次の方法で共有


Configuration Manager PKI 証明書の展開手順の例:Windows Server 2008 証明機関

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

ここでは、Windows Server 2008 の証明機関 (CA) を使用する展開を例として、Microsoft System Center 2012 Configuration Manager が使用する公開キー基盤 (PKI) 証明書を作成および展開する手順を説明します。 これらの手順は企業の証明機関 (CA) および証明書テンプレートを使用します。 これらの手順は、テスト ネットワークでの概念実証としてのみ適しています。

必要な証明書の実装方法は 1 つではないので、実稼働環境で必要な証明書を展開するための手順と推奨される運用方法については、特定の PKI 展開のドキュメントを参照する必要があります。 証明書の要件の詳細については、「Configuration Manager での PKI 証明書の要件」を参照してください。

System_CAPS_tipヒント

このトピックの説明は、「テスト ネットワークの要件」セクションで説明されているもの以外のオペレーティング システムに簡単に適用できます。 ただし、Windows Server 2012 で、発行元 CA を実行する場合、証明書テンプレートのバージョンは求められません。 代わりに、次のように、テンプレートのプロパティの [互換性] タブでバージョンを指定します。

  • [証明機関]: Windows Server 2003

  • [証明書プロファイル]: Windows XP / Server 2003

このセクションの内容

次のセクションでは、System Center 2012 Configuration Manager で使用されることのある次の証明書を作成し展開する手順を例とともに示しています。

テスト ネットワークの要件

証明書の概要

IIS を実行するサイト システム用のWeb サーバー証明書の展開

クラウドベースの配布ポイント用のサービス証明書の展開

Windows コンピューター用のクライアント証明書の展開

配布ポイント用のクライアント証明書の展開

モバイル デバイス用の登録証明書の展開

AMT 用の証明書の展開

Mac コンピューター用のクライアント証明書の展開

テスト ネットワークの要件

手順には次の要件があります。

  • テスト ネットワークでは、Windows Server 2008 で Active Directory ドメイン サービスが動作しており、これが単一のドメイン、単一のフォレストとしてインストールされていること。

  • Active Directory 証明書サービスの役割がインストールされており、エンタープライズ ルート証明機関 (CA) として構成されている Windows Server 2008 Enterprise Edition を実行するメンバー サーバーがあること。

  • 1 台のコンピューターに Windows Server 2008 (Standard Edition または Enterprise Edition) がインストールされ、メンバー サーバーとして指定されており、インターネット インフォメーション サービス (IIS) がインストールされていること。 このコンピューターが、イントラネット FQDN イントラネットでクライアント接続をサポートするため) およびConfiguration Manager で登録されたモバイル デバイスおよびインターネットのクライアントをサポートする必要がある場合は、インターネット FQDN で構成する Configuration Manager サイト システム サーバーになります。

  • 最新のサービス パックがインストールされた Windows Vista クライアントがあり、コンピューターが ASCII 文字のコンピューター名で構成され、ドメインに参加していること。 このコンピューターが Configuration Manager クライアント コンピューターになります。

  • ルート ドメイン管理者のアカウントまたはエンタープライズ管理者のアカウントでログインでき、そのアカウントを使ってこの展開例のすべての手順を実行できること。

証明書の概要

次の表は System Center 2012 Configuration Manager に必要な PKI 証明書の種類を一覧にし、どのように使用するのかを説明しています。

証明書の要件

証明書の説明

IIS を実行するサイト システム用のWeb サーバー証明書の展開

この証明書は、データの暗号化およびクライアントに対するサーバーの認証に使用されます。 HTTPS を使用するように Configuration Manager で構成された IIS を実行する、サイト システム サーバーである外部の Configuration Manager からインストール必要があります。

System Center 2012 Configuration Manager SP1 以降: クライアント通知のトラフィックが HTTPS の使用に切り替わったときにも、この証明書が管理ポイントで必要になることがあります。

この証明書の構成およびインストール手順は、このトピックの「IIS を実行するサイト システム用のWeb サーバー証明書の展開」を参照してください。

クラウドベースの配布ポイントに接続するクライアント用のサービス証明書

System Center 2012 Configuration Manager SP1 以降:

この証明書は、データの暗号化と、クライアントに対するクラウドベースの配布ポイント サービスの認証に使用されます。 クラウドベースの配布ポイントを作成するときにインポートできるようにするには、Configuration Manager 以外を使用して要求、インストール、およびエクスポートを行う必要があります。

この証明書の構成およびインストール手順は、このトピックの「クラウドベースの配布ポイント用のサービス証明書の展開」を参照してください。

[!メモ]

この証明書は、Windows Azure 管理証明書と併用されます。 この管理証明書の詳細については、MSDN ライブラリの Windows Azure プラットフォーム セクションの「Windows Azure の管理証明書を作成する方法」および「Windows Azure サブスクリプションへの管理証明書の追加方法」を参照してください。

Windows コンピューター用のクライアント証明書

この証明書は、HTTPS を使用するように構成されたサイト システムに対する Configuration Manager クライアント コンピューターの認証に使用されます。 管理ポイントおよび状態移行ポイントが HTTPS を使用するように構成されたときに動作状況を監視するためにも使用されます。 コンピューターには外部の Configuration Manager からインストールする必要があります。

この証明書の構成およびインストール手順は、このトピックの「Windows コンピューター用のクライアント証明書の展開」を参照してください。

配布ポイント用のクライアント証明書

この証明書には、次の 2 つの目的があります。

  • 証明書は、配布ポイントがステータス メッセージを 管理ポイントに送信する前に、HTTPS が有効な管理ポイントに対する配布ポイントの認証に使用されます。

  • [クライアントの PXE サポートを有効にする] の配布ポイントのオプションがオンになっていると、オペレーティング システムの展開中に HTTPS が有効な管理ポイントに接続できるように、PXE ブートを実行するコンピューターに証明書が送信されます。

この証明書の構成およびインストール手順は、このトピックの「配布ポイント用のクライアント証明書の展開」を参照してください。

モバイル デバイス用の登録証明書

この証明書は、HTTPS を使用するように構成されたサイト システムに対する Configuration Manager モバイル デバイス クライアントの認証に使用されます。Configuration Manager でのモバイル デバイス登録の一環としてインストールする必要があり、モバイル デバイス クライアント設定として構成した証明書テンプレートを選択します。

