次の方法で共有


AMT および帯域外管理に必要な PKI 証明書の展開手順の例: Windows Server 2008 証明機関

適用対象: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

ここでは、Windows Server 2008 の証明機関 (CA) を使用して展開する例を示し、Configuration Manager 2007 SP1 以降のバージョンで帯域外管理と AMT に必要な公開キー基盤 (PKI) 証明書を作成および展開する手順を説明します。Configuration Manager での帯域外管理の詳細については、「帯域外管理の概要」を参照してください。

注意

このトピックの情報は、Configuration Manager 2007 SP1 のみに適用されます。

この例では Active Directory 証明書サービスを使用し、Windows Server 2008 Enterprise Edition でエンタープライズ CA と証明書テンプレートを使用します。これらの手順は、テスト ネットワークでの概念実証としてのみ適しています。

必要な証明書の実装方法は 1 つではないので、実稼働環境で必要な証明書を展開するための手順と推奨される運用方法については、特定の PKI 展開のドキュメントを参照する必要があります。AMT および帯域外管理の証明書要件の詳細については、「帯域外管理の証明書要件」を参照してください。

重要

Configuration Manager 2007 SP1 以降のバージョンで AMT プロビジョニングを行うには、エンタープライズ CA と証明書テンプレートがある環境で Active Directory 証明書サービスを使用する必要があります。証明書展開の要件および使用の詳細については、「帯域外管理の証明書について」を参照してください。

このセクションの内容

この例では、Configuration Manager 2007 SP1 以降のバージョンのサイトがコンピュータを帯域外で管理するために必要な証明書の作成と展開について、次の各セクションで説明します。

テスト ネットワークの要件

概要

サイト システム サーバーに対する Windows セキュリティ グループの作成

AMT プロビジョニング証明書の要求、インストール、および準備

AMT ベース コンピュータ用の Web サーバー証明書の準備

802.1X AMT ベース コンピュータ用のクライアント認証証明書の準備

テスト ネットワークの要件

この例には、次の要件があります。

  • テスト ネットワークでは、Windows Server 2008 で Active Directory ドメイン サービスが動作しており、これが単一のドメイン、単一のフォレストとしてインストールされていること。

  • Windows Server 2008 Enterprise Edition を実行するドメイン コントローラがあり、次のサーバーの役割がインストールされていること。エンタープライズ ルート証明機関 (CA) として Active Directory 証明書サービスがインストールされている証明書サービス。

  • Windows Server 2008 (Standard Edition または Enterprise Edition) がインストールされていて、メンバ サーバーとして指定されているコンピュータを使用すること。

  • ルート ドメイン管理者のアカウントまたはエンタープライズ管理者のアカウントでログインでき、そのアカウントをこの展開の例のすべての手順で使用すること。

概要

Configuration Manager 2007 SP1 以降のバージョンでコンピュータの帯域外管理を行うには、その前に PKI 証明書が準備され、インストールされている必要があります。この例では、AMT 用にコンピュータをプロビジョニングするために必要な証明書を展開し、帯域外で管理できるようにするための手順について説明します。Configuration Manager 2007 SP1 以降での帯域外管理の詳細については、「帯域外管理の構成」を参照してください。

次の表では、AMT コンピュータの帯域外管理を行うために必要な PKI 証明書を示し、それらが Configuration Manager 2007 サイトでどのように使用されるかを説明します。

証明書の要件 証明書の説明

AMT プロビジョニング証明書

この証明書は、Configuration Manager 2007 SP1 で帯域外管理を行うための AMT ベースのコンピュータを準備するために使用されます。

AMT プロビジョニングの詳細については、「帯域外管理用の AMT プロビジョニングについて」を参照してください。

Web サーバー証明書

この証明書は、AMT ベースのコンピュータのかわりにプライマリ サイト サーバーによって要求され、コンピュータの AMT ファームウェアにインストールされます。

この証明書をインストールすると、この証明書によって、帯域外サービス ポイント サイト システム サーバーと帯域外管理コンソールを実行しているコンピュータに対して AMT ベース コンピュータが認証されます。また、Transport Layer Security (TLS) を使用して、これらのコンピュータ間のデータ転送がすべて暗号化されます。

クライアント認証証明書

Configuration Manager 2007 SP2 のみに適用される事項: 802.1X 認証ワイヤード (有線) またはワイヤレス接続上にある AMT ベース コンピュータを帯域外で管理するには、クライアント認証証明書の使用が必要な場合がある (EAP-TLS 認証方法では必須で、EAP-TTLS/MSCHAPv2 と PEAPv0/EAP-MSCHAPv2 認証方法ではオプション)。この証明書は、AMT ベースのコンピュータのかわりにプライマリ サイト サーバーによって要求され、コンピュータの AMT ファームウェアにインストールされます。

