次の方法で共有

AMT および帯域外管理に必要な PKI 証明書の展開手順の例: Windows Server 2003 証明機関

  • [アーティクル]

適用対象: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

ここでは、Configuration Manager 2007 SP1 で帯域外管理と AMT のために必要となる公開キー基盤 (PKI) 証明書の作成と展開の手順の例を紹介します。Configuration Manager における帯域外管理の詳細については、「帯域外管理の概要」を参照してください。

注意

このトピックの情報は、Configuration Manager 2007 SP1 のみに適用されます。

この例では、Microsoft Certificate Services を使用し、Windows Server 2003 Enterprise Edition でエンタープライズ証明機関 (CA) と証明書テンプレートを使用します。これらの手順は、テスト ネットワークでの概念実証としてのみ適しています。

必要な証明書の実装方法は 1 つではないため、実稼働環境で必要な証明書を展開するための手順と推奨される運用方法については、特定の PKI 展開のマニュアルを参照する必要があります。AMT と帯域外管理の証明書要件の詳細については、「帯域外管理の証明書要件」を参照してください。

重要

Configuration Manager 2007 SP1 以降で AMT プロビジョニングを行うには、エンタープライズ CA と証明書テンプレートがある環境で Microsoft Certificate Services を使用する必要があります。証明書の展開の要件と使用方法の詳細については、「帯域外管理の証明書について」を参照してください。

このセクションの内容

この例の次の各セクションでは、Configuration Manager 2007 SP1 以降のサイトがコンピュータを帯域外で管理するために必要な証明書の作成と展開について説明します。

テスト ネットワークの要件

概要

サイト システム サーバーに対する Windows セキュリティ グループの作成

AMT プロビジョニング証明書の要求、インストール、および準備

AMT ベース コンピュータ用の Web サーバー証明書の準備

802.1X AMT ベースのコンピュータ用のクライアント認証証明書の準備

テスト ネットワークの要件

この例には、次の要件があります。

  • テスト ネットワークでは、Microsoft Windows Server 2003 で Active Directory ドメイン サービスが動作しており、これが単一のドメイン、単一のフォレストとしてインストールされていること。

  • Windows Server 2003 Enterprise Edition Service Pack 2 を実行するドメイン コントローラがあり、次の項目がインストールされていること。

    • インターネット インフォメーション サービス (IIS)

    • 証明書サービスがエンタープライズ ルート証明機関 (CA) としてインストールされていること。

      注意

      証明書サービスをインストールする前に IIS を必ずインストールして、Web 登録が構成されるようすること。

  • Windows Server 2003 (Standard Edition または Enterprise Edition) Service Pack 1 がインストールされていて、メンバ サーバーとして指定されているコンピュータを使用すること。

  • ルート ドメイン管理者のアカウントまたはエンタープライズ管理者のアカウントでログインでき、そのアカウントをこの展開の例のすべての手順で使用すること。

概要

Configuration Manager 2007 でコンピュータの帯域外管理を行うには、その前に PKI 証明書を準備し、インストールしておく必要があります。この例では、コンピュータを AMT 用にプロビジョニングして帯域外管理できるようにするのために必要な証明書を展開する手順を示します。帯域外管理の構成の詳細については、「帯域外管理の構成」を参照してください。

次の表では、AMT コンピュータの帯域外管理を行うために必要な PKI 証明書を示し、それらが Configuration Manager 2007 SP1 以降のサイトでどのように使用されるかを説明します。

証明書の要件 証明書の説明

AMT プロビジョニング証明書

この証明書は、Configuration Manager 2007 SP1 で帯域外管理を行うための AMT ベースのコンピュータを準備するために使用されます。

AMT プロビジョニングの詳細については、「帯域外管理用の AMT プロビジョニングについて」を参照してください。

Web サーバー証明書

この証明書は、AMT ベースのコンピュータの代わりにプライマリ サイト サーバーによって要求され、コンピュータの AMT ファームウェアにインストールされます。

この証明書をインストールすると、AMT ベースのコンピュータは、この証明書によって、帯域外サービス ポイント サイト システム サーバーと、帯域外管理コンソールを実行しているコンピュータに対して認証されます。また、Transport Layer Security (TLS) を使用して、これらのコンピュータ間のデータ転送がすべて暗号化されます。

