次の方法で共有

クライアントにサイト サーバー署名証明書を展開する方法を決定する (ネイティブ モード)

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Configuration Manager 2007 サイト サーバーは、ネイティブ モードでサイト サーバー署名証明書を使用して、クライアントが管理ポイントからダウンロードするポリシーに署名します。署名を検証するために、クライアントにはこの証明書のコピーが必要です。クライアントは証明書を受信すると、クライアント レジストリに保存し、管理ポイントから新しいポリシーが送信されてくるたびに使用します。

注意

サイト サーバー署名証明書は、クライアントの証明書ストアに保存されるのではなく、レジストリ内の保護された領域に保存されます。

サイト サーバー署名証明書をクライアント コンピュータに展開する方法には、次の 3 つがあります。

  • Active Directory ドメイン サービスを使用して自動実行する方法

  • クライアントのインストール時に手動で実行する方法

  • 管理ポイントから自動実行する方法

推奨される方法は、Active Directory ドメイン サービスを使用してサイト サーバー署名証明書をクライアント コンピュータに展開する方法です。この方法では、追加の管理が必要なく、証明書は Configuration Manager 2007 とは別の安全な場所に保存されます。ただし、この方法には次の前提条件があります。

  • Active Directory スキーマが Configuration Manager 2007 向けに拡張されている。

  • サイトが Active Directory ドメイン サービスに発行されている。

  • クライアントが、Active Directory ドメイン サービスに発行されたサイト情報を確認できる。

    注意

    発行された情報を読み取れないクライアントには、別の Active Directory フォレストのコンピュータ、ワークグループ コンピュータのクライアント、インターネットから管理されているクライアントなどがあります。

クライアントでサイト サーバー署名証明書のコピーを Active Directory ドメイン サービスから取得できない場合は、クライアント セットアップ ユーティリティの CCMSetup.exe を使用してこれらのクライアントにコピーを展開する方法を検討してください。この場合は、エクスポートした証明書のパスおよびファイル名に client.msi のパラメータである SMSSIGNCERT を使用します。この方法の短所としては、管理オーバーヘッドが増え、サイト サーバー署名証明書が変更または更新されたときに繰り返す必要があることです。CCMSetup オプションの詳細については、「Configuration Manager クライアント インストールのプロパティについて」を参照してください。証明書のエクスポート手順については、「Configuration Manager クライアント インストールのサイト サーバー署名証明書をエクスポートする方法」を参照してください。

Configuration Manager 2007 クライアントが管理ポイントに接続したときに、サイト サーバー署名証明書のコピーがクライアントにインストールされていないために Active Directory ドメイン サービスから見つけることができなかった場合は、管理ポイントがコピーを自動的にダウンロードして署名されたポリシーをクライアントが確認できるようにします。

これら 3 つのソリューションのうち、管理ポイントで自動的に展開するソリューションは最もセキュリティが低いため、管理ポイントのセキュリティに不安がある場合は使用しないでください。たとえば、境界ネットワークに存在してインターネット ベースのクライアントの管理のためにインターネットからの接続を受け入れる管理ポイントは、イントラネット内でイントラネット クライアントからの接続のみを受け入れる管理ポイントよりセキュリティが低いと見なされます。ただし、管理ポイントがイントラネット クライアントからの接続のみを受け入れる場合に、手動展開の管理オーバーヘッドを回避するには、管理ポイントを介してサイト サーバー署名証明書のコピーを自動的に展開することが適切なソリューションである可能性があります。

業務要件を満たす展開方法を選択してください。次のガイドラインを利用して、サイト サーバー署名証明書のコピーをクライアントに展開する方法を決定します。

次の条件がすべて適用される場合は、Active Directory ドメイン サービスを使用してサイト サーバー署名証明書のコピーを自動的に展開します。

  • Active Directory ドメイン サービスが Configuration Manager 2007 スキーマによって拡張されており、サイトが Active Directory ドメイン サービスに発行されている。

  • クライアントが、発行されたサイト情報を読み取ることができる (信頼されていないドメインのクライアント、ワークグループのクライアント、およびインターネット上のクライアントを除く)。

次の条件のいずれかが適用される場合は、サイト サーバー署名証明書のコピーを手動で展開します。

  • Active Directory ドメイン サービスを使用してサイト サーバー署名証明書のコピーを展開できない。

  • クライアントが、インターネット ベースのクライアント管理用に構成された管理ポイントに接続する。

  • サイト サーバー署名証明書のコピーを管理ポイントから自動インストールする場合のセキュリティ リスクが、手動での展開による追加の管理オーバーヘッドよりも高い。

次の条件がすべて適用される場合は、管理ポイントを使用してサイト サーバー署名証明書のコピーを自動的に展開します。

  • Active Directory ドメイン サービスを使用してサイト サーバー署名証明書のコピーを展開できない。

  • 管理ポイントがイントラネット内で保護されており、インターネット ベースのクライアント管理用に構成されていない。

  • 手動での展開による管理オーバーヘッドが、サイト サーバー署名証明書のコピーを管理ポイントから自動インストールする場合のセキュリティ リスクよりも高い。

参照:

タスク

Configuration Manager クライアント インストールのサイト サーバー署名証明書をエクスポートする方法

概念

ネイティブ モードの証明書要件
Configuration Manager クライアント インストールのプロパティについて

その他のリソース

ネイティブ モードで必要な PKI 証明書の展開

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.