「クライアント コンピュータがネイティブ モードに対応しているかどうかを確認する方法」を参照してください。ネイティブ モードに必要な証明書
| Configuration Manager コンポーネント | 証明書の使用 | 使用する Microsoft 証明書テンプレート | 証明書の固有情報 | Configuration Manager での証明書の使用方法 |
|---|---|---|---|---|
プライマリ サイト サーバー |
ドキュメントの署名 |
ドキュメントの署名用の既定のテンプレートはありません。すべてのバージョン 2 (v2) テンプレートを使用できます。この場合は、不要な使用目的を削除したり、ドキュメント署名機能を追加したりして使用します。 |
[拡張キー使用法] の値に "ドキュメントの署名 (1.3.6.1.4.1.311.10.3.12)" が含まれている必要があります。 [サブジェクト名] フィールドに次の文字列が含まれている必要があります。The site code of this site server is <XXX>.<XXX> は、サイト サーバーのサイト コードで置き換えます。 注意 この証明書の発行には、大文字小文字が同じで、末尾にピリオドが付かない、このとおりの英語の文字列が必要です。また、サイト コードは、Configuration Manager コンソールに表示される場合と同様に、この文字列の末尾に指定する必要があります。 ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 サポートされるキーの最大長は 8096 ビットです。 |
この証明書は、コンピュータ証明書ストア内の個人用ストアに保存されている必要があります。 サイト サーバー署名証明書が署名したポリシーを、クライアントが管理ポイントからダウンロードします。この署名により、クライアントは割り当てられたサイトからのポリシーであることを認識できます。 この証明書は、セカンダリ サイト サーバーでは不要です。 クライアントが署名入りのポリシーを受け入れるには、クライアントにこの証明書のコピーが存在している必要があります。詳細については、「クライアントにサイト サーバー署名証明書を展開する方法を決定する (ネイティブ モード)」を参照してください。 |
サイト システムの役割:
|
サーバー認証 注意 次の行で詳述するように、管理ポイントおよび状態移行ポイントにも、クライアント認証機能のある証明書が必要です。 |
Web サーバー |
[拡張キー使用法] の値に "サーバー認証 (1.3.6.1.5.5.7.3.1)" が含まれている必要があります。 サイト システムがインターネットからの接続を受け入れる場合は、サブジェクト名やサブジェクトの別名にインターネット完全修飾ドメイン名 (FQDN) が含まれる必要があります。 サイト システムがイントラネットからの接続を受け入れる場合は、サイト システムの構成方法に応じて、サブジェクト名やサブジェクトの別名にイントラネット FQDN (推奨) またはコンピュータの NetBIOS 名が含まれる必要があります。 サイト システムがインターネットとイントラネット両方からの接続を受け入れる場合は、インターネット FQDN と イントラネット FQDN (またはコンピュータの NetBIOS 名) の両方をアンパサンド (&) 記号で区切って指定する必要があります。 重要 ソフトウェアの更新ポイントがクライアント接続をインターネットのみから受け付ける場合、証明書にインターネット FQDN およびイントラネット FQDN の両方が含まれている必要があります。 ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 Configuration Manager では、この証明書でサポートされるキーの最大長が指定されません。この証明書のキー サイズ関連問題については、使用している PKI および IIS のドキュメントを参照してください。 |
この証明書は、コンピュータ証明書ストア内の個人用ストアに保存されている必要があります。 この Web サーバー証明書は、これらのサーバーをクライアントに対して認証するのに使用されます。また、クライアントとこれらのサーバーの間で転送されるすべてのデータを SSL (Secure Sockets Layer) で暗号化するのにも使用されます。 |
クライアント コンピュータ |
クライアント認証 |
コンピュータまたはワークステーション |
[拡張キー使用法] の値に "クライアント認証 (1.3.6.1.5.5.7.3.2)" が含まれている必要があります。 クライアント コンピュータには、[サブジェクト名] フィールドまたは [サブジェクトの別名] フィールドに一意の値が必要です (Microsoft 証明書テンプレートを使用している場合は、サブジェクトの別名はワークステーション テンプレートでのみ利用可能です)。 注意 サブジェクトの別名に複数の値を使用している場合は、最初の値のみが使用されます。 ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 サポートされるキーの最大長は 2048 ビットです。 |