この証明書がインストールされると、ATM ベース コンピュータを RADIUS サーバーに対して認証するのに使用され、ネットワーク アクセスの認証と承認が行えるようになります。

証明書の詳細については、「帯域外管理の証明書要件」を参照してください。

この例の手順に従うと、最終的に次の構成が完了します。

  • 証明書テンプレートで使用する Windows セキュリティ グループの作成

  • AMT プロビジョニング証明書の要求、インストール、および準備

  • 発行 CA で証明書テンプレートを構成し、Web サーバー証明書を準備する

  • Configuration Manager 2007 SP2 のみに適用される事項: 発行 CA で証明書テンプレートを構成し、802.1X クライアント認証で使用するためにクライアント認証証明書を準備する。

サイト システム サーバーに対する Windows セキュリティ グループの作成

サイト システム サーバーに対して Windows セキュリティ グループを作成するには、次の手順に従います。これらのセキュリティ グループを使用すると、所定のサーバーだけが AMT プロビジョニングに必要な 2 つの証明書テンプレートを使用できるようにすることができます。

サイト システム サーバーに対して Windows セキュリティ グループを作成するには

  1. ドメイン コントローラで、[スタート]、[管理ツール]、[Active Directory ユーザーとコンピュータ] の順にクリックします。

  2. ドメインを右クリックし、[新規作成]、[グループ] の順にクリックします。

  3. [新しいオブジェクト – グループ] ダイアログ ボックスで、[グループ名] に「ConfigMgr プライマリ サイト サーバー」と入力し、[OK] をクリックします。

  4. 作成したグループを [Active Directory ユーザーとコンピュータ] で右クリックし、[プロパティ] をクリックします。

  5. [メンバ] タブをクリックし、[追加] をクリックして、メンバ サーバーを選択します。

  6. [OK] を 2 回クリックして、[グループのプロパティ] ダイアログ ボックスを閉じます。

  7. 手順 2 ~ 6 を繰り返します。ここではグループ名を「ConfigMgr Out of Band Service Points」とします。

  8. 新しい グループ メンバシップが認識されるように、メンバ サーバーが稼動している場合は再起動します。

    注意

    テスト環境では追加するサーバーは 1 つだけです。このサーバーはプライマリ サイト サーバーと帯域外サービス ポイントの両方に使用します。しかし実稼動環境では通常、帯域外管理をサポートするプライマリ サイトが複数あり、帯域外サービス ポイントをサイト サーバー以外のサーバーにインストールします。そのため、2 つのグループにアクセス許可を割り当て、一方のグループにすべてのプライマリ サイト サーバーを追加し、もう一方のグループにすべての帯域外サービス ポイント サイト システムを追加することが推奨されます。

    これらのサーバーに対してセキュリティ グループを作成することによって、これらのサーバーだけがこれらの証明書を要求できるようにアクセス許可を割り当てることができます。

AMT プロビジョニング証明書の要求、インストール、および準備

この作業は次の手順で構成されています。

  • 要件に応じて次のうち 1 つの手順のみを使用して AMT プロビジョニング証明書を要求しインストールします。

    • 外部 CA からの AMT プロビジョニング証明書の要求とインストール

    • 内部 CA からの AMT プロビジョニング証明書の要求とインストール

  • 帯域外管理コンポーネントのための AMT プロビジョニング証明書の準備

AMT ベースのコンピュータに内部ルート証明機関の証明書の拇印が設定されている場合に限り、プロビジョニング証明書を内部証明機関に要求できます。外部 CA と内部 CA の選択の詳細については、「帯域外管理の証明書について」を参照してください。内部ルート証明書の拇印を検索するためのヘルプについては、「AMT プロビジョニング用の内部ルート証明書の拇印を検出する方法」を参照してください。

外部 CA からの AMT プロビジョニング証明書の要求とインストール

AMT プロビジョニング証明書を発行する企業からの指示に従います。通常、企業の公開 Web サイトから証明書を要求します。また、選択した外部 CA についての詳細な指示は、Intel vPro Expert Center: Microsoft vPro Manageability Web サイト (https://go.microsoft.com/fwlink/?LinkId=132001) に掲載されている場合もあります。

重要

外部 CA は Intel AMT プロビジョニング オブジェクト識別子をサポートしない場合があります。その場合、Intel(R) Client Setup Certificate の OU 属性を提供する代替方法を使用してください。

外部 CA からの AMT 証明書は、帯域外サービス ポイントをホストするメンバー サーバー上のコンピュータ個人用証明書ストアにインストールしてください。この手順が完了すると、帯域外管理コンポーネント用の準備が整います。