この証明書を構成する手順は、このトピックの「モバイル デバイス用の登録証明書の展開」を参照してください。

Intel AMT 用証明書

Intel AMT ベースのコンピューターの帯域外管理に関する証明書には 3 つあります。AMT プロビジョニング証明書、AMT Web サーバー証明書、そしてオプションとして802.1X 有線または無線ネットーワークのクライアント認証証明書です。

AMT プロビジョニング証明書は、外部の Configuration Manager から帯域外サービス ポイント コンピューターにインストールする必要があります。 AMT Web サーバー証明書およびクライアント認証証明書は AMT プロビジョニングおよび管理の間にインストールされます。帯域外管理コンポーネントのプロパティで構成した証明書テンプレートを選択します。

これらの証明書を構成する手順は、このトピックの「AMT 用の証明書の展開」を参照してください。

Mac コンピューター用のクライアント証明書

System Center 2012 Configuration Manager SP1 以降:

この証明書は、HTTPS をサポートするように構成されている管理ポイントおよび配布ポイントに対して Configuration Manager Mac コンピューターを認証するために使用されます。

Configuration Manager の登録を使用し、構成済みの証明書テンプレートをモバイル デバイス クライアント設定として選択するときに、Mac コンピューターからこの証明書を要求してインストールすることができます。

この証明書を構成する手順は、このトピックの「Mac コンピューター用のクライアント証明書の展開」を参照してください。

IIS を実行するサイト システム用のWeb サーバー証明書の展開

この証明書の展開には次の手順が含まれています。

  • 証明機関での Web サーバー証明書テンプレートの作成と発行

  • Web サーバー証明書の要求

  • IIS で Web サーバー証明書を使用するための構成

証明機関での Web サーバー証明書テンプレートの作成と発行

この手順により、Configuration Manager サイト システムの証明書テンプレートを作成し、それを証明機関に追加します。

証明機関で Web サーバー証明書テンプレートを作成および発行するには

  1. IIS を実行する System Center 2012 Configuration Manager サイト システムをインストールするために、メンバー サーバーを含む ConfigMgr IIS Servers というセキュリティ グループを作成します。

  2. 証明書サービスがインストールされているメンバー サーバーの証明機関のコンソールで [証明書テンプレート] を右クリックし、[管理] をクリックして [証明書テンプレート] コンソールを読み取ります。

  3. 結果ウィンドウで、[テンプレート表示名] 列に [Web サーバー] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  4. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    System_CAPS_important重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、「ConfigMgr Web サーバー証明書」など、Configuration Manager のサイト システムで使用される Web 証明書を生成するテンプレート名を入力します。

  6. [サブジェクト名] タブをクリックし、[要求に含まれる] が選択されていることを確認します。

  7. [セキュリティ] タブをクリックし、セキュリティ グループの [Domain Admins] および [Enterprise Admins] から [登録] アクセス許可を削除します。

  8. [追加] をクリックして、テキスト ボックスに「ConfigMgr IIS Servers」と入力し、[OK] をクリックします。

  9. このグループに対して [登録] アクセス許可を選択し、[読み取り] をオフにしません。

  10. [OK] をクリックして、[証明書テンプレート コンソール] を閉じます。

  11. [証明機関] コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  12. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr Web サーバー証明書] を選択し、[OK] をクリックします。

  13. これ以上証明書を作成して発行する必要がない場合は、[証明機関] を閉じます。

Web サーバー証明書の要求

この手順では、サイト システム サーバーのプロパティで構成されるイントラネットおよびインターネット FQDN を指定し、Web サーバー証明書を IIS を実行する メンバー サーバーにインストールできます。

Web サーバー証明書を要求するには

  1. IIS を実行するメンバー サーバーを再起動し、構成した [読み取り] および [登録] のアクセス許可を使用して、コンピューターが作成した証明書テンプレートにアクセスできることを確認します。

  2. [スタート][実行] の順にクリックし、「mmc.exe」と入力します。空のコンソールで、[ファイル] をクリックし、次に [スナップインの追加と削除] をクリックします。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[利用できるスナップイン] リストから [証明書] を選択し、[追加] をクリックします。

  4. [証明書スナップイン] ダイアログ ボックスで [コンピューター アカウント] を選択し、[次へ] をクリックします。

  5. [コンピューターの選択] ダイアログ ボックスで、[ローカル コンピューター: (このコンソールを実行しているコンピューター)] が選択されていることを確認して、[完了] をクリックします。

  6. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  7. コンソールで、[証明書 (ローカル コンピューター)] を展開し、[個人] をクリックします。

  8. [証明書] を右クリックして、[すべてのタスク] をクリックし、次に [新しい証明書の要求] をクリックします。

  9. [開始する前に] ページで [次へ] をクリックします。

  10. [証明書の登録ポリシーの選択] ページを表示する場合は、[次へ] をクリックします。

  11. [証明書の要求] ページで、表示された証明書の一覧から [ConfigMgr Web サーバー証明書] を確認して、[この証明書の登録には詳細情報が必要です] をクリックします。設定を構成するにはここをクリックします

  12. [証明書のプロパティ] ダイアログ ボックスの [サブジェクト] タブでは、[サブジェクト名] を変更しないように気をつけます。 つまり、[サブジェクト名] の [値] ボックスは空欄のままにしておきます。 その代わりに、[名前の変更] セクションの [種類] ドロップダウン リストで、[DNS] を選択します。

  13. [値] ボックスで、Configuration Manager サイト システムのプロパティで指定する FQDN 値を指定し、[OK] をクリックして、[証明書のプロパティ] ダイアログ ボックスを閉じます。

    例:

    • サイト システムがイントラネット経由のクライアント接続のみを許可する場合は、サイト システム サーバーのイントラネット FQDN は server1.internal.contoso.com になります。「server1.internal.contoso.com」と入力し、[追加] をクリックします。

    • サイト システムがイントラネットからとインターネットからのクライアント接続を許可する場合は、 サイト システム サーバーのイントラネット FQDN はserver1.internal.contoso.com で、サイト システム サーバーのインターネット FQDN は server.contoso.com となります。

      1. server1.internal.contoso.com」と入力し、[追加] をクリックします。

      2. server.contoso.com」と入力し、[追加] をクリックします。

      [!メモ]

      Configuration Manager のFQDN を指定する順番は関係ありません。 しかし、モバイル デバイスやプロキシ Web サーバーなど、証明書を使用するすべてのデバイスが 、SAN の証明書や SAN に複数の値が存在する証明書も使用できるのか確認します。 証明書における SAN の値についてデバイスの対応が限られている場合は、FQDN の順序を変更したり、または [サブジェクト] の値を代わりに使用したりする必要があることもあります。

