Azure AD の認証ワークフローAzure AD authentication workflow

適用対象:Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

この記事は、Azure Active Directory (Azure AD) に参加している Windows 10 デバイスへの Configuration Manager クライアントのインストールおよび登録プロセスに関するテクニカル リファレンスです。This article is a technical reference for the Configuration Manager client installation and registration process on a Windows 10 device that is joined to Azure Active Directory (Azure AD). デバイスの認証のためのワークフロー プロセスについて詳しく説明します。It details the workflow process for the device authentication.

注意

Windows 10 クライアントは、Azure AD テナントに参加するときにワークプレース参加 (WPJ) 証明書を取得します。Windows 10 clients get a workplace join (WPJ) certificate when they join an Azure AD tenant. 証明書が見つからない場合、Configuration Manager クライアントは Azure AD トークンを要求できません。If the certificate isn't found, the Configuration Manager client can't request Azure AD tokens. トークンがないと、クライアントは Configuration Manager サイト システムとの Azure AD 認証に Configuration Manager セキュリティ トークン サービス (CCM_STS) 通信チャネルを使用できません。Without a token, the client can't use the Configuration Manager security token service (CCM_STS) communication channel for Azure AD authentication with Configuration Manager site systems.

クライアントのインストールClient installation

このワークフローのサンプルでは、次の ccmsetup コマンドライン プロパティを使用して、インターネット経由で Windows 10 デバイスに Configuration Manager クライアントをインストールしました。In this workflow sample, you installed the Configuration Manager client on a Windows 10 device over the internet with the following ccmsetup command-line properties:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

Azure AD 認証を使用した CcmSetup のワークフロー図

1.ccmsetup からの Azure AD 情報要求1. Azure AD info request from ccmsetup

インターネットからインストールされたクライアントには、Azure AD 認証を使用するための特定のコマンドライン プロパティが必要です。Clients installed from internet need specific command-line properties to use Azure AD authentication. これらのプロパティは、internet ccmsetup のコマンド ラインに含めることができますが、必須ではありません。You can include these properties in the command line for internet ccmsetup, but they aren't required. Azure AD のプロパティを使用しない場合、ccmsetup によって、クラウド管理ゲートウェイ (CMG) からの AADCLIENTAPPIDAADRESOURCEURI プロパティが要求されます。When you don't use Azure AD properties, ccmsetup requests the AADCLIENTAPPID and AADRESOURCEURI properties from the cloud management gateway (CMG). デバイスの Azure AD TenantID が参照として使用されます。It uses the device's Azure AD TenantID as a reference. Configuration Manager でクライアントの TenantID をオンボードしていない場合、クライアントのインストールを続行するために必要なプロパティが CMG から ccmsetup に与えられません。If you haven't onboarded the client's TenantID in Configuration Manager, the CMG doesn't give the required properties to ccmsetup to continue client installation.

クライアントの ccmsetup.log に次のエントリが記録されます。The following entries are logged in ccmsetup.log of the client:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

重要

ccmsetup の実行中に、CMG サーバー認証証明書がデバイスによって検証される必要があります。During ccmsetup, the device has to validate the CMG server authentication certificate. チェーンの検証のために、CMG サーバー認証証明書のルート証明機関 (CA) 証明書がクライアントで使用可能である必要があります。The root certificate authority (CA) certificate for the CMG server authentication certificate needs to be available on the client for the chain validation. PKI を使用する場合、ルート CA がインターネット上で公開されていない場合は、ルート CA 証明書をデバイスのルート CA ストアに追加します。If you use PKI, when the root CA isn't published on the internet, add the root CA certificate to the device's root CAs store.

ルート CA 証明書失効リスト (CRL) がインターネット上で公開されていない場合は、ccmsetup コマンド ラインに /nocrlcheck パラメーターを追加します。If the root CA certificate revocation list (CRL) isn't published on internet, add the /nocrlcheck parameter in the ccmsetup command line.