内部 CA からの AMT プロビジョニング証明書の要求とインストール

内部 CA から AMT プロビジョニング証明書の要求とインストールを行うには

  1. Windows Server 2008 コンソールを実行するドメイン コントローラで、[スタート]、[プログラム]、[証明機関] の順にクリックします。

  2. 証明機関の名前を展開し、[証明書テンプレート] をクリックします。

  3. [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート コンソールを読み込みます。

  4. 結果ウィンドウで、[テンプレート表示名] 列に [Web サーバー] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  5. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  6. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、AMT プロビジョニング証明書テンプレートのテンプレート名を、たとえば「ConfigMgr AMT プロビジョニング」のように入力します。

  7. [要求処理] タブで [プライベート キーのエクスポートを許可する] を選択します。

  8. [サブジェクト名] タブで [Active Directory の情報から構築する] を選択し、それから [共通名] を選択します。

  9. [拡張機能] タブをクリックし、[アプリケーションのポリシー] がオンになっていることを確認してから [編集] をクリックします。

  10. [アプリケーション ポリシーの拡張の編集] ダイアログ ボックスで、[追加] をクリックします。

  11. [アプリケーションのポリシーの追加] ダイアログ ボックスで [新規] をクリックします。

  12. [新しいアプリケーションのポリシー] ダイアログ ボックスの [名前] フィールドに「AMT プロビジョニング」と入力してから、[オブジェクト識別子] に次の番号を入力します。2.16.840.1.113741.1.2.3.

  13. [OK] をクリックしてから、[アプリケーションのポリシーの追加] ダイアログ ボックスで [OK] をクリックします。

  14. [アプリケーション ポリシーの拡張の編集] ダイアログ ボックスで [OK] をクリックします。

  15. [新しいテンプレートのプロパティ] ダイアログ ボックスに、アプリケーション ポリシーの説明として「サーバー認証」と「AMT プロビジョニング」が表示されます。

  16. [セキュリティ] タブをクリックし、登録アクセス許可をセキュリティ グループ Domain Admins と Enterprise Admins から削除します。

  17. [追加] をクリックして、テキスト ボックスに「ConfigMgr 帯域外サービス ポイント」と入力し、[OK] をクリックします。

  18. このグループで、[読み取り] と [登録] を選択します。

  19. [OK] をクリックして、証明書テンプレート コンソールを閉じます。

  20. [証明機関] で、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  21. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr AMT プロビジョニング] を選択し、[OK] をクリックします。

    注意

    手順 19 または 20 を完了できない場合は、Windows Server 2008 Enterprise Edition を使用していることを確認してください。Windows Server Standard Edition と 証明書サービスを使用してテンプレートは作成できますが、Windows Server 2008 の Enterprise Edition を使用しない限り、更新した証明書テンプレートを使用して証明書を展開することはできません。

  22. [証明機関] を閉じないでください。

  23. メンバ サーバーで [スタート]、[ファイル名を指定して実行] の順にクリックし、「mmc.exe」と入力します。空のコンソールで、[ファイル] メニューの [スナップインの追加と削除] をクリックします。

  24. [スナップインの追加と削除] ダイアログ ボックスで、[利用できるスナップイン] のリストから [証明書] を選択し、[追加] をクリックします。

  25. [証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] を選択し、[次へ] をクリックします。

  26. [コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ:(このコンソールを実行しているコンピュータ)] オプションが選択されていることを確認し、[完了] をクリックします。

  27. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  28. コンソールで、[証明書 (ローカル コンピュータ)] を展開し、[個人用] をクリックします。

  29. [証明書] を右クリックし、[すべてのタスク]、[新しい証明書の要求] の順にクリックします。

  30. [開始する前に] ページで [次へ] をクリックします。

  31. [証明書の登録ポリシーの選択] ページが表示された場合、[次へ] をクリックします。

  32. [証明書の要求] ページで、表示されている証明書の一覧から [ConfigMgr AMT プロビジョニング] を選択し、[登録] をクリックします。

    注意

    この証明書テンプレートが見つからない場合は、前の手順でセキュリティ グループを構成した後、メンバ サーバーを再起動した (稼働中だった場合) ことを確認します。

  33. [証明書のインストール結果] ページで、証明書がインストールされるのを待ち、[完了] をクリックします。プロビジョニング証明書が表示されます。

    [証明書 (ローカル コンピュータ)] を閉じないでください。

これで、内部 CA からの AMT プロビジョニング証明書がインストールされ、帯域外管理コンポーネントのための準備ができるようになります。

帯域外管理コンポーネントのための AMT プロビジョニング証明書の準備

帯域外管理コンポーネントのための AMT プロビジョニング証明書を準備するには

  1. メンバ サーバーで実行されている [証明書 (ローカル コンピュータ)] で、プロビジョニング証明書を右クリックし、[すべてのタスク]、[エクスポート] の順にクリックします。