  14. [証明書の要求] ページで、表示されている証明書の一覧から [ConfigMgr Web サーバー証明書] を選択し、[登録] をクリックします。

  15. [証明書のインストール結果] ページで、証明書がインストールされるのを待ち、[完了] をクリックします。

  16. [証明書 (ローカル コンピューター)] を閉じます。

IIS で Web サーバー証明書を使用するための構成

この手順により、インストールした証明書を IIS の [既定の Web サイト] にバインドします。

IIS が Web サーバー証明書を使用するように構成するには

  1. インストールした IIS のあるメンバー サーバーで、[スタート][プログラム][管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

  2. [サイト] を展開し、[既定の Web サイト] を右クリックして、[バインドの編集] を選択します。

  3. [https] エントリをクリックして、[編集] をクリックします。

  4. [サイト バインドの編集] ダイアログ ボックスで、ConfigMgr Web サーバー証明書テンプレートを使用して、要求した証明書を選択し、[OK] をクリックします。

    [!メモ]

    正しい証明書が不明な場合は、証明書を 1 つ選択して、[表示] をクリックします。 これにより、選択した証明書の詳細を証明書スナップインで表示される証明書と比較できます。 たとえば、証明書スナップインには、証明書の要求に使用された証明書テンプレートが表示されます。 次に、ConfigMgr Web サーバー証明書テンプレートと共に要求された証明書の証明書拇印を [サイト バインドの編集] ダイアログ ボックスでで現在選択されている証明書の証明書拇印と比較できます。

  5. [サイト バインドの編集] ダイアログ ボックスで [OK] をクリックし、次に [閉じる] をクリックします。

  6. インターネット インフォメーション サービス (IIS) マネージャーを閉じます。

これで、メンバー サーバーに Configuration Manager Web サーバー証明書が準備されました。

System_CAPS_important重要

Configuration Manager サイト システム サーバーをこのコンピューターにインストールするときは、必ずサイト システムのプロパティで、証明書を要求するときに指定したものと同じ FQDN を指定します。

クラウドベースの配布ポイント用のサービス証明書の展開

[!メモ]

クラウドベースの配布ポイント用のサービス証明書は、Configuration Manager SP1 以降に適用されます。

この証明書の展開には次の手順が含まれています。

  • 証明機関でカスタム Web サーバー証明書テンプレートを作成して発行する 

  • カスタム Web サーバー証明書を要求する

  • クラウドベースの配布ポイント用のカスタム Web サーバー証明書をエクスポートする

証明機関でカスタム Web サーバー証明書テンプレートを作成して発行する

この手順では、Web サーバー証明書テンプレートに基づいてカスタム証明書テンプレートを作成します。 この証明書は Configuration Manager のクラウドベースの配布ポイント用であり、プライベート キーをエクスポート可能にする必要があります。 証明書テンプレートを作成したら、証明機関に追加します。

[!メモ]

この手順では、IIS を実行するサイト システム用に作成した Web サーバー証明書テンプレートとは別の証明書テンプレートを使用します。どちらの証明書にもサーバー認証機能が必要ですが、クラウドベースの配布ポイント用の証明書では、サブジェクト名のカスタム定義値を入力する必要があり、プライベート キーをエクスポートする必要があるためです。 セキュリティのベスト プラクティスとして、必要でない限りは、証明書テンプレートがプライベート キーをエクスポートできるように構成するべきではありません。 クラウドベースの配布ポイントは、証明書ストアから選択するのではなく、証明書をファイルとしてインポートする必要があるので、この構成が必要です。

この証明書用に新しい証明書テンプレートを作成することにより、プライベート キーをエクスポート可能な証明書を要求できるコンピューターを制限することができます。 運用ネットワークでは、次のような変更を加えることも考慮します。

  • セキュリティを強化するため、証明書をインストールする承認が必要です。

  • 証明書の有効期間を長くします。 有効期間が切れる前ごとに証明書をエクスポートおよびインポートする必要があるため、有効期間を長くすると、この手順を繰り返す回数を減らすことができます。 ただし、有効期間を長くすると、攻撃者が秘密キーを解読して証明書を盗み出す時間を長く与えることになり、証明書のセキュリティが低下します。

  • IIS で使用している標準の Web サーバー証明書とこの証明書を区別できるように、証明書のサブジェクトの別名 (SAN) にはカスタム値を使用します。

証明機関でカスタム Web サーバー証明書テンプレートを作成および発行するには

  1. クラウドベースの配布ポイントを管理する Configuration Manager プライマリ サイト サーバーをインストールするために、メンバー サーバーを含む ConfigMgr Site Servers というセキュリティ グループを作成します。

  2. 証明機関コンソールを実行しているメンバー サーバーで [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート管理コンソールを読み込みます。

  3. 結果ウィンドウで、[テンプレート表示名] 列に [Web サーバー] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  4. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    System_CAPS_important重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、[ConfigMgr クラウド ベースの配布ポイント証明書] など、クラウド ベースの配布ポイントの Web サーバーの証明書を生成するテンプレート名を入力します。

  6. [要求処理] タブで [プライベート キーのエクスポートを許可する] を選択します。

  7. [セキュリティ] タブをクリックし、[Enterprise Admins] セキュリティ グループから [登録] アクセス許可を削除します。

  8. [追加] をクリックして、テキスト ボックスに「ConfigMgr Site Servers」と入力し、[OK] をクリックします。

  9. このグループに対して [登録] アクセス許可を選択し、[読み取り] をオフにしません。

  10. [OK] をクリックして、[証明書テンプレート コンソール] を閉じます。

  11. [証明機関] コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  12. [証明書テンプレートの設定] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr クラウドベースの配布ポイント証明書] を選択し、[OK] をクリックします。

  13. これ以上証明書を作成して発行する必要がない場合は、[証明機関] を閉じます。

カスタム Web サーバー証明書を要求する

この手順では、カスタム Web サーバー証明書を要求し、サイト サーバーを実行するメンバー サーバーにインストールします。

カスタム Web サーバー証明書を要求するには

  1. [ConfigMgr Site Servers] セキュリティ グループを作成および構成したら、メンバー サーバーを再起動します。これによって、コンピューターは、構成した [読み取り] および [登録] のアクセス許可を使用して、作成した証明書テンプレートにアクセスできるようになります。

