System Center Operations Manager が、ゲートウェイまたは Windows クライアント マシンでの Kerberos 認証が不可能な信頼境界を越えて動作する場合は、証明書ベースの認証が必要です。 この方法は、Microsoft Monitoring Agent と管理サーバー間の通信を確立するために使用されます。 主なユース ケースは、ワークグループ、非武装地帯 (DMZ)、またはその他のドメインのゲートウェイおよび Windows クライアント システムで、双方向の信頼なしに認証することです。
この記事を使用して生成された証明書は、Linux 監視用ではありません。ただし、監視を実行するゲートウェイ サーバーが信頼境界を越えている場合、その証明書はゲートウェイと管理サーバー間の Windows から Windows への認証にのみ使用されます。Linux 認証には別個の証明書 (SCX-Certificates) が使用され、これらは Operations Manager 自体によって処理されます。
この記事では、Windows プラットフォーム上の Enterprise Active Directory Certificate Services (AD CS) 証明機関 (CA) サーバーを使用して、証明書を取得し、Operations Manager 管理サーバー、ゲートウェイ、またはエージェントで使用する方法について説明します。 Stand-Alone または Microsoft 以外の CA を使用している場合は、Operations Manager で使用される証明書の作成について、証明書/PKI チームに問い合わせてください。
前提条件
次の要件が満たされていることを確認します。
- インストールおよび構成されている Active Directory 証明書サービス (AD CS) または他の Microsoft 以外の証明機関 (CA)。 (注: このガイドでは、Microsoft 以外の CA からの証明書の要求については説明しません)。
- ドメイン管理者特権。
- ドメインに参加している Operations Manager 管理サーバー。
証明書の要件
重要
Operations Manager 証明書では、暗号化 API キー ストレージ プロバイダー (KSP) はサポートされていません。
現時点では、Operations Manager はより高度な証明書をサポートせず、レガシ プロバイダーに依存しています。
組織が AD CS を使用していない場合、または外部証明機関を使用している場合は、その機関に提供されている手順を使用して証明書を作成し、Operations Manager の次の要件を満たしていることを確認します。
- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)
- [Key Usage]
Key Exportable = FALE ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
HashAlgorithm = SHA256
KeyLength = 2048 ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1 ; AT_KEYEXCHANGE
KeyUsage = 0xf0 ; Digital Signature, Key Encipherment
MachineKeySet = TRUE ; The key belongs to the local computer account
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
KeyAlgorithm = RSA
- [EnhancedKeyUsageExtension]
- OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
- OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
- [Compatibility Settings]
- Compatible with Windows Server 2012 R2 ; (or newer based on environment)
- [Cryptography Settings]
- Provider Category: Legacy Cryptography Service Provider
- Algorithm name: RSA
- Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
- Providers: "Microsoft RSA Schannel Cryptographic Provider"
証明書を取得する大まかなプロセス
重要
この記事では、AD-CS の既定の設定は次のとおりです。
- 標準キーの長さ: 2048
- Cryptography API: Cryptographic Service Provider (CSP)
- セキュリティで保護されたハッシュ アルゴリズム: 256 (SHA256)
これらの選択を、会社のセキュリティ ポリシーの要件に対して評価します。