既定では、Configuration Manager はコンピュータ証明書ストア内の個人用ストアでコンピュータの証明書を検索します。この既定値を変更する場合は、「クライアント証明書ストアの指定方法」を参照してください。 この証明書により、クライアントが次のサーバーに対して認証されます。
Configuration Manager 2007 クライアントがこれらのサイト システムにインストールされていない場合でも、これらの役割の正常性が監視され、サイト サーバーに報告されるように、この証明書が管理ポイントおよび状態移行ポイントでも必要になります。これらのサイト システム用のこの証明書は、コンピュータ証明書ストアの個人用ストアに保存されている必要があります。 |
モバイル デバイス クライアント |
クライアント認証 |
認証されたセッション |
拡張キー使用法の値に "クライアント認証 (1.3.6.1.5.5.7.3.2)" が含まれている必要があります。 ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 サポートされるキーの最大長は 2048 ビットです。 重要 これらの証明書は Distinguished Encoding Rules (DER) encoded binary X.509 形式である必要があります。 Base64 encoded X.509 形式はサポートされません。 |
この証明書は個人用ストアに保存されている必要があります。 この証明書により、モバイル デバイス クライアントが次のサーバーに対して認証されます。
|
ネイティブ モード用の追加の証明書が必要なコンポーネント
ネイティブ モード サイトで次のオプション コンポーネントをサポートする場合は、追加の証明書が必要になります。
ネットワーク負荷分散管理ポイントまたはネットワーク負荷分散ソフトウェアの更新ポイント
インターネット ベースのクライアント管理用のプロキシ サーバー
オペレーティング システムの展開機能
モバイル デバイス
次の各セクションでは、これらの追加コンポーネントに必要な証明書について説明します。
ネットワーク負荷分散管理ポイントまたはネットワーク負荷分散ソフトウェアの更新ポイント
サイトがネットワーク負荷分散管理ポイントまたはネットワーク負荷分散ソフトウェアの更新ポイントをサポートしている場合は、次の表に示す追加の証明書要件があります。
| Configuration Manager コンポーネント | 証明書の使用 | 使用する Microsoft 証明書テンプレート | 証明書の固有情報 | Configuration Manager での証明書の使用方法 |
|---|---|---|---|---|
管理ポイントまたはソフトウェアの更新ポイントのネットワーク負荷分散 (NLB) クラスタ |
サーバー認証 |
Web サーバー |
|
この証明書は、ネットワーク負荷分散管理ポイントまたはネットワーク負荷分散ソフトウェアの更新ポイントをクライアントに対して認証するのに使用されます。また、クライアントとこれらのサーバーの間で転送されるすべてのデータを SSL で暗号化するのにも使用されます。 |
インターネット ベースのクライアント管理用のプロキシ Web サーバー
サイトがインターネット ベースのクライアント管理をサポートしており、SSL ターミネーション機能付きのプロキシ Web サーバーを使用 (ブリッジング) してインターネット接続を受信している場合は、プロキシ Web サーバーには次の表に示す証明書要件があります。
注意
SSL ターミネーション機能がないプロキシ Web サーバーを使用 (トンネリング) している場合は、プロキシ Web サーバー上に追加の証明書は必要ありません。
インターネット ベースのクライアント管理用プロキシ Web サーバー使用の詳細については、「インターネット ベースのクライアント管理で使用するプロキシ Web サーバーの要件を確認する」をを参照してください。
| ネットワーク インフラストラクチャ コンポーネント | 証明書の使用 | 使用する Microsoft 証明書テンプレート | 証明書の固有情報 | Configuration Manager での証明書の使用方法 |
|---|---|---|---|---|
インターネット経由のクライアント接続を受け入れるプロキシ Web サーバー |
サーバー認証およびクライアント認証 |
|
[サブジェクト名] フィールドまたは [サブジェクトの別名] フィールドにインターネット FQDN が必要です (Microsoft 証明書テンプレートを使用している場合は、サブジェクトの別名はワークステーション テンプレートでのみ利用可能です)。 |
この証明書は、次のサーバーをインターネット クライアントに対して認証するのに使用されます。また、クライアントとこのサーバーの間で転送されるすべてのデータを SSL で暗号化するのにも使用されます。