  2. [スタート][実行] の順にクリックし、「mmc.exe」と入力します。空のコンソールで、[ファイル] をクリックし、次に [スナップインの追加と削除] をクリックします。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[利用できるスナップイン] リストから [証明書] を選択し、[追加] をクリックします。

  4. [証明書スナップイン] ダイアログ ボックスで [コンピューター アカウント] を選択し、[次へ] をクリックします。

  5. [コンピューターの選択] ダイアログ ボックスで、[ローカル コンピューター: (このコンソールを実行しているコンピューター)] が選択されていることを確認して、[完了] をクリックします。

  6. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  7. コンソールで、[証明書 (ローカル コンピューター)] を展開し、[個人] をクリックします。

  8. [証明書] を右クリックして、[すべてのタスク] をクリックし、次に [新しい証明書の要求] をクリックします。

  9. [開始する前に] ページで [次へ] をクリックします。

  10. [証明書の登録ポリシーの選択] ページを表示する場合は、[次へ] をクリックします。

  11. [証明書の要求] ページで、表示された証明書の一覧で [ConfigMgr クラウド ベースの配布ポイント証明書] を確認して、[この証明書の登録には詳細情報が必要です] をクリックします。設定を構成するにはここをクリックします

  12. [証明書のプロパティ] ダイアログ ボックスの [サブジェクト] タブで、[サブジェクト名] の [種類] として [共通名] を選択します。

  13. [値] ボックスに、任意のサービス名と、FQDN 形式のドメイン名を入力します。 例: clouddp1.contoso.com

    [!メモ]

    名前空間内で一意である限り、任意のサービス名を指定できます。 このサービス名を、Windows Azure から自動生成される ID (GUID) および IP アドレスに対応付けるために、DNS を使用してエイリアス (CNAME レコード) を作成します。

  14. [追加] をクリックし、[OK] をクリックして、[証明書のプロパティ] ダイアログ ボックスを閉じます。

  15. [証明書の要求] ページで、表示されている証明書の一覧から [ConfigMgr クラウドベースの配布ポイント証明書] を選択し、[登録] をクリックします。

  16. [証明書のインストール結果] ページで、証明書がインストールされるのを待ち、[完了] をクリックします。

  17. [証明書 (ローカル コンピューター)] を閉じます。

クラウドベースの配布ポイント用のカスタム Web サーバー証明書をエクスポートする

この手順では、カスタム Web サーバー証明書をファイルにエクスポートして、クラウドベースの配布ポイントを作成するときに証明書をインポートできるようにします。

クラウドベースの配布ポイント用に Web サーバー証明書をエクスポートするには

  1. [証明書 (ローカル コンピューター)] コンソールで、インストールした証明書を右クリックし、[すべてのタスク]、[エクスポート] の順にクリックします。

  2. 証明書のエクスポート ウィザードで、[次へ] をクリックします。

  3. [秘密キーのエクスポート] ページで、[はい] をクリックし、秘密キーをエクスポートしてから、[次へ] をクリックします。

    [!メモ]

    このオプションが使用できない場合、その証明書は秘密キーをエクスポートするオプションなしで作成されています。 この場合、証明書を必要な形式でエクスポートできません。 秘密キーをエクスポートできるようにするには、証明書テンプレートを再構成し、再度証明書を要求する必要があります。

  4. [エクスポート ファイルの形式] ページで [Personal Information Exchange – PKCS #12 (.PFX)] が選択されていることを確認します。

  5. [パスワード] ページで、エクスポートした証明書とその秘密キーを保護するために強力なパスワードを指定し、[次へ] をクリックします。

  6. [エクスポートするファイル] ページで、エクスポートするファイルの名前を指定し、[次へ] をクリックします。

  7. ウィザードを閉じるには、[証明書のエクスポート ウィザード] ページで [完了] をクリックし、確認ダイアログ ボックスで [OK] をクリックします。

  8. [証明書 (ローカル コンピューター)] を閉じます。

  9. ファイルをセキュリティで保護して保存し、Configuration Manager コンソールからアクセスできることを確認します。

これで、クラウドベースの配布ポイントを作成するときに、証明書をインポートできるようになりました。

Windows コンピューター用のクライアント証明書の展開

この証明書の展開には次の手順が含まれています。

  • 証明機関でのワークステーション認証証明書テンプレートの作成と発行

  • グループ ポリシーを使用したワークステーション認証テンプレートの自動登録の構成

  • ワークステーション認証証明書の自動登録およびコンピューターへのインストールの確認

証明機関でのワークステーション認証証明書テンプレートの作成と発行

この手順により、System Center 2012 Configuration Manager クライアントコンピューターの証明書テンプレートを作成し、それを証明機関に追加します。

証明機関でワークステーション認証証明書テンプレートを作成および発行するには

  1. 証明機関コンソールを実行しているメンバー サーバーで [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート管理コンソールを読み込みます。

  2. 結果ウィンドウで、[テンプレート表示名] 列に [ワークステーション認証] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  3. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    System_CAPS_important重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  4. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、「ConfigMgr クライアント証明書」など、Configuration Manager クライアント コンピューターで使用されるクライアント証明書を生成するテンプレート名を入力します。

  5. [セキュリティ] タブをクリックし、ドメイン コンピューター グループを選択して、[読み取り][自動登録] の追加のアクセス許可を選択します。[登録] をオフにしないでください。

  6. [OK] をクリックして、[証明書テンプレート コンソール] を閉じます。

  7. [証明機関] コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  8. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr クライアント証明書] を選択し、[OK] をクリックします。

  9. これ以上証明書を作成して発行する必要がない場合は、[証明機関] を閉じます。

グループ ポリシーを使用したワークステーション認証テンプレートの自動登録の構成

この手順により、コンピューターにクライアント証明書を自動登録するグループ ポリシーを構成します。

グループ ポリシーを使用してワークステーション認証テンプレートの自動登録を構成するには

  1. ドメイン コントローラーで、[開始][管理ツール][グループ ポリシー管理] を順にクリックします。

  2. ドメインに移動して、ドメインを右クリックし、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。

    [!メモ]

    この手順では、Active Directory ドメイン サービスでインストールされる既定のドメイン ポリシーを編集するのではなく、カスタム設定の新しいグループ ポリシーを推奨される方法で作成します。 ドメイン レベルで割り当てることにより、ドメインのすべてのコンピューターにこのグループ ポリシーが適用されます。 一方、実稼働環境では、グループ ポリシーを組織単位レベルで割り当てることによって、選択したコンピューターにのみ登録するように自動登録を制限したり、ドメイン グループ ポリシーがグループ内のコンピューターにのみ適用されるように、セキュリティ グループを使用してドメイン グループ ポリシーをフィルタリングすることができます。 自動登録を制限する場合は、管理ポイントとして構成されているサーバーを必ず含めてください。