  2. 証明書のエクスポート ウィザードで、[次へ] をクリックします。

  3. [秘密キーのエクスポート] ページで、[はい] をクリックし、秘密キーをエクスポートしてから、[次へ] をクリックします。

  4. [エクスポート ファイルの形式] ページで、[Personal Information Exchange - PKCS #12 (.PFX)] が選択されていることを確認し、[証明のパスにある証明書を可能であればすべて含む] を選択します。

  5. [パスワード] ページで、エクスポートした証明書とその秘密キーを保護するために強力なパスワードを指定し、[次へ] をクリックします。

  6. [エクスポートするファイル] ページで、エクスポートするファイルのパスと名前を指定し、[次へ] をクリックします。

  7. [証明書のエクスポート ウィザードの完了] ページで [完了] をクリックし、その後 [証明書のエクスポート ウィザード] ダイアログ ボックスで [OK] をクリックします。

  8. ファイルをセキュリティで保護して保存し、Configuration Manager コンソールからアクセスできるようにします。

これで AMT プロビジョニング証明書を帯域外管理コンポーネント用に構成できるようになりました。詳細については、「AMT プロビジョニングの構成方法」を参照してください。

AMT ベース コンピュータ用の Web サーバー証明書の準備

AMT ベースのコンピュータの Web サーバー証明書を準備するには、次の手順に従います。

CA で Web サーバー証明書テンプレートを作成および発行するには

  1. [証明機関] 管理コンソールを実行しているドメイン コントローラで [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート コンソールを読み込みます。

  2. 結果ウィンドウで、[テンプレート表示名] 列に [Web サーバー] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  3. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  4. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、AMT コンピュータでの帯域外管理に使用する Web 証明書を生成するテンプレート名を、たとえば「ConfigMgr AMT Web サーバー証明書」のように入力します。

  5. [セキュリティ] タブをクリックし、登録アクセス許可をセキュリティ グループ Domain Admins と Enterprise Admins から削除します。

  6. [追加] をクリックし、テキスト ボックスに「ConfigMgr プライマリ サイト サーバー」と入力して、[OK] をクリックします。

  7. このグループで、[読み取り]、[登録]、および [自動登録] を [許可] のアクセス許可に選択します。

  8. [OK] をクリックして、証明書テンプレート コンソールを閉じます。

  9. [証明機関] コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  10. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr AMT Web サーバー証明書] を選択し、[OK] をクリックします。

  11. [証明機関] を閉じます。

AMT Web サーバー テンプレートの準備ができ、Web サーバー証明書で AMT コンピュータのプロビジョニングができるようになりました。

802.1X AMT ベース コンピュータ用のクライアント認証証明書の準備

Configuration Manager 2007 SP2 のみに適用される事項: 802.1X 認証ワイヤード (有線) またはワイヤレス ネットワーク用にクライアント証明書を使用する場合、次の手順にしたがって AMT ベース コンピュータ用にクライアント認証証明書を準備します。

CA でクライアント認証証明書テンプレートを作成および発行するには

  1. [証明機関] 管理コンソールを実行しているドメイン コントローラで [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート管理コンソールを読み込みます。

  2. 結果ウィンドウで、[テンプレート表示名] 列に [ワークステーションの認証] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

    重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  3. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、AMT コンピュータでの帯域外管理に使用するクライアント証明書を生成するテンプレート名を、たとえば「ConfigMgr AMT 802.1X クライアント認証証明書」のように入力します

  4. [サブジェクト名] タブをクリックし、[要求に含まれる] をクリックします。この設定に対し、警告のダイアログ ボックスで [OK] をクリックします。

  5. [セキュリティ] タブをクリックし、登録アクセス許可をセキュリティ グループ Domain Admins と Enterprise Admins から削除します。

  6. [追加] をクリックし、テキスト ボックスに「ConfigMgr プライマリ サイト サーバー」と入力して、[OK] をクリックします。

  7. このグループで、[読み取り] と [登録] を選択します。

  8. [OK] をクリックして、証明書テンプレート管理コンソール [certtmpl – [Certificate Templates]] を閉じます。

  9. [証明機関] 管理コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  10. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr AMT 802.1X クライアント認証証明書] を選択し、[OK] をクリックします。

  11. [証明機関] を閉じます。

これで、AMT ベース コンピュータが 802.1X クライアント認証用に使用できるよう、クライアント認証証明書テンプレートを使用して証明書を発行する準備が整いました。

参照:

タスク

コンピュータを AMT 用にプロビジョニングする方法

概念

帯域外管理用の AMT プロビジョニングについて

その他のリソース

帯域外管理の構成
Configuration Manager 2007 SP1 以降の帯域外管理

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.