Configuration Manager で PKI 証明書を計画する

適用対象: Configuration Manager (現在のブランチ)

Configuration Manager は、公開キーインフラストラクチャ (PKI) ベースのデジタル証明書を使用可能な場合に使用します。 セキュリティを強化するには、これらの証明書の使用をお勧めしますが、ほとんどのシナリオでは必須ではありません。 これらの証明書は、Configuration Manager から個別に展開および管理する必要があります。

この記事では、実装の計画に役立つ Configuration Manager の PKI 証明書に関する情報を提供します。 Configuration Manager での証明書の使用に関する一般的な情報については、「Configuration Manager の 証明書」を参照してください

PKI 証明書の失効

Configuration Manager で PKI 証明書を使用する場合は、証明書失効リスト (CRL) の使用を計画します。 デバイスは CRL を使用して、接続しているコンピューター上の証明書を確認します。 CRL は、証明機関 (CA) が作成して署名するファイルです。 CA が発行したが失効した証明書の一覧があります。 証明書管理者が証明書を取り消すと、その拇印が CRL に追加されます。 たとえば、発行された証明書が既知または侵害の疑いがある場合です。

重要

CRL の場所は CA が発行するときに証明書に追加されますので、Configuration Manager が使用する PKI 証明書を展開する前に、CRL を計画してください。

IIS は常にクライアント証明書の CRL をチェックします。Configuration Manager ではこの構成を変更できます。 既定では、Configuration Manager クライアントは常にサイト システムの CRL をチェックします。 サイト プロパティを指定し、CCMSetup プロパティを指定して、この設定を無効にします。

証明書失効チェックを使用するが CRL を見つけ出すことのできないコンピューターは、証明書チェーン内のすべての証明書が失効した場合と同様に動作します。 この動作は、証明書が証明書失効リストに含まれるか確認できないためです。 このシナリオでは、証明書を必要とするすべての接続が失敗し、CRL チェックが含まれます。 CRL が HTTP の場所を参照してアクセス可能な状態を検証する場合は、Configuration Manager クライアントが LOCAL SYSTEM として実行される点に注意してください。 ユーザー コンテキストで Web ブラウザーで CRL アクセシビリティをテストすると成功する可能性がありますが、同じ CRL URL への HTTP 接続を試行すると、コンピューター アカウントがブロックされる場合があります。 たとえば、プロキシのような内部 Web フィルター ソリューションのためにブロックできます。 任意の Web フィルター ソリューションの承認済みリストに CRL URL を追加します。

証明書が使用される度に CRL をチェックすると、失効した証明書を使用する場合に対するセキュリティが強化されます。 クライアントに接続の遅延や処理が発生します。 組織では、インターネット上のクライアントまたは信頼されていないネットワークに対して、このセキュリティ チェックが必要な場合があります。

Configuration Manager クライアントが CRL を確認する必要があるかどうかを決定する前に、PKI 管理者に問い合わせてください。 次の両方の条件に当てはまる場合は、Configuration Manager でこのオプションを有効に保つことを検討してください。

  • PKI インフラストラクチャは CRL をサポートし、すべての Configuration Manager クライアントが CRL を検索できる場所で公開されます。 これらのクライアントには、インターネット上のデバイスと、信頼されていないフォレスト内のデバイスが含まれる場合があります。

  • PKI 証明書を使用するように構成されているサイト システムへの接続ごとに CRL を確認する要件は、次の要件よりも大きくなります。

    • 高速な接続
    • クライアントでの効率的な処理
    • クライアントが CRL を見つけきれなかった場合にサーバーに接続できないリスク

PKI 信頼されたルート証明書

IIS サイト システムで HTTP 経由のクライアント認証、または HTTPS 経由のクライアント認証と暗号化に PKI クライアント証明書を使用する場合は、ルート CA 証明書をサイト プロパティとしてインポートする必要があります。 次の 2 つのシナリオを示します。