  3. [新しい GPO] ダイアログ ボックスで、自動登録証明書など、新しいグループ ポリシーの名前を入力し、[OK] をクリックします。

  4. 結果ウィンドウの [リンクされたグループ ポリシー オブジェクト] タブで、新しいグループのポリシーを右クリックし、[編集] をクリックします。

  5. [グループ ポリシー管理エディター] で、[コンピューターの構成] の下にある [ポリシー] を展開し、[Windows の設定] / [セキュリティ設定] / [公開キーのポリシー] の順に移動します。

  6. [証明書サービス クライアント – 自動登録] という名前のオブジェクトの種類を右クリックして、[プロパティ] をクリックします。

  7. [構成モデル] のドロップダウン リストから、[有効][期限切れの証明書と保留中の証明書を更新し、失効した証明書を削除する][証明書テンプレートを使用する証明書を更新する] を順に選択し、[OK] をクリックします。

  8. [グループ ポリシー管理] を閉じます。

ワークステーション認証証明書の自動登録およびコンピューターへのインストールの確認

この手順により、クライアント証明書をコンピューターにインストールし、インストールを確認します。

ワークステーション認証証明書を自動登録し、クライアント コンピューターへのインストールを確認するには

  1. ワークステーション コンピューターを再起動し、少し待ってからログインします。

    [!メモ]

    証明書の自動登録の正常な完了を保証するには、コンピューターを再起動するのが最も確実です。

  2. 管理者特権があるアカウントでログオンします。

  3. 検索ボックスで「mmc.exe.」と入力し、[Enter] キーを押します。

  4. 空の管理コンソールで、[ファイル] をクリックし、次に [スナップインの追加と削除] をクリックします。

  5. [スナップインの追加と削除] ダイアログ ボックスで、[利用できるスナップイン] リストから [証明書] を選択し、[追加] をクリックします。

  6. [証明書スナップイン] ダイアログ ボックスで [コンピューター アカウント] を選択し、[次へ] をクリックします。

  7. [コンピューターの選択] ダイアログ ボックスで、[ローカル コンピューター: (このコンソールを実行しているコンピューター)] が選択されていることを確認して、[完了] をクリックします。

  8. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  9. コンソールで [証明書 (ローカル コンピューター)][個人] の順に展開して、[証明書] をクリックします。

  10. 結果ウィンドウで、[使用目的] 列に [クライアント認証] と表示されている証明書が表示され、[証明書テンプレート] 列に [ConfigMgr クライアント証明書] が表示されていることを確認してください。

  11. [証明書 (ローカル コンピューター)] を閉じます。

  12. 管理ポイントとして構成されるサーバーがクライアント証明書も持っているかを確認するメンバー サーバーについて、手順 1 ~ 11 を繰り返します。

これで、コンピューターに Configuration Manager クライアント証明書が提供されました。

配布ポイント用のクライアント証明書の展開

[!メモ]

この証明書は、PXE ブートを使用しないメディア イメージにも使用できます。これは、証明書の要件が同じためです。

この証明書の展開には次の手順が含まれています。

  • 証明機関でのカスタム ワークステーション認証証明書テンプレートの作成と発行

  • カスタムのワークステーション認証証明書を要求する

  • 配布ポイント用にクライアント証明書をエクスポートする

証明機関でのカスタム ワークステーション認証証明書テンプレートの作成と発行

この手順により、プライベート キーをエクスポートしたり、証明書テンプレートを証明機関に追加したりできる Configuration Manager の配布ポイントの、カスタムの証明書テンプレートを作成します。

[!メモ]

この手順はクライアント コンピューターのために作成した証明書テンプレートとは異なる証明書テンプレートを使用します。どちらもクライアントの認証機能を必要としますが、配布ポイントの証明書ではさらにプライベート キーがエクスポートできる必要があるからです。 セキュリティのベスト プラクティスとして、必要でない限りは、証明書テンプレートがプライベート キーをエクスポートできるように構成するべきではありません。 配布ポイントは、証明書ストアから選択するのではなく、証明書をファイルとしてインポートする必要があるので、この構成が必要です。

この証明書用に新しい証明書テンプレートを作成することにより、プライベート キーをエクスポート可能な証明書を要求できるコンピューターを制限することができます。 例としている展開では、IIS を実行する Configuration Manager サイト システム サーバー用に以前作成したセキュリティ グループが対象になります。 IIS サイト システムの役割を配布するネットワークでは、配布ポイントを実行するサーバー用に新しいセキュリティ グループを作成して、それらのサイト システム サーバーのみに証明書を制限することを考慮します。 次のような変更を加えることも考慮します。

  • セキュリティを強化するため、証明書をインストールする承認が必要です。

  • 証明書の有効期間を長くします。 有効期間が切れる前ごとに証明書をエクスポートおよびインポートする必要があるため、有効期間を長くすると、この手順を繰り返す回数を減らすことができます。 ただし、有効期間を長くすると、攻撃者が秘密キーを解読して証明書を盗み出す時間を長く与えることになり、証明書のセキュリティが低下します。

  • 証明書のサブジェクトまたはサブジェクトの別名 (SAN) にカスタム値を使用して、標準のクライアント証明書とこの証明書を区別できます。 この方法は複数の配布ポイントで同じ証明書を使用する場合に特に有用です。

カスタムのワークステーション認証証明書テンプレートを作成して証明機関に発行するには

  1. 証明機関コンソールを実行しているメンバー サーバーで [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート管理コンソールを読み込みます。

  2. 結果ウィンドウで、[テンプレート表示名] 列に [ワークステーション認証] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  3. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    System_CAPS_important重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  4. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、「ConfigMgr クライアントの配布ポイント証明書」など、配布ポイントのクライアント認証証明書を生成するテンプレート名を入力します。

  5. [要求処理] タブで [プライベート キーのエクスポートを許可する] を選択します。

  6. [セキュリティ] タブをクリックし、[Enterprise Admins] セキュリティ グループから [登録] アクセス許可を削除します。

  7. [追加] をクリックして、テキスト ボックスに「ConfigMgr IIS Servers」と入力し、[OK] をクリックします。

  8. このグループに対して [登録] アクセス許可を選択し、[読み取り] をオフにしません。

  9. [OK] をクリックして、[証明書テンプレート コンソール] を閉じます。

  10. [証明機関] コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  11. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr クライアント配布ポイント証明書] を選択し、[OK] をクリックします。

