Configuration Manager の証明書プロファイルの構成

 

適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックの情報は、System Center 2012 R2 Configuration Manager のバージョンのみに適用されます。

Configuration Manager を使ってデバイスとユーザー用の証明書を登録する前に、このトピックで説明している構成手順に従う必要があります。

Configuration Manager で証明書の登録を構成する手順

Configuration Manager で証明書の登録を構成する方法の手順と説明、詳細情報については、次の表を参照してください。 また、作業を始める前に、「Configuration Manager の証明書プロファイルの前提条件」にある前提条件を確認してください。

以下の作業が終わり、正常にインストールされていることを確認したら、証明書プロファイルの構成と展開を行うことができます。 詳細については、「Configuration Manager で証明書プロファイルを作成する方法」をご覧ください。

手順	説明	説明
手順 1: ネットワーク デバイス登録サービスおよび依存する要素をインストールおよび構成する	Active Directory 証明書サービス (AD CS) 用のネットワークデバイス登録サービスの役割サービスは、Windows Server 2012 R2 オペレーティング システムで実行する必要があります。 重要 Configuration Manager でネットワーク デバイス登録サービスを使用するには、追加の構成作業が必要です。	このトピックの「手順 1: ネットワーク デバイス登録サービスおよび依存する要素をインストールおよび構成する」をご覧ください。
手順 2:証明書登録ポイントをインストールおよび構成する	証明書登録ポイントを少なくとも 1 つインストールする必要があります。 この登録ポイントは、中央管理サイトとプライマリ サイトのどちらにあってもかまいません。	このトピックの「手順 2:証明書登録ポイントをインストールおよび構成する」をご覧ください。
手順 3:Configuration Manager ポリシー モジュールをインストールする	ネットワーク デバイス登録サービスを実行するサーバーにポリシー モジュールをインストールします。	このトピックの「手順 3:Configuration Manager ポリシー モジュールをインストールする」をご覧ください。

Configuration Manager で証明書の登録を構成するための補足手順

前の表の手順で補足手順が必要な場合は、次の情報を参考にしてください。

手順 1: ネットワーク デバイス登録サービスおよび依存する要素をインストールおよび構成する

Active Directory 証明書サービス (AD CS) 用のネットワーク デバイス登録サービスの役割サービスをインストールして構成し、証明書テンプレートのセキュリティ アクセスを変更し、公開キー基盤 (PKI) クライアント認証証明書を展開して、レジストリでインターネット インフォメーション サービス (IIS) の既定の URL サイズの制限を上げます。 必要に応じて、証明書の発行元証明機関 (CA) でカスタムの有効期限を使えるように構成します。

重要
Configuration Manager でネットワーク デバイス登録サービスを使用するように構成する前に、ネットワーク デバイス登録サービスが正しくインストールされて構成されていることを確認してください。 サービスに依存する要素が正しく動作しないと、Configuration Manager による証明書登録のトラブルシューティングが難しくなります。

ネットワーク デバイス登録サービスおよび依存する要素をインストールして構成するには

1. Windows Server 2012 R2 を実行しているサーバーに、ネットワーク デバイス登録サービスの役割サービスをインストールし、Active Directory 証明書サービス サーバーの役割用に構成します。 詳細については、TechNet の Active Directory 証明書サービスの「Network Device Enrollment Service Guidance (ネットワーク デバイス登録サービス ガイド)」を参照してください。

2. 必要に応じて、ネットワーク デバイス登録サービスが使用している証明書テンプレートのセキュリティ アクセス許可を変更します。

   - Configuration Manager コンソールを実行するアカウントの場合:**\[読み取り\]** アクセス許可。
   
     このアクセス許可は、証明書プロファイルの作成ウィザードを実行して、SCEP 設定プロファイルの作成に使用する証明書テンプレートを参照して選択するときに必要です。 証明書テンプレートを選択すると、ウィザードのページに設定値がいくつか自動的に挿入されます。そのため、手動で入力する手間が省けるだけでなく、ネットワーク デバイス登録サービスが使用している証明書テンプレートと適合しない設定を選択する危険性が低くなります。
   