クライアント認証証明書

Configuration Manager 2007 SP2 のみに適用:AMT ベースのコンピュータが 802.1X 認証による有線接続またはワイヤレス接続されているときにそれらのコンピュータを帯域外管理する場合は、クライアント認証証明書 (EAP-TLS 認証の場合は必須、EAP-TTLS/MSCHAPv2 および PEAPv0/EAP-MSCHAPv2 認証方式の場合は任意) を使用することをお勧めします。この証明書は、AMT ベースのコンピュータの代わりにプライマリ サイト サーバーによって要求され、コンピュータの AMT ファームウェアにインストールされます。

この証明書がインストールされると、AMT ベースのコンピュータを RADIUS サーバーに対して認証するために使用されます。これによって、AMT ベースのコンピュータのネットワーク アクセスに対する認証と許可が行えます。

証明書の詳細については、「帯域外管理の証明書要件」を参照してください。

この例の手順に従い、以下を実行します。

  • 証明書テンプレートで使用する Windows セキュリティ グループを作成します。

  • AMT プロビジョニング証明書を要求し、インストールして、準備します。

  • 発行 CA で証明書テンプレートを構成し、Web サーバー証明書を準備します。

  • Configuration Manager 2007 SP2 のみに適用:発行 CA で証明書テンプレートを構成して、802.1X クライアント認証で使用できるようにクライアント認証証明書を準備します。

サイト システム サーバーに対する Windows セキュリティ グループの作成

サイト システム サーバーに対して Windows セキュリティ グループを作成するには、次の手順に従います。これらのセキュリティ グループを使用すると、所定のサーバーだけが AMT プロビジョニングに必要な 2 つの証明書テンプレートを使用できるようにすることができます。

サイト システム サーバーに対して Windows セキュリティ グループを作成するには

  1. ドメイン コントローラで、[スタート]、[プログラム]、[管理ツール]、[Active Directory ユーザーとコンピュータ] の順にクリックします。

  2. ドメインを右クリックし、[新規]、[グループ] の順にクリックします。

  3. [新しいオブジェクト – グループ] ダイアログ ボックスで、[グループ名] に「ConfigMgr プライマリ サイト サーバー」と入力し、[OK] をクリックします。

  4. [Active Directory ユーザーとコンピュータ] で作成したグループを右クリックし、[プロパティ] をクリックします。

  5. [メンバ] タブをクリックし、[追加] をクリックして、メンバ サーバーを選択します。

  6. [OK] を 2 回クリックして、[グループのプロパティ] ダイアログ ボックスを閉じます。

  7. 手順 2 ~ 6 を繰り返します。ここではグループ名を「ConfigMgr Out of Band Service Points」とします。

  8. 新しい グループ メンバシップが認識されるように、メンバ サーバーが稼動している場合は再起動します。

    注意

    テスト環境では追加するサーバーは 1 つだけです。このサーバーはプライマリ サイト サーバーと帯域外サービス ポイントの両方に使用します。しかし実稼動環境では通常、帯域外管理をサポートするプライマリ サイトが複数あり、帯域外サービス ポイントをサイト サーバー以外のサーバーにインストールします。そのため、2 つのグループにアクセス許可を割り当て、一方のグループにすべてのプライマリ サイト サーバーを追加し、もう一方のグループにすべての帯域外サービス ポイント サイト システムを追加するようにしてください。

    これらのサーバーに対してセキュリティ グループを作成することによって、これらのサーバーだけがこれらの証明書を要求できるようにアクセス許可を割り当てることができます。

AMT プロビジョニング証明書の要求、インストール、および準備

このステップは、次の手順で構成されています。

  • 要件に応じて次のうち 1 つの手順のみを使用しての AMT プロビジョニング証明書の要求とインストール

    • 外部証明機関からの AMT プロビジョニング証明書の要求とインストール

    • 内部 CA からの AMT プロビジョニング証明書の要求とインストール

  • 帯域外管理コンポーネントのための AMT プロビジョニング証明書の準備

プロビジョニング証明書を内部 CA に要求できるのは、AMT ベースのコンピュータに内部ルート CAの 証明書の拇印が設定されている場合に限られます。外部 CA と内部 CA の選択については、「帯域外管理の証明書について」を参照してください。 内部ルート証明書の拇印を確認する方法については、「AMT プロビジョニング用の内部ルート証明書の拇印を検出する方法」を参照してください。