  12. これ以上証明書を作成して発行する必要がない場合は、[証明機関] を閉じます。

カスタムのワークステーション認証証明書を要求する

この手順では、カスタムのクライアント証明書を要求して、IIS を実行し配布ポイントとして構成するメンバー サーバーにインストールします。

カスタムのワークステーション認証証明書を要求するには

  1. [スタート][実行] の順にクリックし、「mmc.exe」と入力します。空のコンソールで、[ファイル] をクリックし、次に [スナップインの追加と削除] をクリックします。

  2. [スナップインの追加と削除] ダイアログ ボックスで、[利用できるスナップイン] リストから [証明書] を選択し、[追加] をクリックします。

  3. [証明書スナップイン] ダイアログ ボックスで [コンピューター アカウント] を選択し、[次へ] をクリックします。

  4. [コンピューターの選択] ダイアログ ボックスで、[ローカル コンピューター: (このコンソールを実行しているコンピューター)] が選択されていることを確認して、[完了] をクリックします。

  5. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  6. コンソールで、[証明書 (ローカル コンピューター)] を展開し、[個人] をクリックします。

  7. [証明書] を右クリックして、[すべてのタスク] をクリックし、次に [新しい証明書の要求] をクリックします。

  8. [開始する前に] ページで [次へ] をクリックします。

  9. [証明書の登録ポリシーの選択] ページを表示する場合は、[次へ] をクリックします。

  10. [証明書の要求] ページで、表示されている証明書の一覧から [ConfigMgr クライアント配布ポイント証明書] を選択し、[登録] をクリックします。

  11. [証明書のインストール結果] ページで、証明書がインストールされるのを待ち、[完了] をクリックします。

  12. 結果ウィンドウで、[使用目的] 列に [クライアント認証] と表示されている証明書が表示され、[証明書テンプレート] 列に [ConfigMgr クライアント配布ポイント証明書] が表示されていることを確認してください。

  13. [証明書 (ローカル コンピューター)] を閉じないでください。

配布ポイント用にクライアント証明書をエクスポートする

この手順では、カスタムのワークステーション認証証明書をファイルにエクスポートして、配布ポイントのプロパティにインポートできるようにします。

配布ポイント用にクライアント証明書をエクスポートするには

  1. [証明書 (ローカル コンピューター)] コンソールで、インストールした証明書を右クリックし、[すべてのタスク]、[エクスポート] の順にクリックします。

  2. 証明書のエクスポート ウィザードで、[次へ] をクリックします。

  3. [秘密キーのエクスポート] ページで、[はい] をクリックし、秘密キーをエクスポートしてから、[次へ] をクリックします。

    [!メモ]

    このオプションが使用できない場合、その証明書は秘密キーをエクスポートするオプションなしで作成されています。 この場合、証明書を必要な形式でエクスポートできません。 秘密キーをエクスポートできるようにするには、証明書テンプレートを再構成し、再度証明書を要求する必要があります。

  4. [エクスポート ファイルの形式] ページで [Personal Information Exchange – PKCS #12 (.PFX)] が選択されていることを確認します。

  5. [パスワード] ページで、エクスポートした証明書とその秘密キーを保護するために強力なパスワードを指定し、[次へ] をクリックします。

  6. [エクスポートするファイル] ページで、エクスポートするファイルの名前を指定し、[次へ] をクリックします。

  7. ウィザードを閉じるには、[証明書のエクスポート ウィザード] ページで [完了] をクリックし、確認ダイアログ ボックスで [OK] をクリックします。

  8. [証明書 (ローカル コンピューター)] を閉じます。

  9. ファイルをセキュリティで保護して保存し、Configuration Manager コンソールからアクセスできることを確認します。

これで、配布ポイントを構成するときに証明書をインポートできるようになりました。

System_CAPS_tipヒント

PXE ブートを使用しないオペレーティング システム展開用にメディア イメージを構成する場合、およびイメージをインストールするタスク シーケンスが HTTPS クライアント接続を必須とする管理ポイントに接続する必要がある場合に、同じ証明書ファイルを使用できます。

モバイル デバイス用の登録証明書の展開

この証明書の展開では、1 つの手順登録証明書テンプレートを作成し、証明機関に発行します。

登録証明書テンプレートの作成と証明機関への発行

この手順では、System Center 2012 Configuration Manager モバイル デバイス向けの登録証明書テンプレートを作成し、証明機関に追加します。

登録証明書テンプレートを作成して証明機関に発行するには

  1. System Center 2012 Configuration Manager でモバイル デバイスを登録するユーザーが含まれるセキュリティ グループを作成します。

  2. 証明書サービスがインストールされているメンバー サーバーの [証明機関] コンソールで [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート管理コンソールを読み込みます。

  3. 結果ウィンドウで、[テンプレート表示名] 列に [認証されたセッション] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  4. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    System_CAPS_important重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、「ConfigMgr モバイル デバイス登録証明書」など、Configuration Manager によって管理されるモバイル デバイスの登録証明書を生成するテンプレート名を入力します。

  6. [サブジェクト名] タブをクリックして、[Active Directory の情報から構築する] が選択されていることを確認し、[サブジェクト名の形式:][共通名] を選択し、[サブジェクトの別名にこの情報を含める][ユーザー プリンシパル名 (UPN)] をオフにします。

  7. [セキュリティ] タブをクリックし、登録するモバイル デバイスを所有しているユーザーが含まれるセキュリティ グループを選択し、[登録] の追加のアクセス許可を選択します。 [読み取り] をオフにしないでください。

  8. [OK] をクリックして、[証明書テンプレート コンソール] を閉じます。

  9. [証明機関] コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  10. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr モバイル デバイス登録証明書] を選択し、[OK] をクリックします。

