帯域外管理の証明書について
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
ここでは、帯域外管理で使用する Configuration Manager 2007 SP1 以降の公開キー基盤 (PKI) の証明書の展開と使用について、次の分野に分けて詳しく説明します。
帯域外管理のための証明機関の要件
AMT プロビジョニング証明書
AMT ベース コンピュータ向けの Web サーバー証明書
Configuration Manager 2007 SP2 のみで有効な AMT ベースのコンピュータ用オプションのクライアント証明書
帯域外管理証明書に対する CRL チェックと証明書の失効
注意
このトピックの情報は、Configuration Manager 2007 SP1 のみに適用されます。
証明書の要件の一覧については、「帯域外管理の証明書要件」を参照してください。
展開手順例については、以下を参照してください。
帯域外管理のための証明機関の要件
AMT プロビジョニングのために証明書を展開するには、証明書の自動承認機能が必要です。これは、サイト サーバーが要求を送信してから、プロビジョニング対象の各 AMT ベース コンピュータの証明書をすぐに取得できるようにするためです。自動承認を安全に行うには、信頼されたコンピュータのみが証明書を要求できるように、セキュリティ制御を確立する必要があります。このレベルのセキュリティ制御は、証明書テンプレートと Microsoft エンタープライズ証明機関 (CA) を共に使用して、証明書テンプレートにアクセス レベルの制御機能を提供することで、実現されます。スタンドアロンの Microsoft CA を使用して、すべての証明書要求を自動的に承認できますが、このソリューションにはセキュリティ制御が備わってなく、Configuration Manager 2007 SP1 以降の帯域外管理でもサポートされません。
Microsoft エンタープライズ CA は、以下のバージョンの証明書テンプレートをサポートします。
バージョン 1 は Windows Server 2000 と同時にリリースされ、Windows Server 2003 と Windows Server 2008 のすべてのサーバー エディションでサポートされます。
バージョン 2 は Windows Server 2003 と同時にリリースされ、Windows Server 2003 と Windows Server 2008 の Enterprise Edition と Datacenter Edition でサポートされます。バージョン 2 のテンプレートは、Windows Server 2003 と Windows Server 2008 の Standard Edition ではサポートされません。
バージョン 3 は Windows Server 2008 と同時にリリースされ、Windows Server 2008 の Enterprise Edition と Datacenter Edition でサポートされます。ただし、これらの証明書テンプレートで作成される証明書は、Configuration Manager と互換性がありません。また、帯域外管理やネイティブ モードで使用することはできません。
証明書テンプレート MMC では、[最小のサポートされている CA] 列を参照することで、さまざまなテンプレート バージョンを表示できます。バージョン 1 のテンプレートは Windows 2000 として、バージョン 2 のテンプレートは Windows Server 2003 Enterprise Edition として、バージョン 3 のテンプレートは Windows Server 2008 として表示されます。
バージョン 1 の証明書テンプレートでは、セキュリティのアクセス許可を構成して、テンプレートの読み取り、登録、管理を実行できるユーザーを制限できます。名前、目的、有効期間など、証明書テンプレートのその他のプロパティを変更する場合は、バージョン 2 またはバージョン 3 のテンプレートを使用する必要があります。
帯域外管理用に証明書テンプレートをカスタマイズすることをお勧めしますが、カスタマイズには次のセクションで概説するようにプロビジョニング証明書を展開する必要があります。帯域外管理で使用するすべての証明書に専用の証明書テンプレートを使用することが、推奨されるセキュリティ運用方法です。テンプレートをカスタマイズするには、CA が Windows Server オペレーティング システムの Enterprise Edition を実行している必要があります。
証明書テンプレートのバージョンとプロビジョニング証明書