  • Configuration Manager を使用してオペレーティング システムを展開し、管理ポイントは HTTPS クライアント接続のみを受け入れる。

  • 管理ポイントが信頼するルート証明書にチェーンしない PKI クライアント証明書を使用します。

    注意

    管理ポイントに使用するサーバー証明書を発行する同じ CA 階層からクライアント PKI 証明書を発行する場合は、このルート CA 証明書を指定する必要はありません。 ただし、複数の CA 階層を使用し、互いに信頼するかどうかが分からない場合は、クライアントの CA 階層のルート CA をインポートします。

Configuration Manager のルート CA 証明書をインポートする必要がある場合は、発行元の CA またはクライアント コンピューターからエクスポートします。 ルート CA である発行元 CA から証明書をエクスポートする場合は、プライベート キーをエクスポートしない。 エクスポートした証明書ファイルを安全な場所に保存して、改ざんを防止します。 サイトのセットアップ時にファイルにアクセスする必要があります。 ネットワーク上でファイルにアクセスする場合は、IPsec を使用して通信が改ざんから保護されている必要があります。

インポートしたルート CA 証明書が更新された場合は、更新された証明書をインポートします。

これらのインポートされたルート CA 証明書と、各管理ポイントのルート CA 証明書によって、証明書発行者リストが作成されます。 Configuration Manager コンピューターでは、次の方法でこの一覧を使用します。

  • クライアントが管理ポイントに接続すると、管理ポイントは、クライアント証明書がサイトの証明書発行者リストの信頼できるルート証明書にチェーン接続されているのを確認します。 証明書が拒否され、PKI 接続が失敗します。

  • クライアントが PKI 証明書を選択し、証明書発行者リストを持っている場合は、証明書発行者リストで信頼できるルート証明書にチェーンする証明書を選択します。 一致しない場合、クライアントは PKI 証明書を選択しません。 詳細については、「PKI クライアント証明書の 選択」を参照してください

PKI クライアント証明書の選択

IIS サイト システムが HTTP 経由でのクライアント認証または HTTPS 経由でのクライアント認証と暗号化に PKI クライアント証明書を使用する場合は、Windows クライアントが Configuration Manager で使用する証明書を選択する方法を計画します。

注意

一部のデバイスでは、証明書の選択方法がサポートされていません。 代わりに、証明書の要件を満たす最初の証明書が自動的に選択されます。 たとえば、macOS コンピューターとモバイル デバイス上のクライアントは証明書の選択方法をサポートしません。

多くの場合、既定の構成と動作で十分です。 コンピューター上の Configuration Manager クライアントWindows、次の順序で複数の証明書をフィルター処理します。

  1. 証明書発行者リスト: 管理ポイントによって信頼されているルート CA への証明書チェーン。

  2. 証明書は、個人用の既定の証明書ストア に格納されています

  3. 証明書が有効で、失効していない、有効期限が切れていない。 また、有効性チェックは、プライベート キーにアクセス可能なものも確認します。

  4. 証明書にはクライアント認証機能があります。

  5. 証明書サブジェクト名には、ローカル コンピューター名がサブ文字列として含まれる。

  6. 証明書の有効期間は最長です。

次のメカニズムを使用して、証明書発行者リストを使用するクライアントを構成します。

クライアントが最初にインストールされ、まだサイトに割り当てられていないときに証明書発行者リストを持っていない場合は、このチェックをスキップします。 クライアントが証明書発行者リストを持ち、証明書発行者リスト内の信頼されたルート証明書にチェーンする PKI 証明書を持たなかった場合、証明書の選択は失敗します。 クライアントは、他の証明書の選択条件を続行しません。

ほとんどの場合、Configuration Manager クライアントは一意で適切な PKI 証明書を正しく識別します。 この動作がそうではない場合は、クライアント認証機能に基づいて証明書を選択する代わりに、次の 2 つの代替選択方法を設定できます。

  • クライアント証明書のサブジェクト名に一致する部分的な文字列。 このメソッドは大文字と小文字を区別しない一致です。 サブジェクト フィールドでコンピューターの完全修飾ドメイン名 (FQDN) を使用し、証明書の選択をドメイン サフィックス (たとえば、contoso.com) に基づく場合 に適しています。 この選択方法を使用して、証明書をクライアント証明書ストア内の他のユーザーと区別する証明書サブジェクト名内の連続する文字の任意の文字列を識別できます。