  11. これ以上証明書を作成して発行する必要がない場合は、[証明機関] コンソールを閉じます。

これで、クライアント設定でモバイル デバイス登録プロファイルを構成するときに、モバイル デバイス登録証明書テンプレートを選択できるようになりました。

AMT 用の証明書の展開

この証明書の展開には次の手順が含まれています。

  • AMT プロビジョニング証明書の作成、発行、インストール

  • AMT ベース コンピューター向けの Web サーバー証明書の作成と発行

  • 802.1X AMT ベース コンピューター用のクライアント認証証明書の作成と発行

AMT プロビジョニング証明書の作成、発行、インストール

AMT ベースのコンピューターに内部ルート証明機関の証明書の拇印が設定されている場合、内部証明機関のプロビジョニング証明書を作成できます。 この条件に当てはまらず、外部証明機関を利用する必要がある場合、AMT プロビジョニング証明書を発行する企業からの指示に従います。この場合、通常はその企業の公開 Web サイトに証明書を要求します。 選択した外部 CA に応じた詳細な手順は、Intel vPro Expert Center でも確認できます。Microsoft vPro Manageability Web サイト (https://go.microsoft.com/fwlink/?LinkId=132001)。

System_CAPS_important重要

外部 CA は Intel AMT プロビジョニング オブジェクト識別子をサポートしない場合があります。 その場合、Intel(R) Client Setup Certificate の OU 属性を指定する代替方法を使用してください。

外部 CA に AMT 証明書を要求する場合、帯域外サービス ポイントをホストするメンバー サーバー上のコンピューター個人用証明書ストアに証明書をインストールしてください。

AMT プロビジョニング証明書を要求および発行するには

  1. 帯域外サービス ポイントを実行するサイト システム サーバーのコンピューター アカウントが含まれるセキュリティ グループを作成します。

  2. 証明書サービスがインストールされているメンバー サーバーの証明機関のコンソールで [証明書テンプレート] を右クリックし、[管理] をクリックして [証明書テンプレート] コンソールを読み込みます。

  3. [結果] ウィンドウで、[テンプレート表示名] 列に [Web サーバー] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  4. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    System_CAPS_important重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、「ConfigMgr AMT プロビジョニング」など AMT プロビジョニング証明書テンプレートのテンプレート名を入力します。

  6. [サブジェクト名] タブをクリックして、[Active Directory の情報から構築する] を選択し、[共通名] を選択します。

  7. [拡張機能] タブをクリックして、[アプリケーション ポリシー] が選択されていることを確認し、[編集] をクリックします。

  8. [アプリケーション ポリシー拡張の編集] ダイアログ ボックスで、[追加] をクリックします。

  9. [アプリケーション ポリシーの追加] ダイアログ ボックスで、[新規] をクリックします。

  10. [新しいアプリケーションのポリシー] ダイアログ ボックスで、[名前] フィールドに「AMT プロビジョニング」と入力し、次の [オブジェクト識別子] の番号を入力します:2.16.840.1.113741.1.2.3

  11. [OK] をクリックして、次に [アプリケーション ポリシーの追加] ダイアログ ボックスの [OK] をクリックします。

  12. [アプリケーション ポリシー拡張の編集] ダイアログ ボックスで、[OK] をクリックします。

  13. これにより、[新しいテンプレートのプロパティ] ダイアログ ボックスに、アプリケーション ポリシーの記述として、次が表示されます:サーバー認証AMT プロビジョニング

  14. [セキュリティ] タブをクリックし、セキュリティ グループの [Domain Admins] および [Enterprise Admins] から [登録] アクセス許可を削除します。

  15. [追加] をクリックし、帯域外サービス ポイントのサイト システムの役割用のコンピューター アカウントが含まれるセキュリティ グループの名前を入力して、[OK] をクリックします。

  16. このグループに対して [登録] アクセス許可を選択し、[読み取り] をオフにしません。

  17. [OK] をクリックして、[証明書テンプレート] コンソールを閉じます。

  18. [証明機関] で、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  19. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr AMT プロビジョニング] を選択し、[OK] をクリックします。

    [!メモ]

    手順 18 または 19 を完了できない場合は、Windows Server 2008 Enterprise Edition を使用していることを確認してください。 Windows Server Standard Edition と Certificate Services を使用してもテンプレートは作成できますが、Windows Server 2008 Enterprise Edition を使用しない限り、更新した証明書テンプレートを使用して証明書を展開することはできません。

  20. [証明機関] を閉じないでください。

これで、内部 CA からの AMT プロビジョニング証明書を帯域外サービス ポイントのコンピューターにインストールする準備ができました。

AMT プロビジョニング証明書をインストールするには

  1. IIS を実行するメンバー サーバーを再起動して、構成されたアクセス許可で証明書テンプレートにアクセスできることを確認します。

  2. [スタート][実行] の順にクリックし、「mmc.exe」と入力します。空のコンソールで、[ファイル] をクリックし、次に [スナップインの追加と削除] をクリックします。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[利用できるスナップイン] リストから [証明書] を選択し、[追加] をクリックします。

  4. [証明書スナップイン] ダイアログ ボックスで [コンピューター アカウント] を選択し、[次へ] をクリックします。

  5. [コンピューターの選択] ダイアログ ボックスで、[ローカル コンピューター: (このコンソールを実行しているコンピューター)] が選択されていることを確認して、[完了] をクリックします。

  6. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  7. コンソールで、[証明書 (ローカル コンピューター)] を展開し、[個人] をクリックします。

  8. [証明書] を右クリックして、[すべてのタスク] をクリックし、次に [新しい証明書の要求] をクリックします。

  9. [開始する前に] ページで [次へ] をクリックします。

  10. [証明書の登録ポリシーの選択] ページを表示する場合は、[次へ] をクリックします。

  11. [証明書の要求] ページで、表示されている証明書の一覧から [AMT プロビジョニング] を選択し、[登録] をクリックします。

  12. [証明書のインストール結果] ページで、証明書がインストールされるのを待ち、[完了] をクリックします。

  13. [証明書 (ローカル コンピューター)] を閉じます。

これで、内部 CA からの AMT プロビジョニング証明書がインストールされ、帯域外サービス ポイントのプロパティで選択できるようになりました。

AMT ベース コンピューター向けの Web サーバー証明書の作成と発行

AMT ベースのコンピューターの Web サーバー証明書を準備するには、次の手順に従います。

Web サーバー証明書テンプレートを作成および発行するには

  1. AMT プロビジョニング中に System Center 2012 Configuration Manager が作成する AMT コンピューター アカウントを追加する空のセキュリティ グループを作成します。

  2. 証明書サービスがインストールされているメンバー サーバーの証明機関のコンソールで [証明書テンプレート] を右クリックし、[管理] をクリックして [証明書テンプレート] コンソールを読み込みます。

  3. 結果ウィンドウで、[テンプレート表示名] 列に [Web サーバー] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  4. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    System_CAPS_important重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、「ConfigMgr AMT Web サーバー証明書」など、AMT コンピューターで帯域外管理に使用される Web 証明書を生成するテンプレート名を入力します。

