ネイティブ モード証明書とオペレーティング システムの展開について
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Configuration Manager 2007 を使用してネイティブ モードでオペレーティング システムを展開する際に、オペレーティング システムの展開プロセスの一部として使用するタスク シーケンスがネイティブ モード サイトの管理ポイントと通信する場合は、公開キー基盤 (PKI) 証明書を含める必要があります。この証明書がないと、管理ポイントから認証されず、オペレーティング システムの展開が失敗します。
また、この証明書が管理ポイントによって信頼されるようになるには、その証明書のルート証明機関を使用してサイトを構成する必要があります。ルート証明機関を使用してサイトを構成する方法については、「オペレーティング システムの展開クライアントで使用するルート証明機関証明書の指定方法」を参照してください。
オペレーティング システムの展開で使用する証明書には、クライアント認証機能が必要ですが、これはオペレーティング システムの展開の一部としてはクライアントにインストールされません。これは、タスク シーケンスを完了させるために一時的に使用されます。オペレーティング システムの展開後にクライアントがネイティブ モード サイトで管理されるようにするには、ネイティブ モード クライアント証明書をクライアントに個別に提供する必要があります。クライアントにネイティブ モード クライアント証明書を提供する方法については、「クライアントと管理ポイントへのクライアント コンピュータ証明書の展開」を参照してください。
Configuration Manager 2007 のネイティブ モードで使用されるすべての証明書については、「ネイティブ モードの証明書要件」を参照してください。
メディアから起動するオペレーティング システムの展開を使用している場合は、オペレーティング システムの展開証明書をブート メディアの一部として指定します。PXE から起動するオペレーティング システムの展開を使用している場合は、この証明書を使用するように PXE サービス ポイントを構成します。Public Key Certificate Standard (PKCS #12) ファイルをインポートし、ファイル作成時に選択されたパスワードを指定して、証明書を指定します。PKCS #12 ファイルの拡張子は .PFX です。
PKCS #12 証明書ファイルの準備方法の詳細については、「オペレーティング システムの展開で使用する証明書のエクスポート方法」を参照してください。
オペレーティング システムの展開証明書の不正使用からの保護
この証明書を使用した不正アクセスから Configuration Manager サイトを保護するには、メディアから起動するオペレーティング システムの展開にパスワードを割り当てます。また、メディアに割り当てられる有効期限を構成することもできます。この期限が過ぎると、メディアは無効になります。
PKI の展開で証明書失効リスト (CRL) を使用している場合は、証明書を証明機関の管理者が失効させることができます。これは、証明書が改ざんされていることがわかっている場合の保護方法のひとつです。管理ポイントでは、証明書の失効チェックは既定で有効です。
サイトがネイティブ モードか混在モードのどちらかで動作し、証明書が侵害された疑いがある場合は、オペレーティング システムの展開のためにインポートされたクライアント証明書をブロックすることもできます。詳細については、「Configuration Manager クライアントのブロックが必要かどうかを判断する」および「Configuration Manager クライアントをブロックする方法」を参照してください。
参照:
概念
Configuration Manager サイト モード
ネイティブ モードの利点
ネイティブ モードの証明書要件
その他のリソース
ネイティブ モード証明書とオペレーティング システムの展開の管理方法
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.