クライアント認証は、Configuration Manager 2007 クライアントとインターネット ベースのサイト システムの間のクライアント接続のブリッジに使用されます。 |
オペレーティング システムの展開機能
サイトがオペレーティング システムの展開機能をサポートしている場合は、状態移行ポイントに必要なサーバー証明書およびクライアント証明書に加えて、次の表に示す証明書が必要になります。
ネイティブ モード サイトでのオペレーティング システムの展開に関連する証明書の詳細については、「ネイティブ モード証明書とオペレーティング システムの展開の管理方法」を参照してください。
| Configuration Manager コンポーネント | 証明書の使用 | 使用する Microsoft 証明書テンプレート | 証明書の固有情報 | Configuration Manager での証明書の使用方法 |
|---|---|---|---|---|
オペレーティング システムのクライアント展開 (展開を完了するためにクライアント証明書が必要な場合) |
クライアント認証 |
コンピュータまたはワークステーション |
[拡張キー使用法] の値に "クライアント認証 (1.3.6.1.5.5.7.3.2)" が含まれている必要があります。 [サブジェクト名] に一意の値が必要です。 ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 サポートされるキーの最大長は 2048 ビットです。 |
オペレーティング システムの展開プロセスのタスク シーケンスに、クライアント ポリシーの取得やインベントリ情報の送信などのクライアントの操作が含まれる場合は、この証明書が使用されます。 クライアント証明書は、公開キー証明書標準 (PKCS #12) 形式でエクスポートする必要があります。パスワードは、Configuration Manager ブート イメージへのインポートまたは PXE サービス ポイントによる提供が可能になるように既知である必要があります。これらの証明書は、オペレーティング システムの展開プロセス中にのみ使用され、クライアントにはインストールされません。この一時的な使用により、複数のクライアント証明書を使用せずに、同じ証明書をすべてのオペレーティング システムの展開に使用できます。 PKCS #12 ファイルの拡張子は PFX です。 詳細情報: |
オペレーティング システムの展開クライアントで使用するルート証明機関証明書 |
サイト サーバーの証明書および管理ポイントのサーバー証明書のルート証明機関 |
該当なし。 |
標準のルート証明機関証明書 |
クライアントが管理ポイントと通信してオペレーティング システムの展開を完了するためには、ルート証明機関証明書が必要です。オペレーティング システムの展開機能を使用するネイティブ モードの各プライマリ サイトは、ルート証明機関証明書を使用して構成する必要があります。ただし、セカンダリ サイトは、そのプライマリ サイトで指定されたルート証明機関証明書を自動的に使用します。 詳細情報: |
モバイル デバイス
モバイル デバイスに必要な証明書に関する追加情報の詳細については、「モバイル デバイス クライアントのネイティブ モード証明書について」を参照してください。
証明書の展開の情報
Configuration Manager 2007 ネイティブ モードで必要な PKI 証明書のインストール方法については、次のセクションを参照してください。
Configuration Manager 2007 ネイティブ モードで必要な PKI 証明書の PKI 展開手順については、次の管理者のワークフローとチェックリストを参照してください。
PKI 証明書が展開され、Configuration Manager 2007 混在モード サイトをネイティブ モードに移行する準備が整ったら、次の管理者のワークフローとチェックリストを参照してください。
参照:
タスク
クライアント コンピュータがネイティブ モードに対応しているかどうかを確認する方法
ネイティブ モードでクライアント証明書の問題を特定する方法
クライアントの証明書失効確認 (CRL) を有効または無効にする方法
Configuration Manager サイト システムの役割で使用する DNS の構成
概念
ネイティブ モードの利点
既存の PKI をネイティブ モードに使用できるかどうかを判断する
サイト サーバー署名証明書の更新または変更
クライアントで証明書失効確認 (CRL) を有効にするかどうかを判断する (ネイティブ モード)
FQDN サーバー名を使用するかどうかを判断する
IIS で 証明書信頼リスト (CTL) を構成する必要があるかどうかを判断する (ネイティブ モード)
その他のリソース
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.