多くの場合、帯域外で AMT ベース コンピュータを管理するために各サイトにインストールされるプロビジョニング証明書には、サーバー認証機能 (OID 1.3.6.1.5.5.7.3.1) に加えて、既定の証明書テンプレートには存在しない特殊なオブジェクト識別子 (OID) が必要となります。つまり、既存の証明書テンプレートを変更して、カスタム オブジェクト識別子を含むようにする必要があります。このためには、Configuration Manager がバージョン 3 で作成された証明書をサポートしないため、バージョン 2 のテンプレートを使用します。バージョン 2 のテンプレートは、Windows Server 2003 の Standard Editions または Windows Server 2008 ではサポートされません。
ただし、プロビジョニング証明書用に外部の CA を使用しており、会社が独自の証明書要求方法 (たとえば、Web 登録サイトに接続するなど) を展開している場合は、プロビジョニング証明書用の証明書テンプレートを使用する必要はありません。
証明書要求ファイルを使用して要求を送信する必要がある外部 CA を使用している場合、または独自の内部 CA を使用してプロビジョニング証明書を提供している場合、証明書にカスタム OID が指定されているときはバージョン 1 の証明書テンプレートを使用できません。代わりに、変更してカスタム OID を含めることができるように、バージョン 2 のテンプレートを使用する必要があります。外部 CA へ証明書要求を送信する場合、また、独自の内部 CA を使用する場合の展開例については、「AMT および帯域外管理に必要な PKI 証明書の展開手順の例: Windows Server 2003 証明機関」を参照してください。
証明書テンプレートのバージョンと AMT ベース コンピュータ向けの証明書
各 AMT ベース コンピュータには、管理コントローラのメモリにインストールされる証明書が必要です。この証明書には、サーバー認証機能 (OID 1.3.6.1.5.5.7.3.1) のみが必要とされます。この要件は、Web Server という名前の既定のバージョン 1 テンプレートに一致します。したがって、Web Server テンプレートを使用できます。セキュリティのアクセス許可のみを変更すれば、サイト サーバーがこのテンプレートを使用して読み取りと登録を実行できるようになります。
ところが、Web Server テンプレートを複製すると、使用する証明書をさらに詳細に制御できます。これは、帯域外管理で使用してる証明書を区別するために、名前と説明を変更できるからです。また、有効期間やキー サイズなど、証明書のプロパティも変更できます。バージョン 2 のテンプレートにはさらに優れた制御機能が備わっているので、帯域外管理に使用することをお勧めします。これらのテンプレートを使用する場合、Windows Server オペレーティング システムの Enterprise Edition が必要です。
Configuration Manager 2007 SP2 向けの 802.1X 認証ワイヤード (有線) ネットワークとワイヤレス ネットワークに対してクライアント証明書が必要な場合は、Windows Server オペレーティング システムの Enterprise Edition も必要です。この証明書の詳細については、「Configuration Manager 2007 SP2 のみで有効な AMT ベースのコンピュータ用オプションのクライアント証明書」を参照してください、
AMT プロビジョニング証明書
次のセクションでは、プロビジョニング証明書を要求するために独自の内部 CA を使用できるのか、それとも外部 CA を使用する必要があるのかどうかについて、および証明書のサブジェクト名要件に関する情報について説明します。
外部 CA と内部 CA の選択
Configuration Manager は、プロビジョニングされていない帯域外の AMT ベース コンピュータを管理できません。既定では、コンピュータの製造元が AMT ベースのコンピュータを VeriSign、Go Daddy、Comodo、Starfield などの外部の証明機関 (CA) を使用するように構成します。外部の CA からプロビジョニング証明書を購入し、このプロビジョニング証明書を使用するように Configuration Manager を構成した場合、AMT ベースのコンピュータがプロビジョニング証明書の CA を信頼するので、プロビジョニングを正常に実行できます。
内部 CA を使用してプロビジョニング証明書を提供するように計画している場合は、次のいずれかの条件を満たす必要があります。