    注意

    部分的な文字列一致とサブジェクトの代替名 (SAN) をサイト設定として使用することはできません。 CCMSetup を使用して SAN の部分的な文字列一致を指定することもできますが、次のシナリオではサイトのプロパティによって上書きされます。

    • クライアントは、Active Directory ドメイン サービスに発行されたサイト情報を取得します。
    • クライアントは、クライアント プッシュ インストールを使用してインストールされます。

    クライアントを手動でインストールし、Active Directory ドメイン サービスからサイト情報を取得しない場合にのみ、SAN で部分的な文字列の一致を使用します。 たとえば、これらの条件はインターネット専用のクライアントに適用されます。

  • クライアント証明書のサブジェクト名属性値またはサブジェクトの代替名 (SAN) 属性値の一致。 このメソッドは大文字と小文字を区別する一致です。 RFC 3280 に準拠して X500 識別名または同等のオブジェクト識別子 (OID) を使用し、属性値に基づいて証明書を選択する場合に適しています。 証明書を一意に識別または検証し、証明書ストア内の他のユーザーと証明書を区別するために必要な属性とその値のみを指定できます。

次の表は、Configuration Manager がクライアント証明書の選択条件でサポートする属性値を示しています。

OID 属性 識別名属性 属性定義
0.9.2342.19200300.100.1.25 DC ドメイン コンポーネント
1.2.840.113549.1.9.1 電子メールまたは電子メール メール アドレス
2.5.4.3 CN 共通名
2.5.4.4 SN サブジェクト名
2.5.4.5 SERIALNUMBER シリアル番号
2.5.4.6 C 国番号
2.5.4.7 L ローカル性
2.5.4.8 S または ST 州名または州名
2.5.4.9 STREET 番地
2.5.4.10 O 組織名
2.5.4.11 OU 組織単位
2.5.4.12 T または Title Title
2.5.4.42 G または GN または GivenName 指定された名前
2.5.4.43 I または Initials Initials
2.5.29.17 (値なし) サブジェクトの代替名

注意

上記のいずれかの代替証明書選択方法を構成する場合、証明書サブジェクト名にローカル コンピューター名を含む必要はありません。

選択条件が適用された後に複数の適切な証明書が見つかった場合は、既定の構成を上書きして、有効期間が最も長い証明書を選択できます。 代わりに、証明書が選択されなか指定できます。 このシナリオでは、クライアントは PKI 証明書を使用して IIS サイト システムと通信できません。 クライアントは、割り当てられたフォールバック 状態ポイントにエラー メッセージを送信して、証明書の選択エラーを通知します。 次に、証明書の選択条件を変更または絞り込みできます。

クライアントの動作は、失敗した接続が HTTPS または HTTP を経由したかどうかによって異なります。

  • 失敗した接続が HTTPS を超えた場合: クライアントは HTTP 経由で接続を試み、クライアントの自己署名証明書を使用します。

  • 失敗した接続が HTTP を超えた場合: クライアントは、自己署名証明書のクライアント証明書を使用して HTTP を使用して再び接続を試みます。

一意の PKI クライアント証明書を識別するために、コンピューター ストアで既定の 個人用 以外のカスタム ストアを 指定 することもできます。 Configuration Manager の外部にカスタム証明書ストアを作成します。 有効期限が切れる前に、このカスタム ストアに証明書を展開し、更新できる必要があります。

詳細については、「クライアント PKI 証明書の設定を構成する」を参照してください

PKI 証明書の移行戦略

Configuration Manager の柔軟な構成オプションを使用すると、クライアントとサイトを段階的に移行し、PKI 証明書を使用してクライアント エンドポイントを保護できます。 PKI 証明書を使用すると、セキュリティが強化され、インターネット クライアントを管理できます。

この計画では、最初に HTTP 経由でのみ認証を行う PKI 証明書を導入し、次に HTTPS 経由での認証と暗号化を行います。 この計画に従ってこれらの証明書を段階的に導入すると、クライアントが管理されなくなるリスクが軽減されます。 Configuration Manager がサポートする最高のセキュリティも利用できます。