- CA からルート証明書をダウンロードします。
- ルート証明書をクライアント サーバーにインポートします。
- 証明書テンプレートを作成する。
- CA に要求を送信します。
- 必要に応じて要求を承認します。
- 証明書を取得します。
- 証明書を証明書ストアにインポートします。
<MOMCertImport>
を使用して Operations Manager に証明書をインポートします。
CA からルート証明書をダウンロードしてインポートする
ヒント
Enterprise CA を使用していて、ドメインに参加しているシステム上にある場合は、ルート証明書が適切なストアに既にインストールされている必要があります。この手順は省略できます。
証明書がインストールされていることを確認するには、ドメインに参加しているシステムで次の PowerShell コマンドを実行し、"Domain" を部分ドメイン名に置き換えます。
# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }
# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }
証明機関から作成されたすべての証明書を信頼して検証するには、ターゲット コンピューターの信頼されたルート ストアにルート証明書のコピーが必要です。 ドメインに参加しているほとんどのコンピューターは、エンタープライズ CA を既に信頼しています。 ただし、その CA にルート証明書がインストールされていない場合、エンタープライズ CA 以外の CA からの証明書を信頼するマシンはありません。
Microsoft 以外の CA を使用している場合、ダウンロード プロセスは異なります。 ただし、インポート プロセスは変わりません。
グループ ポリシーを使用してルート証明書と CA 証明書を自動的にインストールするには
- 証明書を管理者としてインストールするコンピューターにサインインします。
- 管理者コマンド プロンプトまたは PowerShell コンソールを開きます。
- コマンド
gpupdate /force
を実行する - 完了したら、証明書ストアにルート証明書と CA 証明書が存在するかどうかを確認します。この証明書は、 信頼されたルート証明機関>Certificates のローカル コンピューター証明書マネージャーに表示されます。
CA から信頼されたルート証明書を手動でダウンロードする
信頼されたルート証明書をダウンロードするには、次の手順に従います。
- 証明書をインストールするコンピューターにサインインします。 たとえば、ゲートウェイ サーバーや管理サーバーなどです。
- Web ブラウザーを開き、証明書サーバーの Web アドレスに接続します。
たとえば、「
https://<servername>/certsrv
」のように入力します。 - [ようこそ] ページで、[CA 証明書のダウンロード]、[証明書チェーン]、または [CRL] を選択します。
- Web アクセスの確認を求めるメッセージが表示されたら、サーバーと URL を確認して [はい] を選択します。
- [CA 証明書] で複数のオプションを確認し、選択内容を確認します。
- エンコード方法を Base 64 に変更し、[CA 証明書チェーンをダウンロード] を選択します。
- 証明書を保存してフレンドリ名を指定します。
クライアント上の CA から信頼されたルート証明書をインポートする
注
信頼されたルート証明書をインポートするには、ターゲット コンピューターに対する管理特権が必要です。
信頼されたルート証明書をインポートするには、次の手順に従います。
- 前の手順で生成したファイルをクライアントにコピーします。
- 証明書マネージャーを開きます。
- コマンド ライン、PowerShell、または [実行] から「certlm.msc」と入力し、enter キーを押します。
- スタート メニュー > [実行] を選択し、「mmc 」と入力して Microsoft 管理コンソール (mmc.exe) を見つけます。
- [ファイル]>[スナップインの追加/削除...] の順に移動します。
- [スナップインの追加と削除] ダイアログで、[証明書] を選択し、[追加] を選択します。
- [証明書スナップイン] ダイアログで、
- [コンピューター アカウント] を選択し、[次へ] を選択します。 [コンピューターの選択] ダイアログが開きます。
- [ローカル コンピューター] を選択し、[完了] を選択します。
- OK を選択します。
- [コンソール ルート] で [証明書 (ローカル コンピューター)] を展開します。
- [信頼されたルート証明機関] を展開し、 [証明書] を選択します。
- [すべてのタスク] を選択します。
- 証明書のインポート ウィザードで、最初のページを既定値のままにし、[次へ] を選択します。
- CA 証明書ファイルをダウンロードした場所を参照し、CA からコピーした信頼されたルート証明書ファイルを選択します。
- [次へ] を選択します。
- 証明書ストアの場所で、信頼されたルート証明機関を既定のままにします。
- [次へ]、[完了] の順に選択します。
- 成功した場合、CA の信頼されたルート証明書は 、信頼されたルート証明機関>Certificates の下に表示されます。