コンピュータの製造元から、内部ルート証明書の拇印を含むカスタマイズされたファームウェア イメージが提供されている。これは、非認証のプロビジョニング サーバーから保護できるよう、セキュリティのために推奨されます。カスタマイズされたファームウェア イメージの使用方法については、「コンピュータの製造元から提供されるカスタマイズされたファームウェア イメージが必要かどうかを決定する」を参照してください。
Configuration Manager 2007 SP1 以降で帯域外管理用にプロビジョニングされた各コンピュータに、内部ルート証明書の拇印を手動で追加する。証明書の拇印の値で AMT 証明書のハッシュ オプションを構成する方法については、コンピュータの製造元のマニュアルを参照してください。
内部ルート証明書の拇印を見つける方法については、「AMT プロビジョニング用の内部ルート証明書の拇印を検出する方法」を参照してください。
証明書のサブジェクト名の要件
Configuration Manager は、AMT プロビジョニング処理中に、Configuration Manager データベースから取得した AMT ベース コンピュータの FQDN を使用して、AMT BIOS 拡張設定内にホスト名と DNS サフィックスを構成します。その後、DNS サフィックスは、プロビジョニング証明書のサブジェクト名に対してチェックされます。プロビジョニング証明書のサブジェクト名には、帯域外サービス ポイントの役割で構成されたサイト システム サーバーの FQDN が含まれます。
AMT ベース コンピュータの FQDN が、AMT プロビジョニング証明書に指定された FQDN と同じ名前空間を共有している場合、AMT プロビジョニングは正常に実行されます。同じ名前空間を共有していない場合は、AMT プロビジョニングが失敗します。
以下の例は、AMT ベース コンピュータが帯域外サービス ポイントと同じ名前空間を共有する場合です。
AMT ベース コンピュータの FQDN は computer1.contoso.com であり、帯域外サービス ポイントの FQDN は server1.contoso.com です。
AMT ベース コンピュータの FQDN は computer1.sales.contoso.com であり、帯域外サービス ポイントの FQDN は server1.contoso.com です。
AMT ベース コンピュータの FQDN は computer1.sales.contoso.com であり、帯域外サービス ポイントの FQDN は server1.marketing.contoso.com です。
上記の例では、AMT ベース コンピュータと帯域外サービス ポイントは、名前空間 contoso.com を共有します。
以下の例は、AMT ベース コンピュータが帯域外サービス ポイントと同じ名前空間を共有しない場合です。
AMT ベース コンピュータの FQDN は computer1.contoso.com であり、帯域外サービス ポイントの FQDN は server1.northwindtraders.com です。
AMT ベース コンピュータの FQDN は computer1.northwindtraders.com であり、帯域外サービス ポイントの FQDN は server1.contoso.com です。
上記の例では、AMT ベース コンピュータと帯域外サービス ポイントが共通の名前空間を共有していません。このような場合は、両方のコンピュータが同じ Active Directory フォレストに属している場合でも、結果的に AMT プロビジョニングが失敗します。また、帯域外管理では、分離された名前空間もサポートされていません。たとえば、computer1.contoso.com という FQDN が指定されているのに、na.corp.contoso.com という名前の Active Directory ドメインに存在している AMT ベースのコンピュータは、帯域外管理によるプロビジョニングを正常に行うことができません。
プロビジョニング証明書は、帯域外サービス ポイント サイト システム サーバーにインストールされます。このサーバーの FQDN は、プロビジョニング証明書のサブジェクト名で提供される必要があります。独自の内部 CA を使用してプロビジョニング証明書を提供する場合、帯域外サービス ポイント サイト システム サーバーの FQDN は、証明書要求で自動的に構成できます。詳細については、「AMT および帯域外管理に必要な PKI 証明書の展開手順の例: Windows Server 2003 証明機関」を参照してください。
重要