外部証明機関からの AMT プロビジョニング証明書の要求とインストール

重要

AMT プロビジョニング証明書を発行している会社から別途指示があった場合は、その指示がここで紹介する手順に優先します。これは、発行元の会社で AMT プロビジョニングのオブジェクト識別子をサポートしておらず、その代わりに Intel(R) クライアント セットアップ証明書の OU 属性を使用する必要がある場合には特に重要です。選択した外部 CA の詳細については、Microsoft vPro 管理容易性に関する Web サイト「Intel vPro Expert Center」 (https://go.microsoft.com/fwlink/?LinkId=132001) (英語版の可能性があります) を参照してください。

外部 CA から AMT プロビジョニング証明書を要求してインストールするには

  1. Windows Server 2003 コンソールを実行するドメイン コントローラで、[スタート]、[プログラム]、[管理ツール]、[証明機関] の順にクリックします。

  2. 証明機関の名前を展開し、[証明書テンプレート] をクリックします。

  3. [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート管理コンソールを読み込みます。

  4. 結果ウィンドウの [テンプレート表示名] 列で [Web サーバー] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、AMT プロビジョニング証明書テンプレートのテンプレート名を、たとえば「ConfigMgr AMT プロビジョニング」のように入力します。

  6. [要求処理] タブで、[プライベート キーのエクスポートを許可する] を選択します。

  7. [拡張機能] タブをクリックし、[アプリケーションのポリシー] がオンになっていることを確認してから [編集] をクリックします。

  8. [アプリケーション ポリシーの拡張の編集] ダイアログ ボックスで、[追加] をクリックします。

  9. [アプリケーションのポリシーの追加] ダイアログ ボックスで、[新規] をクリックします。

  10. [新しいアプリケーションのポリシー]ダイアログ ボックスの [名前] フィールドに「AMT プロビジョニング」と入力してから、[オブジェクト識別子] に次の番号を入力します。2.16.840.1.113741.1.2.3.

  11. [OK] をクリックしてから、[アプリケーションのポリシーの追加] ダイアログ ボックスで [OK] をクリックします。

  12. [アプリケーション ポリシーの拡張の編集] ダイアログ ボックスで [OK] をクリックします。

  13. [新しいテンプレートのプロパティ] ダイアログ ボックスに、[アプリケーションのポリシー] の説明として[サーバー認証] と [AMT プロビジョニング] が表示されます。

  14. [セキュリティ] タブをクリックし、[登録] アクセス許可をセキュリティ グループ [Domain Admins] と [Enterprise Admins ] から削除します。

  15. [追加] をクリックして、テキスト ボックスに「ConfigMgr 帯域外サービス ポイント」と入力し、[OK] をクリックします。

  16. このグループについて、アクセス許可、[読み取り] と[登録] を選択します。

  17. [OK] をクリックして、証明書テンプレート管理コンソール [certtmpl – [証明書テンプレート]] を閉じます。

  18. [証明機関] で、[証明書テンプレート] を右クリックし、[新規] をクリックして [発行する証明書テンプレート] をクリックします。

  19. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr AMT プロビジョニング] を選択し、[OK] をクリックします。

    注意

    手順 18 または 19 を完了できない場合は、Windows Server 2003, Enterprise Edition を使用していることを確認してください。Windows Server Standard Edition と Certificate Services を使用してもテンプレートは作成できますが、Enterprise Edition を使用しない限り、更新した証明書テンプレートを使用して証明書を展開することはできません。

  20. [証明機関] を閉じないでください。

  21. メンバ サーバーで Internet Explorer を読み込み、アドレス http://<サーバー>/certsrv を使用して Web 登録サービスに接続します。ここで、<サーバー> は、エンタープライズ CA の名前または IP アドレスです。

  22. [ようこそ] ページで [証明書の要求] をクリックします。

  23. [証明書の要求] ページで、[証明書の要求の詳細設定] を選択します。

  24. [証明書の要求の詳細設定] ページで、[この CA への要求を作成し送信する] を選択します。

  25. [証明書の要求の詳細設定] ページで、次の情報を指定します。

    1. [証明書テンプレート] の [ConfigMgr AMT プロビジョニング] を選択します。

      注意

      この証明書テンプレートが見つからない場合は、前の手順でセキュリティ グループを構成した後、(稼働中の場合) メンバ サーバーを再起動したことを確認します。

    2. 帯域外サービス ポイントの完全修飾ドメイン名 (FQDN) を [名前] フィールドに入力します。

    3. 会社の連絡先電子メール アドレスを [電子メール] フィールドに入力します。

    4. 会社名を [会社] フィールドに入力します。

    5. 会社の部署名を [部署] フィールドに入力します。

    6. 会社所在地の都市名を [市] フィールドに入力します。

    7. 会社所在地の州名 (正式名称または略称) を [都道府県] フィールドに入力します。

    8. 会社所在地の国コードと地域を [国/地域] フィールドに入力します。

    9. [キーのオプション] セクションの下で、[ローカル コンピュータの証明書ストアに証明書を格納する] をオンにします。

    10. [追加のオプション] セクションで [PKC10] をクリックし、[要求をファイルへ保存します] をクリックして、オフラインの証明書要求ファイルの完全なパスと名前を「C:\certreq_amt_<サーバー名>.txt」 (<サーバー名> は帯域外サービス ポイントのホスト名) のように入力します。