  6. [サブジェクト名] タブで [Active Directory の情報から構築する] を選択し、[サブジェクト名の形式] で [共通名] を選択し、サブジェクトの別名の [ユーザー プリンシパル名 (UPN)] をオフにします。

  7. [セキュリティ] タブをクリックし、セキュリティ グループの [Domain Admins] および [Enterprise Admins] から [登録] アクセス許可を削除します。

  8. [追加] をクリックし、AMT プロビジョニング用に作成したセキュリティ グループの名前を入力します。 次に、[OK] をクリックします。

  9. このセキュリティ グループに対して、[読み取り] と [登録] の [許可] アクセス許可を選択します。

  10. [OK] をクリックして、[証明書テンプレート] コンソールを閉じます。

  11. [証明機関] コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  12. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr AMT Web サーバー証明書] を選択し、[OK] をクリックします。

  13. これ以上証明書を作成して発行する必要がない場合は、[証明機関] を閉じます。

これで、AMT Web サーバー テンプレートを使用して、Web サーバー証明書で AMT ベースのコンピューターをプロビジョニングできるようになりました。 帯域外管理コンポーネントのプロパティで、この証明書テンプレートを選択します。

802.1X AMT ベース コンピューター用のクライアント認証証明書の作成と発行

AMT ベースのコンピューターで 802.1X 認証の有線または無線ネットワーク向けのクライアント証明書を使用する場合、次の手順に従います。

CA でクライアント認証証明書テンプレートを作成および発行するには

  1. 証明書サービスがインストールされているメンバー サーバーの証明機関のコンソールで [証明書テンプレート] を右クリックし、[管理] をクリックして [証明書テンプレート] コンソールを読み込みます。

  2. 結果ウィンドウで、[テンプレート表示名] 列に [ワークステーション認証] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

    System_CAPS_important重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  3. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、「ConfigMgr AMT 802.1X クライアント認証証明書」など、AMT コンピューターで帯域外管理に使用されるクライアント証明書を生成するテンプレート名を入力します。

  4. [サブジェクト名] タブで [Active Directory の情報から構築する] を選択し、[サブジェクト名の形式] で [共通名] を選択します。 サブジェクトの別名の [DNS 名] チェック ボックスをオフにして、[ユーザー プリンシパル名 (UPN)] を選択します。

  5. [セキュリティ] タブをクリックし、セキュリティ グループの [Domain Admins] および [Enterprise Admins] から [登録] アクセス許可を削除します。

  6. [追加] をクリックし、帯域外管理コンポーネントのプロパティで指定する、AMT ベースのコンピューターのコンピューター アカウントが含まれるセキュリティ グループの名前を入力します。 次に、[OK] をクリックします。

  7. このセキュリティ グループに対して、[読み取り] と [登録] の [許可] アクセス許可を選択します。

  8. [OK] をクリックし、[証明書テンプレート] 管理コンソールの certtmpl – [Certificate Templates] を閉じます。

  9. [証明機関] 管理コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  10. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr AMT 802.1X クライアント認証証明書] を選択し、[OK] をクリックします。

  11. これ以上証明書を作成して発行する必要がない場合は、[証明機関] を閉じます。

これで、AMT ベース コンピューターが 802.1X クライアント認証用に使用できるよう、クライアント認証証明書テンプレートを使用して証明書を発行する準備が整いました。 帯域外管理コンポーネントのプロパティで、この証明書テンプレートを選択します。

Mac コンピューター用のクライアント証明書の展開

[!メモ]

Mac コンピューター用のクライアント証明書は、Configuration Manager SP1 以降のバージョンに適用されます。

この証明書の展開では、1 つの手順登録証明書テンプレートを作成し、証明機関に発行します。

Mac クライアント証明書テンプレートを作成して証明機関に発行する

この手順では、Configuration Manager Mac コンピューター用にカスタム証明書テンプレートを作成し、その証明書テンプレートを証明機関に追加します。

[!メモ]

Windows クライアント コンピューター用または配布ポイント用に作成した証明書テンプレートがある場合でも、この手順では別の証明書テンプレートを使用します。

この証明書用に新しい証明書テンプレートを作成することで、証明書要求を権限があるユーザーのみに制限できます。

Mac クライアント証明書テンプレートを作成して証明機関に発行するには

  1. Configuration Manager を使用して証明書を Mac コンピューターに登録する管理ユーザー用に、そのユーザー アカウントを含むセキュリティ グループを作成します。

  2. 証明機関コンソールを実行しているメンバー サーバーで [証明書テンプレート] を右クリックし、[管理] をクリックして、証明書テンプレート管理コンソールを読み込みます。

  3. 結果ウィンドウで、[テンプレート表示名] 列に [認証されたセッション] と表示されているエントリを右クリックし、[テンプレートの複製] をクリックします。

  4. [テンプレートの複製] ダイアログ ボックスで、[Windows 2003 Server Enterprise Edition] が選択されていることを確認してから、[OK] をクリックします。

    System_CAPS_important重要

    [Windows 2008 Server Enterprise Edition] を選択しないでください。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、「ConfigMgr Mac クライアント証明書」など Mac クライアント証明書を生成するテンプレート名を入力します。

  6. [サブジェクト名] タブをクリックして、[Active Directory の情報から構築する] が選択されていることを確認し、[サブジェクト名の形式:][共通名] を選択し、[サブジェクトの別名にこの情報を含める][ユーザー プリンシパル名 (UPN)] をオフにします。

  7. [セキュリティ] タブをクリックし、[Domain Admins] および [Enterprise Admins] セキュリティ グループから [登録] アクセス許可を削除します。

  8. [追加] をクリックし、手順 1 で作成したセキュリティ グループを指定して、[OK] をクリックします。

  9. このグループに対して [登録] アクセス許可を選択し、[読み取り] をオフにしません。

  10. [OK] をクリックして、[証明書テンプレート コンソール] を閉じます。

  11. [証明機関] コンソールで、[証明書テンプレート] を右クリックし、[新規作成] をクリックして [発行する証明書テンプレート] をクリックします。

  12. [証明書テンプレートの選択] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr Mac クライアント証明書] を選択し、[OK] をクリックします。

  13. これ以上証明書を作成して発行する必要がない場合は、[証明機関] を閉じます。

これで、登録するクライアント設定を構成するときに、Mac クライアント証明書テンプレートを選択できるようになりました。