2.Azure AD トークン要求2. Azure AD token request

Windows 10 Azure AD ドメインに参加しているデバイス上で、ccmsetup によって Azure AD プロパティが使用され、ADALOperation プロバイダーを呼び出す Azure AD トークンが要求されます。On a Windows 10 Azure AD domain-joined device, ccmsetup uses the Azure AD properties to request an Azure AD token calling the ADALOperation provider. クライアントの ccmsetup.log に次のエントリが記録されます。The following entries are logged in ccmsetup.log on the client:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

デバイス トークン要求が失敗した場合は、ccmsetup によってフォールバックが行われ、Azure AD ユーザー トークンが要求されます。If the device token request fails, ccmsetup falls back to try requesting an Azure AD user token. デバイスが Azure AD デバイスとユーザー トークンのどちらも取得できない場合、ccmsetup は続行されません。If the device can't get either an Azure AD device or user token, ccmsetup doesn't continue.

注意

デバイスに有効な PKI クライアント認証証明書がある場合、常にその証明書が ccmsetup によって優先されます。If the device has a valid PKI client authentication certificate, ccmsetup always prefers the certificate. この場合、クライアントは PKI クライアントとしてインストールされ、Azure AD 認証は使用されません。In this case, the client installs as a PKI client and doesn't use Azure AD authentication.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3.Configuration Manager クライアント トークン要求3. Configuration Manager client token request

クライアントは Azure AD トークンを使用して Configuration Manager クライアント (CCM) トークンを要求します。The client uses the Azure AD token to request the Configuration Manager client (CCM) token. ccmsetup とサイト間の操作通信では、CCM トークンが承認トークン (CcmTokenAuth=1) として使用されます。Operational communication between ccmsetup and the site uses the CCM token as authorization token (CcmTokenAuth=1).

3.1 クライアントが CCM トークン要求を CMG に送信する3.1 Client sends CCM token request to CMG

クライアントの ccmsetup.log に次のエントリが記録されます。The following entries are logged in ccmsetup.log on the client:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2 CMG により CMG 接続ポイントに転送される3.2 CMG forwards to CMG connection point

CMG VM インスタンス上の CMGService.log に次のエントリが記録されます。The following entries are logged in CMGService.log on the CMG VM instance.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

ヒント

Configuration Manager によって、CMGService.logCMG-<CMGname>-ProxyService_IN_<%>-CMGService.log として 5 分ごとにサイト サーバーのログ フォルダーに同期されます。Configuration Manager synchronizes the CMGService.log to the site server logs folder every five minutes as CMG-<CMGname>-ProxyService_IN_<%>-CMGService.log.

3.3 CMG 接続ポイントにより CMG クライアント要求が管理ポイント クライアント要求に変換される3.3 CMG connection point transforms CMG client request to management point client request

CMG 接続ポイントの役割をホストするサイト システムの SMS_CLOUD_PROXYCONNECTOR.log (詳細モード) に次のエントリが記録されます。The following entries are logged in SMS_CLOUD_PROXYCONNECTOR.log (verbose mode) of the site system that hosts the CMG connection point role:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 管理ポイントでサイト データベースのユーザー トークンを確認する3.4 Management point verifies user token in site database

クライアント要求を処理する管理ポイントをホストするサイト システムの CCM_STS.log に次のエントリが記録されます。The following entries are logged in CCM_STS.log of the site system that hosts the management point that handles the client request:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4.コンテンツの場所の要求4. Content location request

クライアントは CCM トークンを取得すると、それをキャッシュして、ccmsetup.cab のサイト情報とコンテンツの場所の要求に使用します。Once the client gets the CCM token, it caches and uses it to request site information and content location of ccmsetup.cab. デバイスでクライアント コンテンツがダウンロードされると、インストールが開始します。Once the device downloads the client content, it starts the installation. クライアントの ccmsetup.log に次のエントリが記録されます。The following entries are logged in ccmsetup.log on the client:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

注意

クライアントがコンテンツが有効な CMG またはクラウドベースの配布ポイントからのコンテンツを見つけた場合、ccmsetup によってクラウド ストレージからコンテンツがダウンロードされます。If the client finds the content from a content-enabled CMG or cloud-based distribution point, ccmsetup downloads the content from the cloud storage. 最新のクライアント バージョンがクラウドで利用できない場合は、CMG 要求によって管理ポイントからコンテンツがダウンロードされます。If the latest client version isn't available on the cloud, it downloads the content from the management point via a CMG request.