    11. [フレンドリ名] に、たとえば 「<FQDN> のConfigMgr AMT プロビジョニング証明書」(<FQDN> は帯域外サービス ポイントの完全修飾名) のような任意のフレンドリ名を入力します。

  26. [保存] をクリックします。

  27. [潜在するスクリプト違反] ダイアログ ボックスが表示されたら、[はい] をクリックします。

  28. [証明書の登録] ダイアログ ボックスが表示されたら、[はい] をクリックします。

  29. [OK] をクリックして、要求がファイルに保存されたことを確認します。

  30. Internet Explorer を終了します。

  31. ファイルを所定の指示に従って外部 CA に送信します。

  32. CA から受け取る AMT プロビジョニング証明書は、通常は電子メールで送付されます。テキストをコピーしてメモ帳に貼り付け、.p7b 拡張子で保存します。メンバ サーバーからファイルにアクセスできることを確認します。

  33. メンバ サーバーでスタートファイル名を指定して実行の順にクリックし、ファイル名を指定して実行ダイアログ ボックスで「MMC」と入力してから OK をクリックします。

  34. 空のコンソールで、ファイルメニューのスナップインの追加と削除をクリックします。

  35. スナップインの追加と削除ダイアログ ボックスで、追加をクリックします。

  36. 利用できるスナップイン証明書をクリックし、追加をクリックします。

  37. 証明書スナップイン ダイアログ ボックスで、コンピュータ アカウントをクリックし、次へをクリックします。

  38. コンピュータの選択ダイアログ ボックスで、**ローカル コンピュータ :(このコンソールを実行しているコンピュータ)**オプションが選択されていることを確認し、完了をクリックします。

  39. [スタンドアロン スナップインの追加] ダイアログ ボックスで、[閉じる] をクリックします。

  40. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  41. コンソールで、[証明書 (ローカル コンピュータ)] を展開します。

  42. [個人用] を展開し、[証明書] を右クリックします。

  43. [すべてのタスク]、[インポート] の順にクリックします。

  44. [証明書のインポート ウィザードの開始] ページで、[次へ] をクリックします。

  45. [インポートする証明書ファイル] ページで [参照] をクリックし、.p7b 拡張子で保存されているファイルを選択して、[次へ] をクリックします。

  46. [証明書をすべて次のストアに配置する] を選択してから [次へ]、[完了] の順にクリックします。

  47. F5 キーを押して表示を更新すると、プロビジョニング証明書が表示されます。

  48. **証明書 (ローカル コンピュータ)**を閉じないでください。

外部 CA からの AMT プロビジョニング証明書がインストールされ、帯域外管理コンポーネントのための準備が整います。

内部 CA からの AMT プロビジョニング証明書の要求とインストール

内部 CA から AMT プロビジョニング証明書を要求してインストールするには

  1. Windows Server 2003 コンソールを実行するドメイン コントローラで、[スタート]、[プログラム]、[管理ツール]、[証明機関] の順にクリックします。

  2. 証明機関の名前を展開し、[証明書テンプレート] をクリックします。

  3. [証明書テンプレート]を右クリックし、[管理] をクリックして、[証明書テンプレート] 管理コンソールを読み込みます。

  4. 結果ウィンドウの [テンプレート表示名] 列で [ Web サーバー] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、AMT プロビジョニング証明書テンプレートのテンプレート名を、たとえば「ConfigMgr AMT プロビジョニング」のように入力します。

  6. [要求処理] タブで、[プライベート キーのエクスポートを許可する] を選択します。

  7. [サブジェクト名] タブで [Active Directory の情報から構築する] を選択し、続いて [共通名] を選択します。

  8. [拡張機能] タブをクリックし、[アプリケーションのポリシー] がオンになっていることを確認してから [編集] をクリックします。

  9. [アプリケーション ポリシーの拡張の編集] ダイアログ ボックスで、[追加] をクリックします。

  10. [アプリケーションのポリシーの追加] ダイアログ ボックスで、[新規] をクリックします。

  11. [新しいアプリケーションのポリシー] ダイアログ ボックスの [名前] フィールドに「AMT プロビジョニング」と入力してから、[オブジェクト識別子] に次の番号を入力します。2.16.840.1.113741.1.2.3.

