証明書プロファイルを作成する

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

重要

バージョン 2203 以降では、この会社のリソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関するよく寄せられる質問」を参照してください。

Configuration Managerの証明書プロファイルを使用して、会社のリソースにアクセスするために必要な証明書を使用してマネージド デバイスをプロビジョニングします。 証明書プロファイルを作成する前に、「証明書インフラストラクチャのセットアップ」の説明に従って 証明書インフラストラクチャを設定します

この記事では、信頼されたルート証明書プロファイルと簡易証明書登録プロトコル (SCEP) 証明書プロファイルを作成する方法について説明します。 PFX 証明書プロファイルを作成する場合は、「 PFX 証明書プロファイルの作成」を参照してください。

証明書プロファイルを作成するには:

  1. 証明書プロファイルの作成ウィザードを開始します。
  2. 証明書に関する一般的な情報を入力します。
  3. 信頼された証明機関 (CA) 証明書を構成します。
  4. SCEP 証明書情報を構成します。
  5. 証明書プロファイルでサポートされているプラットフォームを指定します。

ウィザードを開始する

証明書プロファイルの作成を開始するには:

  1. Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[コンプライアンス 設定] を展開し、[Company Resource Access] を展開して、[証明書プロファイル] ノードを選択します。

  2. リボンの [ ホーム ] タブの [ 作成 ] グループで、[ 証明書プロファイルの作成] を選択します。

全般

証明書プロファイルの作成ウィザードの [全般 ] ページで、次の情報を指定します。

  • 名前: 証明書プロファイルの一意の名前を入力します。 最大 256 文字を使用できます。

  • 説明: 証明書プロファイルの概要を示す説明を入力します。 また、Configuration Manager コンソールで識別するのに役立つその他の関連情報も含めます。 最大 256 文字を使用できます。

  • 作成する証明書プロファイルの種類を指定します。

    • 信頼された CA 証明書: 信頼されたルート証明機関 (CA) または中間 CA 証明書を展開して、ユーザーまたはデバイスが別のデバイスを認証する必要がある場合に信頼の証明書チェーンを形成するには、この種類を選択します。 たとえば、デバイスはリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーまたは仮想プライベート ネットワーク (VPN) サーバーです。

      SCEP 証明書プロファイルを作成する前に、信頼された CA 証明書プロファイルも構成します。 この場合、信頼された CA 証明書は、ユーザーまたはデバイスに証明書を発行する CA 用である必要があります。

    • 簡易証明書登録プロトコル (SCEP) の設定: 簡易証明書登録プロトコル とネットワーク デバイス登録サービス (NDES) ロール サービスを使用して、ユーザーまたはデバイスの証明書を要求するには、この種類を選択します。

    • 個人情報Exchange PKCS #12 (PFX) 設定 - インポート: このオプションを選択して PFX 証明書をインポートします。 詳細については、「 PFX 証明書プロファイルのインポート」を参照してください。

    • 個人情報Exchange PKCS #12 (PFX) 設定 - 作成: 証明機関を使用して PFX 証明書を処理するには、このオプションを選択します。 詳細については、「 PFX 証明書プロファイルの作成」を参照してください。

信頼された CA 証明書

重要

SCEP 証明書プロファイルを作成する前に、少なくとも 1 つの信頼された CA 証明書プロファイルを構成します。

証明書をデプロイした後、これらの値のいずれかを変更すると、新しい証明書が要求されます。

  • キー Storage プロバイダー
  • 証明書テンプレート名
  • 証明書の種類
  • 件名の形式
  • サブジェクト名の別名
  • [証明書の有効期間]
  • キー使用法
  • キー サイズ
  • 拡張キーの使用
  • ルート CA 証明書

  1. 証明書プロファイルの作成ウィザードの [信頼された CA 証明書 ] ページで、次の情報を指定します。

    • 証明書ファイル: [ インポート] を選択し、証明書ファイルを参照します。

    • 移行先ストア: 複数の証明書ストアがあるデバイスの場合は、証明書を格納する場所を選択します。 ストアが 1 つしかないデバイスの場合、この設定は無視されます。

  2. 証明書の 拇印 の値を使用して、正しい証明書がインポートされたことを確認します。

SCEP 証明書

1. SCEP サーバー

証明書プロファイルの作成ウィザードの [SCEP サーバー ] ページで、SCEP 経由で証明書を発行する NDES サーバーの URL を指定します。 証明書登録ポイントの構成に基づいて NDES URL を自動的に割り当てるか、URL を手動で追加できます。