エンタープライズ CA の証明書テンプレートを作成する
重要
Stand-Alone または Microsoft 以外の CA を使用している場合は、証明書要求の生成を続行する方法について、証明書または PKI チームに問い合わせてください。
詳しくは、「証明書テンプレート」をご覧ください。
System Center Operations Manager の証明書テンプレートを作成する
ご利用の環境 (CA) で AD CS を使用してドメインに参加しているサーバーにサインインします。
Windows デスクトップで、[スタート]>[Windows 管理ツール]>[証明書機関] を選択します。
右側のナビゲーション ペインで CA を展開し、[証明書テンプレート] を右クリックして [管理] を選択します。
[コンピューター] を右クリックし、[テンプレートの複製] を選択します。
[ 新しいテンプレートのプロパティ ] ダイアログが開きます。次のように選択します。
タブ 説明 互換性 1. 証明機関: Windows Server 2012 R2 (または環境内で最も低い AD 機能レベル)。
2. 証明書の受信者: Windows Server 2012 R2 (または環境内の最小バージョンの OS)。全般 1. テンプレートの表示名: 「Operations Manager」 などのフレンドリー名を入力します。
2. テンプレート名: 表示名と同じ名前を入力します。
3. 有効期間と更新期間: 組織の証明書ポリシーに合った有効期間と更新期間を入力します。 有効性の推奨事項は、証明書を発行する CA の有効期間の 1/2 を超えないようにすることです。 (例: 4 年サブ CA、証明書の最大 2 年間の有効期間)。
4. [Active Directory で証明書を公開する] チェックボックスと [Active Directory に重複する証明書が存在する場合は自動的に再登録しない] チェックボックスをオンにします。要求の処理 1. 目的: ドロップダウンから [署名と暗号化] を選択します。
2. [エクスポートする秘密キーを許可する] チェックボックスをオンにします。暗号 1. プロバイダー カテゴリ: レガシ暗号化サービス プロバイダーを選択します。
2. アルゴリズム名: ドロップダウンから [CSP によって決定] を選択します。
3. 最小キー サイズ: 組織のセキュリティ要件に従って 2048 または 4096。
4. プロバイダー: Microsoft RSA チャネル暗号化プロバイダー と Microsoft Enhanced Cryptographic Provider v1.0 を選択します。セキュリティ 1. テンプレートを作成しているユーザーのユーザー アカウントを削除します。代わりにグループを配置する必要があります。
2. Authenticated Users グループ (または Computer オブジェクト) に読み取りと登録のアクセス許可があることを確認します。
2. ドメイン管理者と Enterprise Admins.
の [登録] アクセス許可をオフにします3. Operations Manager サーバーを含むセキュリティ グループのアクセス許可を追加し、このグループに 登録 アクセス許可を付与します。発行要件 1. CA 証明書マネージャーの承認
2 のチェック ボックスをオンにします。 [再登録に次を必須にする] で、[有効な既存の証明書] を選択します
3。 [キー ベースの更新を許可する] チェック ボックスをオンにするサブジェクト名 1. 要求で [供給] を選択します
2。 [ 既存の証明書のサブジェクト情報を使用する]チェック ボックスをオンにします。..[ 適用] と [OK] を 選択して、新しいテンプレートを作成します。
関連するすべての証明機関でテンプレートを発行する
- ご利用の環境 (CA) で AD CS を使用してドメインに参加しているサーバーにサインインします。
- Windows デスクトップで、[スタート]>[Windows 管理ツール]>[証明書機関] を選択します。
- 右側のナビゲーション ペインで CA を展開し、[証明書テンプレート] を右クリックし、[新規]>[発行する証明書テンプレート] を選択します。
- 上記の手順で作成した新しいテンプレートを選択し、[OK] を選択します。
要求ファイルを使用して証明書を要求する
注
INF ファイルを使用して証明書要求を作成することは従来の方法であり、推奨されません。
情報 (.inf) ファイルを作成する
証明書を要求する Operations Manager 機能をホストしているコンピューターで、テキスト エディターで新しいテキスト ファイルを開きます。
次の内容を含むテキスト ファイルを作成します。
