IIS で 証明書信頼リスト (CTL) を構成する必要があるかどうかを判断する (ネイティブ モード)
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
証明書信頼リスト (CTL) は、信頼されるルート証明機関の定義済みリストです。CTL を グループ ポリシーと PKI の展開と組み合わせて使用することで、ネットワーク上で構成されている既存の信頼されたルート証明機関を補うことができます。ネットワーク上の既存のルート証明機関には、Microsoft Windows と一緒に自動的にインストールされるものや、Windows エンタープライズ ルート証明機関によって追加されるものなどがあります。一方、CTL がインターネット インフォメーション サービス (IIS) で構成されている場合、CTL はこれらの信頼されたルート証明機関のサブセットを定義します。
このサブセットによりセキュリティ管理が強化されます。その理由は、CTL によって、受け付けられるクライアント証明書が CTL にリストされている証明機関から発行されたもののみに制限されるためです。たとえば、Windows には、VeriSign や Thawte など、有名なサードパーティ証明機関が数多く付属しています。既定では、IIS を実行するコンピュータは、これらの有名な証明機関へチェーンされている証明書を信頼します。IIS を CTL を使用して構成していない場合、これらの証明機関から発行されたクライアント証明書をもつコンピュータはどれも、有効な Configuration Manager クライアントとして受け入れられます。IIS をこれらの証明機関を含んでいない CTL を使用して構成すると、証明書がこれらの証明機関へチェーンされている場合にクライアント接続が拒否されます。ただし、Configuration Manager クライアントがネイティブ モード サイトで受け入れられるようにするには、IIS の構成に、Configuration Manager クライアントによって使用される証明機関を指定する CTL を使用する必要があります。
IIS の CTL は Web サイト プロパティとして定義されるので、SSL (Secure Sockets Layer) 通信用に構成されている Configuration Manager 2007 ネイティブ モード サイトに含まれている各サイト サーバーで、CTL を構成する必要があります。グループ ポリシーで構成および保守することはできません。SSL 通信を使用するサイト システムの役割は次のとおりです。
管理ポイント :
[既定の管理ポイント]
ネットワーク負荷分散管理ポイント
プロキシ管理ポイント
インターネット ベースの管理ポイント
ブランチ配布ポイントではない配布ポイント、またはサイト システム共有を使用するブランチ配布ポイント
ソフトウェアの更新ポイント
状態移行ポイント
CTL をネイティブ モードの Configuration Manager 2007 で使用するには、Web サイトをネイティブ モード証明書で構成した後に、Web サイト (既定の Web サイト、または SMSWeb という名前のカスタム Web サイト) のプロパティを編集します。証明書信頼リスト ウィザードを使用して CTL を作成または編集し、ネイティブ モード サイトのクライアントによって使用されるルート証明機関を指定します。CTL の IIS 6.0 での作成および編集の詳細については、CTL に関する IIS 6.0 のマニュアル (https://go.microsoft.com/fwlink/?LinkId=80247) を参照してください。
必須ではありませんが、Configuration Manager 2007 ネイティブ モードでは IIS で CTL を使用することをお勧めします。Configuration Manager クライアントによって使用される証明機関を明示的に定義しない場合に比べて、セキュリティ レベルが向上するためです。
CTL ありの IIS と Configuration Manager 2007 ネイティブ モードを使用することには、次のような長所があります。
- これはセキュリティの高いソリューションです。その理由は、ネットワーク上で使用されているすべての信頼されたルート証明機関 (Windows によって既定でインストールされる証明機関など) ではなく、CTL に指定されている信頼されたルート証明機関のみが、Configuration Manager によって信頼されるからです。
CTL ありの IIS と Configuration Manager 2007 ネイティブ モードを使用することには、次のような短所があります。
この構成では、Configuration Manager クライアントと SSL 経由で通信する各 Configuration Manager サイト システム サーバーについて、IIS の CTL の作成や保守に関連する追加の管理オーバーヘッドが生じます。
CTL を適切に構成および保守できなかった場合には、クライアントが管理されなくなります。
参照:
概念
管理者チェックリスト :ネイティブ モードの PKI 要件の展開
ネイティブ モードの利点
Configuration Manager カスタム Web サイトの概要
クライアントで証明書失効確認 (CRL) を有効にするかどうかを判断する (ネイティブ モード)
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.