クライアントの登録Client registration

Azure AD 認証を使用した CcmSetup のワークフロー図

1.Configuration Manager クライアント要求の登録1. Configuration Manager client request registration

ccmsetup によって Configuration Manager クライアントが正常にインストールされると、登録が初期化されます。Once ccmsetup successfully installs the Configuration Manager client, registration initializes. クライアントの ClientIDManagerStartup.log に次のエントリが記録されます。The following entries are logged in ClientIDManagerStartup.log of the client:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2.クライアントを登録するために Configuration Manager が Azure AD トークンを要求する2. Configuration Manager requests Azure AD token to register client

クライアントは Azure AD 認証を使用して登録するための新しい Azure AD トークンを要求します。The client requests a new Azure AD token to register using Azure AD authentication. デバイス トークンが優先されますが、利用できない場合、クライアントはフォールバックして Azure AD ユーザー トークンを要求します。It prefers a device token, but if it's not available, the client falls back to request an Azure AD user token. クライアントの ADALOperationProvider.log に次のエントリが記録されます。The following entries are logged in ADALOperationProvider.log of the client:

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3.登録要求3. Registration request

管理ポイントの登録コンポーネントによって、クライアントの登録プロセスが処理されます。The registration component on the management point handles the client registration process. クライアントは、登録メッセージを MP_ClientRegistration エンドポイントに送信します。The client sends a registration message to the MP_ClientRegistration endpoint.

3.1 CMG によってクライアント登録要求が管理ポイントに転送される3.1 CMG forwards the client registration request to the management point

クライアント要求を処理する管理ポイントをホストするサイト システムの MP_RegistrationManager.log に次のエントリが記録されます。The following entries are logged in the MP_RegistrationManager.log of the site system that hosts the management point that handles the client request:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Configuration Manager クライアントが登録される3.2 Configuration Manager client is registered

登録が成功すると、クライアントは Azure AD ベースの登録のために、承認 3 の登録の確認メッセージを取得します。If registration succeeds, the client gets a confirmation message of registration with Approval 3 for Azure AD-based registration. クライアントの ClientIDManagerStartup.log に次のエントリが記録されます。The following entries are logged in ClientIDManagerStartup.log of the client:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4.Configuration Manager クライアント トークン要求4. Configuration Manager client token request

サーバーによってクライアント登録が確認されると、クライアントは応答メッセージを処理します。Once the server confirms the client registration, the client processes the reply message. 次に、クライアントは新しい CCM トークンを要求してキャッシュします。The client then requests and caches a new CCM token. クライアントの ClientIDManagerStartup.log に次のエントリが記録されます。The following entries are logged in ClientIDManagerStartup.log of the client:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 CMG により CCM_Token 要求が取得され CMG 接続ポイントに転送される4.1 CMG gets and forwards CCM_Token request to CMG connection point

CMG 接続ポイントの役割をホストする CMG VM とサイト システムの CMGService.log に次のエントリが記録されます。The following entries are logged in CMGService.log of the CMG VM and the site system that hosts the CMG connection point role:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

4.2 CMG 接続ポイントにより CMG クライアント要求が管理ポイント クライアント要求に変換される4.2 CMG connection point transforms CMG client request to management point client request

CMG 接続ポイントの役割をホストするサイト システムの SMS_CLOUD_PROXYCONNECTOR.log に次のエントリが記録されます。The following entries are logged in SMS_CLOUD_PROXYCONNECTOR.log of the site system that hosts the CMG connection point role:

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 管理ポイントによってサイト データベースのユーザー トークンが確認される4.3 Management point verifies user token in site database

クライアント要求を処理する管理ポイントをホストするサイト システムの CCM_STS.log に次のエントリが記録されます。The following entries are logged in CCM_STS.log of the site system that hosts the management point that handles the client request:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

サーバーによって、クライアントとサイト間の通信の残りの部分について、CCM トークンがクライアントに返されます。The server returns the CCM token to the client for the rest of client-to-site communication.