[NewRequest] Subject="CN=server.contoso.com" Key Exportable = TRUE ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE HashAlgorithm = SHA256 KeyLength = 2048 ; (2048 or 4096 as per Organization security requirement.) KeySpec = 1 ; AT_KEYEXCHANGE KeyUsage = 0xf0 ; Digital Signature, Key Encipherment MachineKeySet = TRUE ; The key belongs to the local computer account ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 KeyAlgorithm = RSA ; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named [RequestAttributes] CertificateTemplate="OperationsManager" ; Not required if using a template with this defined [EnhancedKeyUsageExtension] OID = 1.3.6.1.5.5.7.3.1 ; Server Authentication OID = 1.3.6.1.5.5.7.3.2 ; Client Authentication
ファイル拡張子を
.inf
してファイルを保存します。 たとえば、「CertRequestConfig.inf
」のように入力します。テキスト エディターを閉じます。
証明書要求ファイルを作成する
このプロセスは、Base64 の構成ファイルで指定された情報をエンコードし、新しいファイルに出力します。
証明書を要求する Operations Manager 機能をホストしているコンピューターで、管理者コマンド プロンプトを開きます。
.inf
ファイルがあるのと同じディレクトリに移動します。次のコマンドを実行して、
.inf
ファイル名を変更して、先ほど作成したファイル名と一致するようにします。.req
ファイル名は as-isのままにします。CertReq –New –f CertRequestConfig.inf CertRequest.req
次のコマンドを実行し、結果を確認して、新しい
.req
ファイルを検証します。CertUtil CertRequest.req
新しい証明書要求を送信する
証明書を要求する Operations Manager 機能をホストしているコンピューターで、管理者コマンド プロンプトを開きます。
.req
ファイルがあるのと同じディレクトリに移動します。次のコマンドを実行して、CA に要求を送信します。
CertReq -Submit CertRequest.req
CA を選択するオプションが表示される場合は、適切な CA を選択して続行します。
完了すると、結果に "証明書要求が保留中です" と表示され、続行する前に証明書承認者が要求を承認する必要があります。
- それ以外の場合、証明書は証明書ストアにインポートされます。
証明書マネージャーを使用して証明書を要求する
証明書テンプレートが定義されたエンタープライズ CA の場合は、証明書マネージャーを使用して、ドメインに参加しているクライアント コンピューターから新しい証明書を要求できます。 この方法はエンタープライズ CA に固有であり、Stand-Alone CA には適用されません。
管理者権限 (管理サーバー、ゲートウェイ、エージェントなど) を使用してターゲット コンピューターにサインインします。
管理者コマンド プロンプトまたは PowerShell ウィンドウを使用して証明書マネージャーを開きます。
- certlm.msc - ローカル コンピューターの証明書ストアを開きます。
- mmc.msc - Microsoft 管理コンソールを開きます。
- 証明書マネージャー スナップインを読み込みます。
- [ファイル]>[スナップインの追加/削除] の順に移動します。
- [証明書] を選択します。
- 追加を選択します。
- メッセージが表示されたら、[コンピューター アカウント]を選択して [次へ] を選択します。
- [ローカル コンピューター] を選択して [完了] を選択します。
- [OK] を選択してウィザードを閉じます。
証明書要求を開始します。
- [証明書] の [個人用] フォルダーを展開します。
- [証明書]>[すべてのタスク]>[新しい証明書を要求] を右クリックします。
証明書登録ウィザードで次のように実行します
- [開始する前に] ページで、 [次へ] を選択します。
- 該当する証明書登録ポリシー (デフォルトは Active Directory 登録ポリシー) を選択し、[次へ] を選択します。
- 目的の登録ポリシー テンプレートを選択します。
- テンプレートがすぐに使用できない場合は、一覧の下にある [すべてのテンプレートを表示] ボックスを選択します。
- 必要なテンプレートの横に赤い X が付いている場合は、Active Directory または証明書チームに問い合わせてください。
- 証明書の情報を手動で入力する必要がある場合は、選択したテンプレートの下にハイパーリンクとして警告メッセージが表示されます。
⚠️ More Information is required to enroll for this certificate. Click here to configure settings.