   - ネットワーク デバイス登録サービスのアプリケーション プールで使用する SCEP サービス アカウントの場合:**\[読み取り\]** および **\[登録\]** のアクセス許可
   
     この要件は Configuration Manager に固有ではなく、ネットワーク デバイス登録サービスの構成に含まれます。 詳細については、TechNet の Active Directory 証明書サービスの「[Network Device Enrollment Service Guidance (ネットワーク デバイス登録サービス ガイド)](https://go.microsoft.com/fwlink/p/?linkid=309016)」を参照してください。
   

   ヒント
   どの証明書テンプレートをネットワーク デバイス登録サービスで使用しているかを調べるには、ネットワーク デバイス登録サービスを実行しているサーバーの「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP」というレジストリ キーを開きます。

   [!メモ]

   これらは、ほとんどの環境に適した既定のセキュリティ アクセス許可です。 ただし、別のセキュリティ構成を使用することもできます。 詳細については、「Configuration Manager の証明書プロファイルに関する証明書テンプレート アクセス許可の計画」をご覧ください。

3. このサーバーに、クライアント認証をサポートするPKI 証明書を展開します。 使用するコンピューターに、既に適切な証明書がインストールされている場合もあれば、この目的専用の証明書を展開しなければならない (または展開したい) 場合もあります。 この証明書の要件の詳細については、「サーバー向け PKI 証明書」トピックの「Configuration Manager での PKI 証明書の要件」セクションの「ネットワーク デバイス登録サービスの役割サービスが設定された Configuration Manager ポリシー モジュールを実行するサーバー」を参照してください。

   ヒント
   この証明書の展開の詳細については、「配布ポイント用のクライアント証明書の展開」トピックの「Configuration Manager PKI 証明書の展開手順の例:Windows Server 2008 証明機関」の説明を参照してください。証明書の要件は同じですが、 証明書テンプレートのプロパティの [要求処理] タブにある [プライベート キーのエクスポートを許可する] チェック ボックスをオンにしないでください。 Configuration Manager ポリシー モジュールを構成するときに、ローカルのコンピューター ストアを参照して選択できるので、プライベート キーを使用してこの証明書をエクスポートする必要はありません。

4. クライアント認証証明書が関連付けられているルート証明書を探します。 そのルート CA 証明書を証明書ファイル (.cer) にエクスポートします。 このファイルを、後で証明書登録ポイント サイト システム サーバーのインストールと構成を行うときに安全にアクセスできる場所に保存します。

5. 同じサーバーでレジストリ エディターを使って IIS の既定の URL サイズの制限を上げます。このためには、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters のレジストリ キー DWORD を次のように設定します。

   - **MaxFieldLength** キーを **65534** に設定します。
   
   - **MaxRequestBytes** キーを **16777216** に設定します。
   

   詳細については、Microsoft サポート技術情報の記事 「Windows 用の Http.sys レジストリ設定」を参照してください。

6. 同じサーバーでインターネット インフォーメーション サービス (IIS) マネージャーを開き、/certsrv/mscep アプリケーションの要求のフィルタリング設定を変更してサーバーを再起動します。[要求フィルター設定の編集] ダイアログ ボックスの [要求制限] 設定は次のように設定されています。

   - **許可されたコンテンツ最大長 (バイト)**:**30000000**
   
   - **URL の最大長 (バイト)**:**65534**
   
   - **クエリ文字列の最大長 (バイト)**:**65534**
   

   これらの設定とその構成方法の詳細については、IIS リファレンス ライブラリの「Requests Limits (要求の制限)」を参照してください。

7. 使用している証明書テンプレートよりも有効期間が短い証明書を要求できるようにしたい場合があります。この設定は、エンタープライズ CA では既定で無効になっています。 エンタープライズ CA でこのオプションを有効にするには、次のように、Certutil コマンドライン ツールを使って設定を変更してから、証明書サービスをいったん停止して再開します。