Configuration Manager の構成オプションと選択肢の数が多いので、すべてのクライアントが HTTPS 接続を使用するようにサイトを移行する方法は 1 つはありません。 以下の手順では、一般的なガイダンスを提供します。

  1. Configuration Manager サイトをインストールし、サイト システムが HTTPS および HTTP 経由のクライアント接続を受け入れするように構成します。

  2. サイトの プロパティで [通信セキュリティ ] タブを構成します。 [サイト システム] 設定 HTTP または HTTPS に設定し、使用可能な場合は [PKI クライアント証明書 (クライアント認証機能) を使用する] を選択します。 詳細については、「クライアント PKI 証明書の設定を構成する」を参照してください

  3. クライアント証明書の PKI ロールアウトをパイロットします。 展開の例については、「クライアント証明書を展開する」を参照Windowsしてください

  4. クライアント プッシュ インストール方法を使用してクライアントをインストールします。 詳細については、「クライアント プッシュを使用して Configuration Manager クライアントをインストールする 方法」を参照してください

  5. Configuration Manager コンソールのレポートと情報を使用して、クライアントの展開と状態を監視します。

  6. [資産とコンプライアンス] ワークスペースの [デバイス]ノードで [クライアント証明書] 列を表示して、クライアント PKI 証明書を使用しているクライアントの数 を追跡 します。

    Configuration Manager HTTPS 準備評価ツール (CMHttpsReadiness.exe)をコンピューターに展開することもできます。 次に、レポートを使用して、Configuration Manager でクライアント PKI 証明書を使用できるコンピューターの数を確認します。

    注意

    Configuration Manager クライアントをインストールすると、 フォルダーに CMHttpsReadiness.exeツールがインストール %windir%\CCM されます。 このツールを実行すると、次のコマンド ライン オプションを使用できます。

    • /Store:<Certificate store name>: このオプションは 、CCMCERTSTORE プロパティとclient.msiです。
    • /Issuers:<Case-sensitive issuer common name>: このオプションは 、CCMCERTISSUERS プロパティとclient.msiです。
    • /Criteria:<Selection criteria>: このオプションは 、CCMCERTSEL プロパティとclient.msiです。
    • /SelectFirstCert: このオプションは 、CCMFIRSTCERT プロパティとclient.msiです。

    このツールは、ディレクトリ内の CMHttpsReadiness.log に情報を出力 CCM\Logs します。

    詳細については、「クライアント インストールのプロパティ について」を参照してください

  7. 十分なクライアントが HTTP を使用した認証にクライアント PKI 証明書を正常に使用できると確信している場合は、次の手順を実行します。

    1. サイトの別の管理ポイントを実行するメンバー サーバーに PKI Web サーバー証明書を展開し、その証明書を IIS で構成します。 詳細については、「IIS を実行 するサイト システム用の Web サーバー証明書の展開」を参照してください

    2. このサーバーに管理ポイントの役割をインストールします。 HTTPS の 管理ポイント プロパティ で [クライアント接続] オプションを 構成します

  8. PKI 証明書を持つクライアントが HTTPS を使用して新しい管理ポイントを使用するように監視し、確認します。 IIS ログまたはパフォーマンス カウンターを使用して確認できます。

  9. HTTPS クライアント接続を使用するように他のサイト システムの役割を再構成します。 インターネット上のクライアントを管理する場合は、サイト システムにインターネット FQDN が設定されている必要があります。 インターネットからのクライアント接続を受け入れる個別の管理ポイントと配布ポイントを構成します。

    重要

    インターネットからの接続を受け入れるサイト システムの役割を設定する前に、インターネット ベースのクライアント管理の計画情報と前提条件を確認してください。 詳細については、「エンドポイント間 の通信」を参照してください

  10. クライアントと IIS を実行するサイト システムの PKI 証明書ロールアウトを拡張します。 必要に応じて、HTTPS クライアント接続とインターネット接続のサイト システムの役割を設定します。

  11. 最高のセキュリティのために: すべてのクライアントが認証と暗号化にクライアント PKI 証明書を使用している確信がある場合は、HTTPS のみを使用するようにサイトのプロパティを変更します。

次の手順