帯域外サービス ポイントと同じ名前空間を共有しないと、AMT ベース コンピュータをプロビジョニングできません。つまり、異なる Active Directory フォレストに属す AMT ベース コンピュータはプロビジョニングできません。また、AMT ベース コンピュータと帯域外サービス ポイントが同じ DNS ツリーに属している場合以外は、名前空間が不連続になっているフォレストで帯域外管理を使用できません。同じツリー内の分離された名前空間もサポートされていません。
AMT プロビジョニング証明書の更新
AMT プロビジョニング証明書の期限が切れているとプロビジョニングが失敗するので、有効期限が切れる前に AMT プロビジョニング証明書を更新し、新しい証明書で帯域外管理を構成してください。新しい証明書は、既存の証明書の有効期限が切れる前に、十分に余裕を持って要求してください。プロビジョニング証明書用に外部 CA を使用している場合は、この時間的余裕が特に重要です。
AMT プロビジョニング証明書の期限切れが近づくと、Configuration Manager は ID 7210 の警告ステータス メッセージを生成し、使用中のプロビジョニング証明書の有効期限が 40 日以内に切れることを通知します。このステータス メッセージは、証明書が 40 日を超える有効期間で置き換えられるか、または有効期間が 15 日未満になるまで、1 日に一度繰り返し送信されます。有効期間が 15 日未満になると、ID 7211 のエラー ステータス メッセージが生成され、証明書が 15 日を超える有効期間で置き換えられるまで繰り返し送信されます。
注意
帯域外管理コンポーネントの構成プロパティは、新しい証明書で構成する必要があります。新しい証明書は、帯域外サービス ポイント サイト システム コンピュータ内の証明書ローカル ストアにインストールするだけでは不十分です。詳細については、「AMT プロビジョニングの構成方法」を参照してください。
ステータス メッセージを使用して帯域外管理を監視する方法の詳細については、「帯域外管理の監視方法」を参照してください。
サイト ステータス構成の詳細については、「サイト ステータス構成の構成方法」を参照してください。
AMT ベース コンピュータ向けの Web サーバー証明書
一般的な概念では、ワークステーション コンピュータが、サーバー上の Web サイトに対してクライアントとして機能しますが、帯域外管理の場合は、これとは逆になります。AMT ベース コンピュータは、ファームウェア内で Web サーバー コンポーネントを実行し、これらを管理するコンピュータ (帯域外サービス ポイント、および帯域外管理コンソールを実行しているコンピュータ) はクライアントとして機能します。
AMT メモリにインストールされる証明書には、サーバー認証機能が必要です。これにより、証明書が、管理を行うコンピュータに対して認証され、これらのコンピュータ間で送信されるデータが Transport Layer Security (TLS) を使用して暗号化されます。TLS は SSL 3.0 に密接に関連している業界標準プロトコルであり、改ざん、傍受、および偽造からメッセージを保護するのに役立ちます。TLS の詳細については、https://go.microsoft.com/fwlink/?LinkId=108709 を参照してください。
帯域外管理は、相互 PKI 認証を使用しません。AMT ベースのコンピュータは、それを管理するコンピュータに対して認証されますが、管理しているコンピュータには、対応するクライアント PKI 証明書はありません。その代わり、これらの通信は、TLS 接続と以下のユーザー アカウントを使用して保護されます。
Kerberos 認証を使用して帯域外管理コンソールを実行する Windows ユーザー アカウント
HTTP Digest 認証を使用する AMT プロビジョニングと探索アカウント
HTTP Digest 認証を使用する AMT MEBx アカウント
Kerberos 認証を使用する AMT ユーザー アカウント
HTTP Digest 認証を使用する AMT リモート管理アカウント
AMT ベース コンピュータ向けの Web サーバー証明書の更新
AMT ベース コンピュータの期限切れの Web サーバー証明書を更新していない場合、Configuration Manager は、帯域外でコンピュータを管理できなくなります。
Configuration Manager は、AMT ベース コンピュータに展開した証明書を監視しており、証明書の有効期限が切れる前に、新しい証明書を自動的に要求します。この方法では、発行元の CA にすぐに連絡できない場合でも、業務をシームレスに継続しながら、十分な猶予期間を確保できます。