   1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

   詳細については、TechNet ライブラリの PKI Technologies セクションの「Certificate Services Tools and Settings (証明書サービスのツールと設定)」を参照してください。

8. 次のようなリンクを使用して、ネットワーク デバイス登録サービスが動作していることを確認してください。例: **https://server.contoso.com/certsrv/mscep/mscep.dll**。 組み込まれているネットワーク デバイス登録サービスの Web ページが表示されるはずです。 この Web ページには、登録サービスの紹介と、ネットワーク デバイスが証明書要求を送信する URL の説明が記載されています。

ネットワーク デバイス登録サービスと依存する要素の構成が完了したら、証明書登録ポイントをインストールおよび構成することができます。

手順 2:証明書登録ポイントをインストールおよび構成する

Configuration Manager の階層に証明書登録ポイントを少なくとも 1 つインストールして構成する必要があります。このサイト システムの役割は、中央管理サイトまたはプライマリ サイトにインストールできます。

重要
証明書登録ポイントをインストールする前に、「」トピックの「」セクションで、証明書登録ポイントのオペレーティング システムの要件と依存関係を確認してください。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

証明書登録ポイントをインストールおよび構成するには

1. Configuration Manager コンソールで [管理] をクリックします。

2. [管理] ワークスペースで [サイトの構成] を展開し、[サーバーとサイト システムの役割] をクリックしてから、証明書登録ポイントに使用するサーバーを選択します。

3. [ホーム] タブの [サーバー] グループで、[サイト システムの役割の追加] をクリックします。

4. [全般] ページで、サイト システムの全般設定を指定し、[次へ] をクリックします。

5. [プロキシ] ページで [次へ] をクリックします。 証明書登録ポイントでは、インターネット プロキシ設定を使用しません。

6. [システムの役割の選択] ページで、利用可能な役割の一覧から [証明書登録ポイント] を選択してから、[次へ] をクリックします。

7. [証明書登録ポイント] ページで、既定の設定をそのまま使用するか変更して、[追加] をクリックします。

8. [URL とルート CA 証明書の追加] ダイアログ ボックスで、次の項目を指定し、[OK] をクリックします。

   1. ネットワーク デバイス登録サービスの URL:次の形式で、URL を指定します。https://<server_FQDN>/certsrv/mscep/mscep.dll。 たとえば、ネットワーク デバイス登録サービスを実行している FQDN が「server1.contoso.com」の場合は、「**https://server1.contoso.com/certsrv/mscep/mscep.dll**」と入力します。

   2. ルート CA 証明書:証明書 (.cer) ファイルを参照して選択します。これは、手順 1: ネットワーク デバイス登録サービスおよび依存する要素をインストールして構成する で作成および保存したファイルです。 証明書登録ポイントは、このルート CA 証明書を使って、Configuration Manager ポリシー モジュールが使用するクライアント認証証明書を検証します。

   [!メモ]

   ネットワーク デバイス登録サービスを実行するサーバーが複数ある場合は、[追加] をクリックして、他のサーバーの詳細を指定します。

9. [次へ] をクリックして、ウィザードを完了します。

10. インストールが完了するまで待ち、次のいずれかの方法を使用して、証明書登録ポイントが正常にインストールされたことを確認します。

    • [監視] ワークスペースで [システムのステータス] を展開し、[コンポーネントのステータス] をクリックし、[SMS_CERTIFICATE_REGISTRATION_POINT] コンポーネントからのステータス メッセージを参照します。

    • サイト システム サーバーで、<ConfigMgr インストール パス>\Logs\crpsetup.log ファイルおよび <ConfigMgr インストール パス>\Logs\crpmsi.log ファイルを使用します。 インストールが成功した場合、0 の終了コードを返します。

    • ブラウザーで証明書登録ポイントの URL (例: https://server1.contoso.com/CMCertificateRegistration) に接続できることを確認します。 アプリケーション名のサーバー エラー ページが開き、HTTP 404 の説明が表示されます。