  12. [OK] をクリックしてから、[アプリケーションのポリシーの追加] ダイアログ ボックスで [OK] をクリックします。

  13. [アプリケーション ポリシーの拡張の編集] ダイアログ ボックスで [OK] をクリックします。

  14. [新しいテンプレートのプロパティ] ダイアログ ボックスに、[アプリケーションのポリシー] の説明として[サーバー認証] と [AMT プロビジョニング] が表示されます。

  15. [セキュリティ] タブをクリックし、[登録] アクセス許可をセキュリティ グループ [Domain Admins] と [Enterprise Admins ] から削除します。

  16. [追加] をクリックして、テキスト ボックスに「ConfigMgr 帯域外サービス ポイント」と入力し、[OK] をクリックします。

  17. このグループについて、アクセス許可、[読み取り] と[登録] を選択します。

  18. [OK] をクリックして、証明書テンプレート管理コンソール [certtmpl – [証明書テンプレート]] を閉じます。

  19. [証明機関] で、[証明書テンプレート] を右クリックし、[新規] をクリックして [発行する証明書テンプレート] をクリックします。

  20. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr AMT プロビジョニング] を選択し、[OK] をクリックします。

    注意

    手順 19 または 20 を完了できない場合は、Windows Server 2003, Enterprise Edition を使用していることを確認してください。Windows Server Standard Edition と Certificate Services を使用してもテンプレートは作成できますが、Enterprise Edition を使用しない限り、更新した証明書テンプレートを使用して証明書を展開することはできません。

  21. [証明機関] を閉じないでください。

  22. メンバ サーバーで [スタート]、[ファイル名を指定して実行] の順にクリックし、「mmc.exe」と入力します。空のコンソールで、[ファイル] メニューの [スナップインの追加と削除] をクリックします。

  23. [スナップインの追加と削除] ダイアログ ボックスで、[追加]、[証明書]、[追加] の順にクリックします。

  24. [証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] を選択し、[次へ] をクリックします。

  25. [コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ :(このコンソールを実行しているコンピュータ)] オプションが選択されていることを確認し、[完了] をクリックします。

  26. [スタンドアロン スナップインの追加] ダイアログ ボックスで、[閉じる] をクリックします。

  27. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  28. [証明書 (ローカル コンピュータ)] と表示されているコンソールで、[証明書 (ローカル コンピュータ)] を展開し、[個人用] をクリックします。

  29. [証明書] を右クリックし、[すべてのタスク]、[新しい証明書の要求] の順にクリックします。

  30. [証明書の要求ウィザードの開始] ページで [次へ] をクリックします。

  31. [証明書の種類] ページで、表示されている証明書の一覧から [ConfigMgr AMT プロビジョニング] を選択し、[次へ] をクリックします。

    注意

    この証明書テンプレートが見つからない場合は、前の手順でセキュリティ グループを構成した後、(稼働中の場合) メンバ サーバーを再起動したことを確認します。

  32. オプションで、この証明書を見分けやすくするためのフレンドリ名と説明を [証明書のフレンドリ名と説明] ページに入力して、[次へ] をクリックします。

  33. [証明書の要求ウィザードの完了] ページで [次へ] をクリックします。

  34. 証明書要求が正常に処理されたことを示す [証明書の要求ウィザード] ダイアログ ボックスが表示されます。[OK] をクリックします。

  35. プロビジョニング証明書が表示されます。

  36. [証明書 (ローカル コンピュータ)] を閉じないでください。

これで、内部 CA からの AMT プロビジョニング証明書がインストールされ、帯域外管理コンポーネントのための準備ができるようになります。

帯域外管理コンポーネントのための AMT プロビジョニング証明書の準備

帯域外管理コンポーネントのための AMT プロビジョニング証明書を準備するには

  1. メンバ サーバーで実行されている [証明書 (ローカル コンピュータ)] で、プロビジョニング証明書を右クリックし、[すべてのタスク]、[エクスポート] の順にクリックします。

  2. 証明書のエクスポート ウィザードで、[次へ] をクリックします。

  3. [秘密キーのエクスポート] ページで、[はい] をクリックし、秘密キーをエクスポートしてから、[次へ] をクリックします。

  4. [エクスポート ファイルの形式] ページで、[Personal Information Exchange - PKCS #12 (.PFX)] が選択されていることを確認し、[証明のパスにある証明書を可能であればすべて含む] を選択します。

