帯域外管理の証明書要件
適用対象: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
このトピックに記載する Configuration Manager 2007 SP1 以降の帯域外管理についての証明書情報では、PKI 証明書の基礎知識があることを前提としています。Microsoft PKI ソリューションの詳細については、次を参照してください。
Windows Server 2008 の Active Directory 証明書サービス :https://go.microsoft.com/fwlink/?LinkId=115018
Windows Server 2003 の証明書サービス :https://go.microsoft.com/fwlink/?LinkId=78389
注意
このトピックの情報は、Configuration Manager 2007 SP1 のみに適用されます。
この PKI ソリューションでは、エンタープライズ CA が発行した証明書テンプレートを使用している Microsoft 証明書サービスが必要です。テンプレートに基づく証明書を発行できるのは、Windows Server 2003 または Windows Server 2008 の Enterprise Edition または Datacenter Edition で実行されているエンタープライズ CA だけです。ただし、バージョン 3 のテンプレート (Windows Server 2008、Enterprise Edition) は使用しないでください。これらの証明書テンプレートで作成される証明書は、Configuration Manager と互換性がありません。証明書の展開と使用方法の詳細については、「帯域外管理の証明書について」を参照してください。
手順に従ってこれらの証明書を構成する方法の例については、次を参照してください。
重要
Configuration Manager 2007 SP1 以降のサイトで帯域外管理を使用する前に、以前に参照したトピックで説明されている証明書の手順を守る必要があります。
帯域外管理に必要な証明書
Configuration Manager 2007 SP1 以降での帯域外管理に必要な公開キー基盤 (PKI) の証明書を次の表に示します。
| Configuration Manager コンポーネント | 証明書の使用 | 使用する Microsoft 証明書テンプレート | 証明書の固有情報 | Configuration Manager での証明書の使用方法 |
|---|---|---|---|---|
帯域外サービス ポイント |
AMT プロビジョニング |
Web サーバー (変更済み) 帯域外サービス ポイントのサイト システムの役割をホストするサーバーに、この証明書テンプレートに対する読み取りと登録の Windows セキュリティのアクセス許可が必要です。 |
[拡張キー使用法] の値に "サーバー認証 (1.3.6.1.5.5.7.3.1)" と次のオブジェクト識別子が含まれている必要があります。2.16.840.1.113741.1.2.3. [サブジェクト名] フィールドに、帯域外サービス ポイントをホストしているサーバーの完全修飾ドメイン名 (FQDN) が含まれている必要があります。 注意 独自の内部 CA ではなく外部 CA から AMT プロビジョニング証明書を要求する場合で、その CA が AMT プロビジョニング オブジェクト識別子である 2.16.840.1.113741.1.2.3 をサポートしていない場合は、証明書サブジェクト名の OU 属性として、代わりに Intel(R) Client Setup Certificate という文字列を指定できます。このテキスト文字列は大文字小文字が同じで、末尾にピリオドが付かない、このとおりの英語で、帯域外サービス ポイントをホストしているサーバーの FQDN に加えて使用する必要があります。 ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 サポートされるキーの長さ :1024、1536、および 2048 ビット。 |
この証明書は、帯域外サービス ポイント サイト システム サーバーにあるコンピュータ証明書ストア内の Windows 個人用ストアに保存されます。 この AMT プロビジョニング証明書は、帯域外管理用コンピュータを準備するために使用されます。これは帯域外管理コンポーネント内で構成され、自動的に帯域外サービス ポイント サイト システム サーバーにインストールされます。 AMT プロビジョニング証明書を提供する CA から発行されたこの証明書を要求する必要があります。AMT ベースのコンピュータの BIOS 拡張は、このプロビジョニング証明書のルート証明書の拇印 (証明書ハッシュとも呼ばれる) を使用して構成する必要があります。 VeriSign は、AMT プロビジョニング証明書を提供する外部 CA の一例ですが、独自の内部 CA を使用することもできます。 帯域外サービス ポイントをホストするサーバーは、証明書のルート CA に正常に連係できる必要があります(ルート CA 証明書と VeriSign に対する中間 CA 証明書は Windows と共に既定でインストールされます)。 |
AMT ベースのコンピュータ |
サーバー認証 |
Web サーバー プライマリ サイト サーバーのサイト システムの役割をホストするサーバーに、この証明書テンプレートに対する読み取りと登録の Windows セキュリティのアクセス許可が必要です。 |