- ハイパーリンクを選択し、ポップアップ ウィンドウで証明書の情報を入力し続けます。
証明書の プロパティ ウィザードで、次の操作を行います。
タブ 説明 サブジェクト 1. サブジェクト名で [共通名] または [フル DN] を選択し、ターゲット サーバーのホスト名または BIOS 名の値を指定し、[追加] を選択します。
2. 必要に応じて代替名を追加します。 サブジェクトの代わりに代替名を使用する場合、最初の名 はホスト名または BIOS 名と一致する必要があります。全般 1. 生成された証明書にフレンドリ名を指定します。
2. 必要に応じて、この証明書の目的の説明を入力します。拡張機能 1. [キー使用法] で、[デジタル署名] と [キー暗号化] オプションを選択し、[これらのキー使用法を重要にする] チェックボックスをオンにします。
2. [拡張キー使用法] で、[ サーバー認証 ] オプションと [ クライアント認証 ] オプションを選択します。秘密キー 1. [キー オプション] で、キー サイズが少なくとも 1024 または 2048 であることを確認し、[秘密キーをエクスポート可能にする] チェックボックスをオンにします。
2. [キーの種類] で、必ず [Exchange] オプションを選択します。[証明機関] タブ 必ず [CA] チェックボックスをオンにします。 署名 組織で登録機関が必要な場合は、この要求の署名証明書を指定します。 - 証明書のプロパティ ウィザードで情報を指定すると、以前の警告ハイパーリンクは表示されなくなります。
- [登録して証明書を作成] を選択します。 エラーが発生した場合は、AD または証明書チームに問い合わせてください。
- 成功した場合、状態は [成功] と読み取られ、新しい証明書は個人用/証明書ストアに格納されます。
これらのアクションが証明書の目的の受信者に対して実行された場合は、次の手順に進みます。
証明書要求が証明書マネージャーによる承認を必要とする場合は、要求が検証されて承認されたら続行します。
- 承認されると、自動登録が構成されている場合は、グループ ポリシーの更新 (
gpupdate /force
) の後に証明書がシステムに表示されます。 - ローカル コンピューターの個人用ストアに表示されない場合は、証明書 - ローカル コンピューター>Certificate 登録要求>Certificates を確認します。
- 要求された証明書がここに存在する場合は、個人用証明書ストアにコピーします。
- 要求された証明書がここにない場合は、証明書チームに問い合わせてください。
- 承認されると、自動登録が構成されている場合は、グループ ポリシーの更新 (
それ以外の場合は、マシンから新しい証明書をエクスポートし、次の証明書にコピーします。
- [証明書マネージャー] ウィンドウを開き、[個人]>[証明書] に移動します。
- エクスポートする証明書を選択します。
- [すべて] [タスク]>[エクスポート] を右クリックします。
- 証明書のエクスポート ウィザードで次のように実行します。
- ウェルカム ページで [次へ] を選択します。
- 必ず [はい、秘密キーをエクスポートします] を選択します。
- 形式オプションから [Personal Information Exchange – PKCS #12 (.PFX)] を選択します。
- [可能であれば、証明書パスにあるすべての証明書を含む]] チェックボックスと [すべての拡張プロパティをエクスポートする] チェックボックスをオンにします。
- [次へ] を選択します。
- 証明書ファイルを暗号化するための既知のパスワードを指定します。
- [次へ] を選択します。
- 証明書のアクセス可能なパスと認識可能なファイル名を指定します。
- 新しく作成した証明書ファイルをターゲット コンピューターにコピーします。
ターゲット コンピューターに証明書をインストールする
新しく作成した証明書を使用するには、クライアント コンピューター上の証明書ストアにインポートします。
証明書ストアに証明書を追加する
管理サーバー、ゲートウェイ、またはエージェントの証明書が作成されているコンピューターにサインインします。
先ほど作成した証明書を、このコンピューター上のアクセス可能な場所にコピーします。
管理者コマンド プロンプトまたは PowerShell ウィンドウを開き、証明書ファイルがあるフォルダーに移動します。
次のコマンドを実行し、 NewCertificate.cer をファイルの正しい名前/パスに置き換えます。
CertReq -Accept -Machine NewCertificate.cer
この証明書は、このコンピューターのローカル コンピューターの個人用ストアにあるはずです。
または、証明書ファイル > [インストール] > [ローカル コンピューター] を右クリックし、個人用ストアの保存先を選択して証明書をインストールします。
ヒント
秘密キーを使用して証明書を証明書ストアに追加し、後で削除すると、再インポート時に証明書は秘密キーを失います。 Operations Manager では、送信データを暗号化するための秘密キーが必要です。 秘密キーを復元するには、証明書のシリアル番号と共に certutil コマンドを使用します。 管理者コマンド プロンプトまたは PowerShell ウィンドウで次のコマンドを実行します。
certutil -repairstore my <certificateSerialNumber>
Operations Manager に証明書をインポートする
システムへの証明書のインストールに加えて、使用する証明書を認識するように Operations Manager を更新する必要があります。 これらのアクションにより、変更を適用するために Microsoft Monitoring Agent サービスが再起動されます。
Operations Manager インストール メディアの SupportTools フォルダーに含まれている MOMCertImport.exe ユーティリティが必要です。 ファイルをサーバーにコピーします。
MOMCertImport を使用して Operations Manager に証明書をインポートするには、次の手順に従います。
ターゲット コンピューターにサインインします。
管理者コマンド プロンプトまたは PowerShell ウィンドウを開き、MOMCertImport.exe ユーティリティ フォルダーに移動します。
次のコマンドを実行して 、MomCertImport.exe ユーティリティを実行します。
- CMD の場合:
MOMCertImport.exe
- PowerShell の場合:
.\MOMCertImport.exe
- CMD の場合:
GUI ウィンドウが表示され、証明書の 選択を求められます。
- 証明書の一覧が表示されます。目的の証明書がすぐに表示されない場合は、[ その他] を選択します。
一覧から、マシンの新しい証明書を選択します。
- 証明書を選択して確認できます。 選択すると、証明書のプロパティを表示できます。
[OK] を選択します。
成功した場合、ポップアップ ウィンドウに次のメッセージが表示されます。
Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.