2. SCEP 登録

証明書プロファイルの作成ウィザードの SCEP 登録 ページを完了します。

  • 再試行: デバイスが証明書要求を自動的に NDES サーバーに再試行する回数を指定します。 この設定は、CA マネージャーが承認される前に証明書要求を承認する必要があるシナリオをサポートします。 この設定は、通常、セキュリティの高い環境や、エンタープライズ CA ではなくスタンドアロンの発行元 CA がある場合に使用されます。 また、この設定をテスト目的で使用して、発行元 CA が証明書要求を処理する前に証明書要求オプションを検査することもできます。 この設定は 、[再試行の遅延 (分)] 設定と共に使用します。

  • 再試行の遅延 (分): CA を発行する CA が証明書要求を処理する前に CA マネージャーの承認を使用する場合、各登録試行の間隔を分単位で指定します。 テスト目的でマネージャーの承認を使用する場合は、低い値を指定します。 その後、要求を承認した後、デバイスが証明書要求を再試行するまで長い時間は待機しません。

    運用ネットワークでマネージャーの承認を使用する場合は、より高い値を指定します。 この動作により、CA 管理者が保留中の承認を承認または拒否するのに十分な時間を確保できます。

  • 更新のしきい値 (%): デバイスが証明書の更新を要求する前に残る証明書の有効期間の割合を指定します。

  • キー Storage プロバイダー (KSP): 証明書のキーを格納する場所を指定します。 次のいずれかの値を選択します。

    • トラステッド プラットフォーム モジュール (TPM) にインストールする (存在する場合): キーを TPM にインストールします。 TPM が存在しない場合は、ソフトウェア キーのストレージ プロバイダーにキーがインストールされます。

    • トラステッド プラットフォーム モジュール (TPM) にインストールできない場合は失敗します。それ以外の場合 は、キーを TPM にインストールします。 TPM モジュールが存在しない場合、インストールは失敗します。

    • インストールWindows Hello for Businessそれ以外の場合は失敗します。このオプションは、Windows 10 以降のデバイスで使用できます。 これにより、多要素認証によって保護されているWindows Hello for Business ストアに証明書を格納できます。 詳細については、「Windows Hello for Business」を参照してください。

      注意

      このオプションでは、[証明書のプロパティ] ページの [拡張キーの使用] のスマート カード ログオンはサポートされません。

    • ソフトウェア キー Storage プロバイダーに インストールする: ソフトウェア キーのストレージ プロバイダーにキーをインストールします。

  • 証明書登録用のデバイス: 証明書プロファイルをユーザー コレクションに展開する場合は、ユーザーのプライマリ デバイス、またはユーザーがサインインする任意のデバイスでのみ証明書の登録を許可します。

    証明書プロファイルをデバイス コレクションに展開する場合は、デバイスのプライマリ ユーザーに対してのみ、またはデバイスにサインインするすべてのユーザーに証明書の登録を許可します。

3. 証明書のプロパティ

証明書プロファイルの作成ウィザードの [ 証明書のプロパティ ] ページで、次の情報を指定します。

  • 証明書テンプレート名: NDES で構成し、発行元の CA に追加した証明書テンプレートの名前を選択します。 証明書テンプレートを正常に参照するには、ユーザー アカウントに証明書テンプレートに対する 読み取り アクセス許可が必要です。 証明書を 参照 できない場合は、その名前を入力します。

    重要

    証明書テンプレート名に ASCII 以外の文字が含まれている場合、証明書はデプロイされません。 (これらの文字の 1 つの例は、中国語のアルファベットです。証明書がデプロイされていることを確認するには、最初に CA に証明書テンプレートのコピーを作成します。 次に、ASCII 文字を使用してコピーの名前を変更します。

    • 証明書テンプレートの名前を 参照 して選択すると、ページの一部のフィールドが証明書テンプレートから自動的に設定されます。 場合によっては、別の証明書テンプレートを選択しない限り、これらの値を変更できません。

    • 証明書テンプレートの名前を 入力 する場合は、その名前がいずれかの証明書テンプレートと完全に一致することを確認します。 NDES サーバーのレジストリに一覧表示されている名前と一致する必要があります。 証明書テンプレートの表示名ではなく、証明書テンプレートの名前を指定してください。

      証明書テンプレートの名前を見つけるには、次のレジストリ キーを参照します HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP。 EncryptionTemplate、GeneralPurposeTemplateSignatureTemplate の値として証明書テンプレートが一覧表示 されます。 既定では、3 つの証明書テンプレートの値はすべて IPSECIntermediateOffline で、 IPSec (オフライン要求) のテンプレート表示名にマップされます。

      警告

      証明書テンプレートの名前を入力すると、Configuration Manager証明書テンプレートの内容を確認できません。 証明書テンプレートでサポートされていないオプションを選択できる場合があります。これにより、証明書要求が失敗する可能性があります。 この動作が発生すると、CPR.log ファイルに、証明書署名要求 (CSR) のテンプレート名とチャレンジが一致しないというw3wp.exeのエラー メッセージが表示されます。