帯域外サービス ポイントをインストールすると、帯域外管理保守タスクが自動的に有効になり、AMT ベース コンピュータに発行した証明書の残りの有効期間が定期的にチェックされます。このシステムでは 7 日おきにチェックされ、有効期間が 42 日以下になると新しい証明書が要求されます。
これらの設定を調整したり、有効期限が近い証明書の確認を開始したりする必要がある場合は、「帯域外管理の保守タスクをカスタマイズする方法」を参照してください。
注意
Configuration Manager 2007 SP2 の帯域外サービス ポイントがワイヤレス ネットワーク接続によって AMT ベースのコンピュータに接続されている場合、証明書の更新はできません。
Configuration Manager 2007 SP2 のみで有効な AMT ベースのコンピュータ用オプションのクライアント証明書
Configuration Manager 2007 SP2 では、802.1X 認証ワイヤード (有線) ネットワークとワイヤレス ネットワーク上での帯域外管理をサポートします。以下のシナリオでは、RADIUS サーバーで認証するために、AMT ベースのコンピュータのクライアント証明書が必要な場合があります。RADIUS サーバーが EAP-TLS 認証用に構成されている場合、クライアント証明書は常に必要です。RADIUS サーバーが、EAP-TTLS/MSCHAPv2 または PEAPv0/EAP-MSCHAPv2 用に構成されている場合、クライアント証明書が必要かどうかはその RADIUS 構成によって指定されます。
サイト サーバーは、プロビジョニング処理中、またAMT ベースのコンピュータが有効なクライアント証明書なしですでにプロビジョニングされており、ワイヤード (有線) 接続の管理コントローラを更新する場合に、AMT ベースのコンピュータのクライアント証明書を要求します。802.1X 認証ワイヤード (有線) ネットワークのサポートを構成する場合に使用するクライアント証明書テンプレートは 1 つのみ指定でき、異なるワイヤレス ネットワークのサポートを構成する場合に使用する各種クライアント証明書テンプレートは最大 8 つまで指定できます。ただし、推奨されるセキュリティ運用方法として、また管理を簡易化するため、業務上、異なるクライアント証明書 (異なるキー サイズと有効日付、または異なるルート CA など) を使用する正当な理由がない限り、同じ証明書テンプレートを指定してください。この追加の証明書は、AMT メモリにもインストールされ、AMT ベースのコンピュータが RADIUS サーバーに対して認証されるように、クライアント認証機能 (OID 1.3.6.1.5.5.7.3.2) のみを必要とします。認証が成功したら、AMT ベースのコンピュータをネットワーク アクセスに対して認証および構成することができます。この証明書は、Configuration Manager インフラストラクチャに対してコンピュータを認証するのに使用されることは決してありません。
単一の AMT ベースのコンピュータに対して複数のクライアント証明書が要求された場合、AMT は、正しいクライアントが対応する構成で使用されるように、それぞれの証明書を追跡します。たとえば、2 つ目のワイヤレス プロファイルを指定し、1 つ目のワイヤレス プロファイルに指定した証明書テンプレートと異なるテンプレートを使用するように構成した場合、その 2 つ目のワイヤレス プロファイルに対して要求およびインストールされた証明書は、AMT ベースのコンピュータが 1 つ目のワイヤレス プロファイルを使用してワイヤレス ネットワークに接続される場合に使用されることは決してありません。
証明書テンプレートのクライアント認証機能のほかに、証明書を要求しているサイト サーバーが AMT ベースのコンピュータごとに FQDN を提供できるように、[要求に含まれる] も指定する必要があります。クライアント認証機能と [要求に含まれる] の両方が使用される証明書テンプレートを構成するには、カスタマイズされた証明書テンプレートを使用する必要があります。使用できる最も類似する証明書テンプレートは、[ワークステーション認証] です。これを複製してから、証明書サブジェクト構成に合わせてカスタマイズし、セキュリティのアクセス許可を変更できます。これらの重複した証明書テンプレートを構成する場合、Windows Server オペレーティング システムの Enterprise Edition が必要です。オプションのクライアント認証証明書の例示した証明書テンプレートを構成する方法の詳細については、このトピックの最初に示している展開手順例を参照してください。