検証するには、 イベント ビューアー>アプリケーションとサービス ログ>Operations Manager に移動し、イベント ID 20053 を探します。 このイベントは、認証証明書が正常に読み込まれたことを示します
イベント ID 20053 がシステムに存在しない場合は、インポートされた証明書に関する問題が定義されているため、次のいずれかのイベント ID を探し、必要に応じて修正してください。
- 20049
- 20050
- 20052
- 20066
- 20069
- 20077
これらのイベント ID がログに存在しない場合は、証明書のインポートに失敗し、証明書と管理アクセス許可を確認してから、もう一度やり直してください。
MOMCertImport は、次のレジストリの場所を更新して、インポートされたミラー化された証明書のシリアル番号と一致する値を含めます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
証明書を更新する
Operations Manager は、管理サーバーとゲートウェイのインポートされた証明書の有効期限が近づきたときにアラートを生成します。 このようなアラートを受け取った場合は、有効期限の前にサーバーの証明書を更新するか、新しい証明書を作成します。 このアラート機能は、証明書にエンタープライズ CA からのテンプレート情報が含まれている場合にのみ機能します。
- 期限切れの証明書を使用してサーバーにサインインし、証明書構成マネージャー (certlm.msc) を起動します。
- 期限切れの Operations Manager 証明書を見つけます。
- 証明書が見つからない場合は、証明書ストアではなくファイルを使用して証明書が削除またはインポートされている可能性があります。 CA からこのマシンの新しい証明書を発行する必要があります。 その方法については、前述の手順を参照してください。
- 証明書が見つかると、証明書を更新するためのオプションを次に示します。
- 新しいキーで証明書を要求する
- 新しいキーで証明書を更新する
- 同じキーで証明書を更新する
- 目的に最も適したオプションを選択し、ウィザードに従います。
- 完了したら、
MOMCertImport.exe
ツールを実行して、Operations Manager に証明書の新しいシリアル番号があることを確認します。 詳細については、「 Operations Manager への証明書のインポート 」セクションを参照してください。
この方法で証明書を更新できない場合は、前の手順を使用して、新しい証明書または組織の証明機関を要求します。 Operations Manager で使用する新しい証明書をインストールしてインポート (MOMCertImport) します。
省略可能: 証明書の自動登録と更新を構成する
エンタープライズ CA を使用して、有効期限が切れたときの証明書の自動登録と更新を構成します。 これにより、信頼されたルート証明書がドメインに参加しているすべてのシステムに配布されます。
証明書の自動登録と更新の構成は、Stand-Alone または Microsoft CA 以外では機能しません。 ワークグループまたは別のドメイン内のシステムの場合、証明書の更新と登録は手動で行います。
詳細については、 Windows Server ガイドを参照してください。
注
自動登録と更新では、新しい証明書を使用するように Operations Manager が自動的に構成されることはありません。 証明書が同じキーで自動更新される場合、サムプリントは同じままであり、管理者による操作は必要ありません。 新しい証明書が生成された場合、または拇印が変更された場合は、更新された証明書を再インポートする必要があります。 詳細については、「 Operations Manager への証明書のインポート 」セクションを参照してください。