      GeneralPurposeTemplate 値に指定されている証明書テンプレートの名前を入力する場合は、この証明書プロファイルの キー暗号化デジタル署名 オプションを選択します。 この証明書プロファイルで キー暗号化 オプションのみを有効にする場合は、 EncryptionTemplate キーの証明書テンプレート名を指定します。 同様に、この証明書プロファイルで デジタル署名 オプションのみを有効にする場合は、 SignatureTemplate キーの証明書テンプレート名を指定します。

  • 証明書の種類: 証明書をデバイスまたはユーザーに展開するかどうかを選択します。

  • サブジェクト名の形式: 証明書要求Configuration Managerサブジェクト名を自動的に作成する方法を選択します。 証明書がユーザーの場合は、サブジェクト名にユーザーの電子メール アドレスを含めることもできます。

    注意

    [IMEI 番号] または [シリアル番号] を選択した場合は、同じユーザーが所有するさまざまなデバイスを区別できます。 たとえば、これらのデバイスは共通名を共有できますが、IMEI 番号やシリアル番号は共有できません。 デバイスが IMEI またはシリアル番号を報告しない場合、証明書は共通名で発行されます。

  • サブジェクトの別名: 証明書要求Configuration Managerサブジェクト別名 (SAN) の値を自動的に作成する方法を指定します。 たとえば、ユーザー証明書の種類を選択した場合は、サブジェクトの別名にユーザー プリンシパル名 (UPN) を含めることができます。 クライアント証明書がネットワーク ポリシー サーバーに対して認証される場合は、サブジェクトの別名を UPN に設定します。

  • 証明書の有効期間: 発行元 CA でカスタム有効期間を設定する場合は、証明書の有効期限が切れるまでの残り時間を指定します。

    ヒント

    次のコマンド ラインを使用して、カスタム有効期間を設定します。 certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE このコマンドの詳細については、「 証明書インフラストラクチャ」を参照してください。

    指定した証明書テンプレートの有効期間より小さい値を指定できますが、それ以上は指定できません。 たとえば、証明書テンプレートの証明書の有効期間が 2 年間の場合は、1 年間の値を指定できますが、5 年間の値は指定できません。 また、発行元の CA の証明書の残りの有効期限よりも小さい値を指定する必要があります。

  • キー使用法: 証明書のキー使用法オプションを指定します。 次のオプションから選択します。

    • キーの暗号化: キーが暗号化されている場合だけキーを交換できます。

    • デジタル署名: キーがデジタル署名で保護されている場合だけ、キーを交換できます。

    証明書テンプレートを参照した場合は、別の証明書テンプレートを選択しない限り、これらの設定を変更することはできません。

    上記の 2 つのキー使用法オプションのいずれかまたは両方を使用して、選択した証明書テンプレートを構成します。 そうでない場合は、証明書登録ポイント ログ ファイル Crp.log に次 のメッセージが表示されます。

  • キー サイズ (ビット): キーのサイズをビット単位で選択します。

  • 拡張キー使用法: 証明書の目的に合った値を追加します。 ほとんどの場合、ユーザーまたはデバイスがサーバーに対して認証できるように、証明書には クライアント認証 が必要です。 必要に応じて、その他のキー使用法を追加できます。

  • ハッシュ アルゴリズム: この証明書で使用できるハッシュ アルゴリズムの種類のいずれかを選択します。 接続しているデバイスをサポートするセキュリティの最も強力なレベルを選択します。

    注意

    SHA-2 では、SHA-256、SHA-384、SHA-512 がサポートされます。 SHA-3 では SHA-3 のみがサポートされます。

  • ルート CA 証明書: 以前に構成してユーザーまたはデバイスに展開したルート CA 証明書プロファイルを選択します。 この CA 証明書は、この証明書プロファイルで構成する証明書を発行する CA のルート証明書である必要があります。

    重要

    ユーザーまたはデバイスに展開されていないルート CA 証明書を指定した場合、Configuration Managerこの証明書プロファイルで構成している証明書要求は開始されません。

サポートされるプラットフォーム

証明書プロファイルの作成ウィザードの [サポートされているプラットフォーム ] ページで、証明書プロファイルをインストールする OS バージョンを選択します。 [すべて選択] を選択 して、使用可能なすべてのオペレーティング システムに証明書プロファイルをインストールします。

次のステップ

新しい証明書プロファイルは、[資産とコンプライアンス] ワークスペースの [証明書プロファイル] ノードに表示されます。 ユーザーまたはデバイスにデプロイする準備が整いました。 詳細については、「 プロファイルを展開する方法」を参照してください。