注意

クライアントの登録中は、証明書の検証が常に実行されます。During client registration, certificate validation always runs. クライアントの登録に Azure AD の認証方法を使っている場合でも、この処理が実行されます。This process happens even if you're using the Azure AD authentication method to register the client. この動作は、Azure AD 認証が成功しなかった場合のためのフォールバック オプションです。This behavior is a fallback option, in case Azure AD authentication doesn't succeed.

CCM トークンの更新CCM token renewal

CCM トークンの有効期間は 8 時間です。The CCM token has a lifetime of eight hours. クライアントは、CCM トークンの有効期限が切れているか、有効期限が近づいていることを検出すると、新しい CCM トークン要求を送信します。When the client detects the CCM token is expired or close to expiration, it sends a new CCM token request. CcmMessaging コンポーネントによって、この更新プロセスが処理されます。The CcmMessaging component handles this renewal process. クライアントの CcmMessaging.log に次のエントリが記録されます。The following entries are logged in CcmMessaging.log of the client:

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

一般的な問題Common issues

  • ルート CA が存在しない: クライアントは、CMG サーバー認証証明書を検証するためにルート CA 証明書を必要とします。Root CA not present: Clients need the root CA certificate to validate the CMG server authentication certificate.

  • CRL チェックが有効である: インターネットで CRL を公開します。CRL check is enabled: Publish the CRL on the internet. 別の方法としては、ccmsetup で /NoCRLCheck パラメーターを使用します。As an alternative, use the /NoCRLCheck parameter for ccmsetup. 次のオプションを無効にすることもできます: サイト システムの証明書失効リスト (CRL) をチェックしますYou can also disable the following option: Clients check the certificate revocation list (CRL) for site systems. この設定は、サイトのプロパティの [Communication Security](通信のセキュリティ) タブにあります。Find this setting on the Communication Security tab of the site properties.

  • WPJ 証明書が見つからない: デバイスが Azure AD に参加していることを確認します。The WPJ certificate isn't found: Make sure the device is Azure AD-joined. dsregcmd.exe を使用します。Use dsregcmd.exe. たとえば、dsergcmd /status を実行して [デバイスの状態] セクションを確認します。For example, dsergcmd /status and look at the Device State section.

ヒント

CMG、CMG 接続ポイント、および管理ポイント経由のクライアント通信は、HTTPS 経由で実行されます。Client communication via CMG, CMG connection point, and management point runs over HTTPS. 拡張 HTTP 用にサイトを構成した場合でも、HTTP 用に管理ポイントを構成することができます。If you configure the site for enhanced HTTP, you can still configure the management point for HTTP.

  • クライアントは CMG サーバー認証証明書を検証します。Client verifies the CMG server authentication certificate:

    • PKI 証明書: クライアントは、ローカル ストアに CMG 証明書のルート CA が必要です。PKI certificate: Client requires the root CA of the CMG certificate in its local store.
    • サードパーティの証明書: クライアントはインターネット上で公開されているルート CA を使用して証明書を自動的に検証します。Third-party certificate: Clients automatically validate a certificate with its root CA published on the internet.
  • CMG、CMG 接続ポイント、および管理ポイントによって、Azure AD と CCM トークンが検証されます。CMG, CMG connection point, and management point validate Azure AD and CCM tokens.

  • CMG 接続ポイントと管理ポイントの間の通信も、両端でセキュリティ保護されます。Communication between CMG connection point and management point is also secured in both ends:

    • CMG 接続ポイントの場合、クライアント認証証明書が使用されます。CMG connection point uses client auth certificate.
    • MP の場合、HTTPS 構成用に PKI 証明書、または拡張 HTTP 用に自己署名証明書が使用されます。MP uses a PKI certificate for HTTPS configuration, or a self-signed certificate for enhanced HTTP.