AMT ベース コンピュータ用クライアント証明書の更新
AMT ベース コンピュータの期限切れのクライアント サーバー証明書を更新していない場合、Configuration Manager は、関連付けられている802.1X 認証ワイヤード (有線) ネットワークやワイヤレス ネットワークを使用して、帯域外でコンピュータを管理できなくなります。
AMT ベースのコンピュータに展開される Web サーバー証明書を監視するだけでなく、Configuration Manager は、展開されているすべてのクライアント証明書を監視し、元の証明書の有効期限が切れる前に自動的に新しい証明書を要求します。帯域外管理の証明書の更新の詳細については、AMT ベース コンピュータ用 Web サーバー証明書の更新に関する前のセクションを参照してください。
帯域外管理証明書に対する CRL チェックと証明書の失効
次のセクションでは、帯域外サービス ポイントのプロビジョニング証明書、AMT ベースのコンピュータの Web サーバー証明書、および Configuration Manager 2007 SP2 の AMT ベースのコンピュータのオプションのクライアント証明書の、証明書の失効と証明書失効リスト (CRL) の確認について説明します。
プロビジョニング証明書の CRL チェック
AMT ベース コンピュータでは、証明書失効リスト (CRL) をダウンロードして、プロビジョニング証明書が失効しているかどうかをチェックできません。つまり、AMT ベース コンピュータでは、発行元の CA が失効にしたプロビジョニング証明書でも承認することになります。プロビジョニング証明書が失効していることを把握している場合は、帯域外サービス ポイント サイト システム サーバーの証明書ストアからその証明書を削除してください。次に、新しいプロビジョニング証明書を展開し、それを帯域外管理コンポーネントの構成のプロパティで構成します。有効な AMT プロビジョニング証明書をすぐに展開できない場合は、証明書を置き換えるまでの間、帯域外サービス ポイントの役割を削除しておきます。
Web サーバー証明書の CRL チェック
AMT ベースのコンピュータ (帯域外サービス ポイント サイト システム、および帯域外管理コンソールを実行しているコンピュータ) に接続されている Configuration Manager コンピュータによる CRL チェックは、Windows Remote Management (WinRM) によって実行されます。Windows Server 2008 R2 と Windows 7 以前のオペレーティング システムでインストールされる WinRM のバージョンでは、CRL チェックをサポートしません。Windows Server 2008 R2 と Windows 7 でインストールされる WinRM のバージョンでは、CRL チェックをサポートします。以前のオペレーティング システムに対して CRL チェックをサポートする WinRM の新しいバージョンをダウンロードおよびインストールできる場合もあります。
WinRM のバージョンによってその CRL チェックのサポート機能が異なるため、帯域外管理によって次のような動作が生じます。
CRL チェックが、帯域外サービス ポイント サイト システムと、帯域外管理コンソールを実行しているすべてのコンピュータによってサポートされていない場合、それらのコンピュータでは、AMT ベースのコンピュータに対して失効された Web サーバー証明書を今までどおり受け入れます。
CRL チェックが、帯域外サービス ポイント サイト システムと、帯域外管理コンソールを実行しているコンピュータによってサポートされている場合、それらのコンピュータでは、AMT ベースのコンピュータに対して失効された Web サーバー証明書を受け入れなくなります。さらに、信頼されていない証明書に対する追加の保護策として、CRL にアクセスできない場合は、帯域外管理通信はこれらのシナリオの実行に失敗します。(たとえば、オフラインであるか、ネットワーク通信問題が原因でアクセスできない場合。)
注意
通常、CRL チェックを実行しないコンピュータは、Windows Server 2008 R2 あるいは Windows 7 以前のオペレーティング システムを実行しています。
以下のシナリオでは、プロビジョニング処理で各 AMT ベース コンピュータに発行された Web サーバー証明書が、Configuration Manager によって自動的に失効にされます。
Configuration Manager を使用して、プロビジョニング情報をコンピュータから削除した場合。サイト サーバーは、当該認証が置き換えられた (危害なし) という失効理由により証明書を失効にします。