  5. [パスワード] ページで、エクスポートした証明書とその秘密キーを保護するために強力なパスワードを指定し、[次へ] をクリックします。

  6. [次へ] をクリックし、[エクスポートするファイル] ページでエクスポートするファイルのパスと名前を指定してから、[次へ] をクリックします。

  7. [証明書のエクスポート ウィザードの完了] ページで [完了] をクリックした上で、[証明書のエクスポート ウィザード] ダイアログ ボックスで [OK] をクリックします。

  8. ファイルを安全に保存し、Configuration Manager コンソールからアクセスできるようにします。

これで AMT プロビジョニング証明書を帯域外管理コンポーネント用に構成できるようになります。詳細については、「AMT プロビジョニングの構成方法」を参照してください。

AMT ベース コンピュータ用の Web サーバー証明書の準備

AMT ベースのコンピュータの Web サーバー証明書を準備するには、次の手順に従います。

CA で Web サーバー証明書テンプレートを作成および発行するには

  1. [証明機関] 管理コンソールを実行しているドメイン コントローラで [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート管理コンソールを読み込みます。

  2. 結果ウィンドウで、[テンプレート表示名] 列に [Web サーバー] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  3. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、AMT コンピュータでの帯域外管理に使用する Web 証明書を生成するテンプレート名を、たとえば「ConfigMgr AMT Web サーバー証明書」のように入力します。

  4. [セキュリティ] タブをクリックし、[登録] アクセス許可をセキュリティ グループ [Domain Admins] と [Enterprise Admins ] から削除します。

  5. [追加] をクリックし、テキスト ボックスに「ConfigMgr プライマリ サイト サーバー」と入力して、[OK] をクリックします。

  6. このグループで、[読み取り]、[登録]、および [自動登録] を [許可]のアクセス許可に選択します。

  7. [OK] をクリックして、証明書テンプレート管理コンソール [certtmpl – [Certificate Templates]] を閉じます。

  8. [証明機関] 管理コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  9. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート[ConfigMgr AMT Web サーバー証明書] を選択し、[OK] をクリックします。

  10. [証明機関] を閉じます。

これで AMT Web サーバー証明書テンプレートで、Web サーバー証明書で AMT コンピュータのプロビジョニングができるようになります。

802.1X AMT ベースのコンピュータ用のクライアント認証証明書の準備

Configuration Manager 2007 SP2 の場合にのみ適用:802.1X 認証による有線ネットワークやワイヤレス ネットワークにクライアント証明書を使用する場合は、以下の手順に従って、AMT ベースのコンピュータ用にクライアント認証証明書を準備してください。

CA で クライアント認証証明書テンプレートを作成および発行するには

  1. [証明機関] 管理コンソールを実行しているドメイン コントローラで [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート管理コンソールを読み込みます。

  2. 結果ウィンドウで、[テンプレート表示名] 列に [ワークステーションの認証] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  3. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、AMT コンピュータでの帯域外管理に使用するクライアント証明書を生成するテンプレート名を、たとえば「ConfigMgr AMT 802.1X クライアント認証証明書」のように入力します。

  4. [サブジェクト名] タブをクリックし、[要求に含まれる] をクリックします。

  5. [セキュリティ] タブをクリックし、[登録] アクセス許可をセキュリティ グループ [Domain Admins] と [Enterprise Admins ] から削除します。

  6. [追加] をクリックし、テキスト ボックスに「ConfigMgr プライマリ サイト サーバー」と入力して、[OK] をクリックします。

  7. このグループについて、アクセス許可、[読み取り] と[登録] を選択します。

  8. [OK] をクリックして、証明書テンプレート管理コンソール [certtmpl – [Certificate Templates]] を閉じます。

  9. [証明機関] 管理コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  10. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr AMT 802.1X クライアント認証証明書] を選択し、[OK] をクリックします。

  11. [証明機関] を閉じます。

これで、クライアント認証証明書テンプレートで、802.1X クライアント認証用に使用できる AMT ベース コンピュータに証明書を発行できるようになります。

参照:

タスク

コンピュータを AMT 用にプロビジョニングする方法

概念

帯域外管理用の AMT プロビジョニングについて

その他のリソース

帯域外管理の構成
Configuration Manager 2007 SP1 以降の帯域外管理

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.