[拡張キー使用法] の値に "サーバー認証 (1.3.6.1.5.5.7.3.1)" が含まれている必要があります。 [サブジェクト名] フィールドに、AMT ベースのコンピュータの FQDN が含まれている必要があります。この値はサイト サーバーにより自動的に提供されますので、証明書テンプレートを [要求内に指定されている] サブジェクト値を使って構成する必要があります。 ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 サポートされるキーの最大長 :2048 ビット。 |
この証明書は、コンピュータの管理コントローラに搭載された不揮発性 RAM に格納され、Windows 側からは参照できなくなっています。 プライマリ サイト サーバーは、プロビジョニングの対象である各 AMT ベースのコンピュータに対してこの証明書を要求します。また AMT ベースのコンピュータの AMT プロビジョニング情報が削除されると、プライマリ サイト サーバーでは発行された証明書も破棄されます。 このソリューションでは、プライマリ サイト サーバーからの証明書要求を自動的に承認する Microsoft Enterprise CA が必要です。また、この発行元の CA を構成する場合は、プライマリ サイト サーバーに対する証明書の発行と管理のアクセス許可を与える必要があります。サイト サーバーのコンピュータ アカウントには、発行元の CA から証明書を要求するための DCOM アクセス許可が必要です。サイト サーバー コンピュータが発行元の CA が存在するドメインで、セキュリティ グループの Certificate Service DCOM Access (Windows Server 2008 の場合) または CERTSVC_DCOM_ACCESS (Windows Server 2003 SP1 以降の場合) のメンバであることを確認してください。 重要 この証明書を AMT ベースのコンピュータにインストールすると、ルート CA への証明書チェーンもインストールされます。AMT ベースのコンピュータは、キーの長さが 2048 ビットを超える CA 証明書をサポートできません。 証明書を AMT ベースのコンピュータにインストールすると、AMT ベースのコンピュータは、この証明書によって、帯域外サービス ポイント サイト システム サーバーと帯域外管理コンソールを実行しているコンピュータに対して認証されます。また、Transport Layer Security (TLS) を使用して、これらのコンピュータ間のデータ転送がすべて暗号化されます。 |
Configuration Manager SP2 専用のその他の証明書
802.1X 認証ワイヤード (有線) ネットワークまたはワイヤレス ネットワーク用のクライアント証明書を使用して、これらのネットワーク上で帯域外管理を提供する場合は、次の表に記載されているその他の PKI 証明書が必要になります。
| Configuration Manager コンポーネント | 証明書の使用 | 使用する Microsoft 証明書テンプレート | 証明書の固有情報 | Configuration Manager での証明書の使用方法 |
|---|---|---|---|---|
AMT ベースのコンピュータ |
クライアント認証 |
ワークステーション認証 プライマリ サイト サーバーのサイト システムの役割をホストするサーバーに、この証明書テンプレートに対する読み取りと登録の Windows セキュリティのアクセス許可が必要です。 |
[拡張キー使用法] の値に "クライアント認証 (1.3.6.1.5.5.7.3.2)" が含まれている必要があります。 [サブジェクト名] フィールドに、AMT ベースのコンピュータの FQDN が含まれている必要があります。この値はサイト サーバーにより自動的に提供されますので、証明書テンプレートを [要求内に指定されている] サブジェクト値を使って構成する必要があります。 サポートされるキーの最大長 :2048 ビット。 |
この証明書は、コンピュータの管理コントローラに搭載された不揮発性 RAM に格納され、Windows 側からは参照できなくなっています。 プライマリ サイト サーバーは、プロビジョニングの対象である各 AMT ベースのコンピュータに対してこの証明書とそれ以降の更新を要求します。また AMT ベースのコンピュータの AMT プロビジョニング情報が削除されても、プライマリ サイト サーバーではこの証明書が破棄されません。 このソリューションでは、プライマリ サイト サーバーからの証明書要求を自動的に承認する Microsoft Enterprise CA が必要です。また、この発行元の CA を構成する場合は、プライマリ サイト サーバーに対する証明書の発行と管理のアクセス許可を与える必要があります。サイト サーバーのコンピュータ アカウントには、発行元の CA から証明書を要求するための DCOM アクセス許可が必要です。サイト サーバー コンピュータが発行元の CA が存在するドメインで、セキュリティ グループの Certificate Service DCOM Access (Windows Server 2008 の場合) または CERTSVC_DCOM_ACCESS (Windows Server 2003 SP1 以降の場合) のメンバであることを確認してください。 証明書が AMT ベースのコンピュータにインストールされると、この証明書によって AMT ベースのコンピュータが RADIUS サーバーに対して認証され、その後でそのコンピュータによるネットワーク アクセスが認証されます。 |
参照:
タスク
AMT プロビジョニングの構成方法
コンピュータを AMT 用にプロビジョニングする方法
概念
帯域外管理用の AMT プロビジョニングについて
帯域外管理の証明書について
帯域外管理の概要
AMT および帯域外管理に必要な PKI 証明書の展開手順の例: Windows Server 2003 証明機関
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.