コンピュータをプロビジョニングして、以前同じ AMT ベース コンピュータに発行された証明書が Configuration Manager によって検出された場合。この状況になるのは、BIOS 拡張設定内でプロビジョニング構成を削除するオプションを使用して AMT ベース コンピュータがローカルに構成されている場合です。サイト サーバーは、当該認証が置き換えられた (危害なし) という理由で証明書を失効し、新しい証明書を要求します。
帯域外管理保守タスクの [プロビジョニング済みの AMT コンピュータの証明書の評価] は、構成されたスケジュールに従って実行されます。証明書が構成された更新の有効期間内であることが検出されると、サイト サーバーは [優先] という失効理由で証明書を失効し、新しい証明書を要求します。この保守タスクの詳細については、前のセクション「AMT ベースのコンピュータ向けの Web サーバー証明書の更新」を参照してください。
Configuration Manager 2007 SP2 の場合にのみ適用:AMT に対してプロビジョニングされている Configuration Manager クライアントをブロックします。サイト サーバーは、当該認証が置き換えられた (危害なし) という失効理由により証明書を失効にします。このシナリオの詳細については、「クライアントのブロックと帯域外管理について」を参照してください、
管理コントローラでデータを更新しても、Web サーバー証明書は失効しません。
プライマリ サイト サーバー コンピュータは、発行元証明機関の証明書の発行および管理アクセス許可を持っている必要があります。
重要
Web サーバー証明書が Configuration Manager によって自動的に失効にされる可能性がある場合は、PKI 管理者に必ずこの状況を通知してください。その際、AMT ベース コンピュータでのセキュリティ問題というよりも、証明書管理において予期される現象として説明します。
オプションのクライアント証明書の CRL チェック
オプションのクライアント証明書は、RADIUS サーバーの認証用にに使用され、Configuration Manager のインフラストラクチャの認証に使用されることは決してありません。 つまり、このクライアント証明書に対して CRL チェックを実行するのは、RADIUS サーバーです。CRL チェックがサポートされているかどうか、また、クライアント証明書が失効されたり CRL にアクセスできなかったりした場合の AMT ベースのコンピュータの動作に関しては、RADIUS ソリューションついてのドキュメントを参照してください。
注意
Microsoft RADIUS ソリューションでは CRL チェックを実行します。たとえば、Windows Server 2008 の ネットワーク ポリシー サーバーでは AMT ベースのコンピュータの CRL チェックを実行し、クライアント証明書が失効されたり、CRL にアクセス可能でないために検証できない場合に接続要求を拒否します。
AMT ベースのコンピュータごとに発行されるクライアント証明書は、Configuration Manager によって、Web サーバー証明書を失効するのと同じシナリオに対する [置き換え済み] という失効理由により、自動的に失効されます。さらに、構成によっては、管理コントローラを更新して Configuration Manager 802.1X 認証ワイヤード (有線) ネットワーク構成か、ワイヤレス プロファイルの 1 つのクライアント証明書テンプレートを構成する度に、クライアント証明書 (または複数のクライアント証明書) が失効される場合があります。
重要
クライアント証明書が Configuration Manager によって自動的に失効される可能性がある状況について、必ず PKI 管理者に通知してください。これは、AMT ベース コンピュータのセキュリティ上の問題というよりも、証明書管理において予期される現象として説明してください。
参照:
タスク
コンピュータを AMT 用にプロビジョニングする方法
AMT ベース コンピュータのプロビジョニング情報の削除方法
帯域外管理を使用してプロビジョニングされたコンピュータの AMT 設定を更新する方法
概念
帯域外管理用の AMT プロビジョニングについて
AMT プロビジョニングおよび探索アカウントについて
AMT リモート管理アカウントについて
AMT ユーザー アカウントについて
MEBx アカウントについて
帯域外管理の管理者の役割とプロセスを決定する
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.