11. 証明書登録ポイントが自動的に作成してエクスポートしたルート CA 証明書ファイルを、プライマリ サイト サーバー コンピューターの <ConfigMgr Installation Path>\inboxes\certmgr.box フォルダーで見つけます。 このファイルを、後でネットワーク デバイス登録サービスを実行しているサーバーに Configuration Manager ポリシー モジュールをインストールするときに安全にアクセスできる場所に保存します。

    ヒント
    この証明書ファイルは、上に示されているフォルダー内にすぐに格納されません。Configuration Manager がファイルをコピーするまで、30 分ほど待ってください。

証明書登録ポイントのインストールと構成が完了したら、ネットワーク デバイス登録サービスの Configuration Manager ポリシー モジュールをインストールできます。

手順 3:Configuration Manager ポリシー モジュールをインストールする

指定した各サーバーに、Configuration Manager ポリシー モジュールをインストールして構成する必要があります。これは、「手順 2: 証明書登録ポイントをインストールおよび構成する」で、証明書登録ポイントのプロパティの中で [ネットワーク デバイス登録サービスの URL] として指定したサーバーです。

ポリシー モジュールをインストールするには

1. ネットワーク デバイス登録サービスを実行するサーバーで、ドメイン管理者としてログオンし、次のファイルを Configuration Manager インストール メディアの <ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 フォルダーから一時フォルダーにコピーします。

   - PolicyModule.msi
   
   - PolicyModuleSetup.exe
   

   さらに、インストール メディアのに LanguagePack フォルダーがある場合、そのフォルダーとフォルダーの内容をコピーします。

2. 一時フォルダーから PolicyModuleSetup.exe を実行して、Configuration Manager ポリシー モジュールのセットアップ ウィザードを実行します。

3. ウィザードの最初のページで [次へ] をクリックしてライセンス条項に同意し、[次へ] ボタンをクリックします。

4. [インストール先フォルダー] ページで、ポリシー モジュールの既定のインストール先フォルダーをそのまま使用するか、別のフォルダーを指定し、[次へ] をクリックします。

5. [証明書登録ポイント] ページで、サイト システム サーバーの FQDN と証明書登録ポイントのプロパティで指定した仮想アプリケーション名から成る、証明書登録ポイントの URL を指定します。 既定の仮想アプリケーション名は CMCertificateRegistration です。 たとえば、サイト システム サーバーの FQDN が server1.contoso.com で、既定の仮想アプリケーション名を使用した場合、「**https://server1.contoso.com/CMCertificateRegistration**」と指定します。

6. [443] という既定のポートをそのまま使用するか、証明書登録ポイントが使用する別のポート番号を指定して、[次へ] をクリックします。

7. [ポリシー モジュールのクライアント証明書] ページで、「手順 1: ネットワーク デバイス登録サービスおよび依存する要素をインストールして構成する」で展開したクライアント認証証明書を参照して指定し、[次へ] をクリックします。

8. [証明書登録ポイント証明書] ページで [参照] をクリックし、「手順 2: 証明書登録ポイントをインストールおよび構成する」の最後で見つけて保存した、ルート CA にエクスポートされた証明書ファイルを選択します。

   [!メモ]

   この証明書ファイルを以前に保存していない場合は、サイト サーバー コンピューターの <ConfigMgr インストール パス>\inboxes\certmgr.box にあります。

9. [次へ] をクリックして、ウィザードを完了します。

ネットワーク デバイス登録サービスと依存する要素、証明書登録ポイント、および Configuration Manager ポリシー モジュールをインストールする構成手順を完了したら、証明書プロファイルを作成し、展開することで、証明書をユーザーとデバイスに展開できます。 証明書プロファイルの作成方法の詳細については、「Configuration Manager で証明書プロファイルを作成する方法」を参照してください。

Configuration Manager ポリシー モジュールをアンインストールする場合は、コントロール パネルの [プログラムと機能] を使用します。

参照

Configuration Manager の証明書プロファイル