Configuration Manager で証明書プロファイルを作成する方法

 

適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックの情報は、System Center 2012 R2 Configuration Manager のバージョンのみに適用されます。

System Center 2012 Configuration Manager の証明書プロファイルは、Active Directory 証明書サービスとネットワーク デバイス登録サービスの役割に組み込まれます。この証明書プロファイルを使って、管理対象のデバイスに認証証明書をプロビジョニングし、ユーザーが証明書を使用して会社のリソースにアクセスできるようにします。 ここでは、Configuration Manager の証明書プロファイルを作成する手順について説明します。

System_CAPS_important重要

証明書プロファイルを作成する前に、プロファイルを構成しておく必要があります。 詳細については、「Configuration Manager の証明書プロファイルの構成」をご覧ください。

証明書プロファイルを作成する手順

次の必須手順に従い、証明書プロファイルの作成ウィザードを使用して証明書プロファイルを作成します。

手順

説明

説明

手順 1: 証明書プロファイルの作成ウィザードを開始する

[コンプライアンス設定] ノードの [資産とコンプライアンス] ワークスペースでウィザードを開始します。

このトピックの「手順 1: 証明書プロファイルの作成ウィザードを開始する」セクションを参照してください。

手順 2:証明書プロファイルの全般的な情報を指定する

証明書プロファイルの名前や説明、作成する証明書プロファイルの種類など、全般的な情報を指定します。

このトピックの「手順 2:証明書プロファイルの全般的な情報を指定する」セクションを参照してください。

手順 3:証明書プロファイルに関する情報を指定する

証明書プロファイルに関する構成情報を指定します。

このトピックの「手順 3:証明書プロファイルに関する情報を指定する」セクションを参照してください。

手順 4:証明書プロファイルの対応プラットフォームを構成する

証明書プロファイルをインストールするオペレーティング システムを指定します。

このトピックの「手順 4:証明書プロファイルの対応プラットフォームの構成」セクションを参照してください。

手順 5:ウィザードを完了する

新しい証明書プロファイルを作成するウィザードを完了します。

このトピックの「手順 5:ウィザードを完了します。」セクションを参照してください。

System_CAPS_caution注意

既に Simple Certificate Enrollment Protocol (SCEP) 証明書プロファイルを使用して証明書を展開している場合は、構成オプションを変更すると、新しい値を持つ新しい証明書が必要になります。 この変更が原因で証明書更新要求数が増えると、ネットワーク デバイス登録サービスを実行しているサーバーの CPU 使用率が上がる可能性があります。

イントラネットにあるクライアント (Windows 8.1 など) が新しい値を持つ新しい証明書を要求すると、元の証明書が削除されます。 しかし、Microsoft Intune コネクタで管理されているクライアントが証明書を要求した場合は、元の証明書はデバイスから削除されず、インストールされたままになります。

下のセクションには、このような証明書の更新要求発生に関する注記が付いています。

新しい証明書プロファイルを作成するための補足手順

前の表の手順で補足手順が必要な場合は、次の情報を参考にしてください。

手順 1: 証明書プロファイルの作成ウィザードを開始する

次の手順に従って、証明書プロファイルの作成ウィザードを開始します。

証明書プロファイルの作成ウィザードを開始するには

  1. Configuration Manager コンソールで、[資産とコンプライアンス] をクリックします。

  2. [資産とコンプライアンス] ワークスペースで、[コンプライアンス設定]、[会社のリソースへのアクセス] の順に展開してから、[証明書プロファイル] をクリックします。

  3. [ホーム] タブの [作成] グループで、[証明書プロファイルの作成] をクリックします。

手順 2:証明書プロファイルの全般的な情報を指定する

次の手順に従って、証明書プロファイルに関する全般情報を指定します。

証明書プロファイルに関する全般情報を指定するには

  1. 証明書プロファイルの作成ウィザードの [全般] ページで、次の情報を指定します。

    - \[名前\]:証明書プロファイルの一意の名前を入力します。 最大 256 文字を使用できます。
    
    - **説明**:Configuration Manager コンソールで証明書プロファイルが区別しやすくなるように、概要の説明と他の関連情報を入力します。 最大 256 文字を使用できます。
    
    - **作成する証明書プロファイルの種類を指定します**:次の証明書プロファイルの種類のいずれかを選択します。
    
        - **信頼された証明機関証明書**:ユーザーまたはデバイスが他のデバイスを認証する必要があり、信頼されたルート証明機関 (CA) 証明書または中間 CA 証明書を展開して信頼証明書チェーンを形成する場合に、この証明書プロファイルの種類を選択します。 たとえば、リモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーや仮想プライベート ネットワーク (VPN) サーバーなどのデバイスで認証する場合が当てはまります。 また、SCEP 証明書プロファイルを作成する前に、信頼された証明機関証明書を構成する必要があります。 この場合は、信頼された CA 証明書は、ユーザーまたはデバイスに証明書を発行する証明機関の信頼されたルート証明書でなければなりません。
    
        - **Simple Certificate Enrollment Protocol (SCEP) 設定**:Simple Certificate Enrollment Protocol とネットワーク デバイス登録サービスの役割サービスを使用して、ユーザーまたはデバイスの証明書を要求する場合は、この証明書プロファイルの種類を選択します。
    

手順 3:証明書プロファイルに関する情報を指定する

次のいずれかの手順で、信頼された CA 証明書および SCEP 証明書の証明書プロファイル情報を証明書プロファイルで構成します。

System_CAPS_important重要

SCEP 証明書プロファイルを作成する前に、少なくとも 1 つの信頼された証明機関証明書を構成する必要があります。

信頼された証明機関証明書を構成するには

  1. 証明書プロファイルの作成ウィザードの [信頼された証明機関証明書] ページで、次の情報を指定します。

    - **証明書ファイル**:\[**インポート**\] をクリックしてから、使用したい証明書ファイルを見つけます。
    
    - **保存先ストア**:デバイスに証明書ストアが複数ある場合は、証明書の保存先を選択します。 ストアが 1 つのみのデバイスの場合、この設定は無視されます。
    
  2. [証明書の拇印] 値を使用して、正しい証明書がインポートされたことを確認します。

次に、「手順 4:証明書プロファイルの対応プラットフォームの構成」に進みます。

SCEP 証明書情報を構成するには

  1. 証明書プロファイルの作成ウィザードの [SCEP 登録] ページで、次の情報を指定します。

    - **再試行回数**:ネットワーク デバイス登録サービスを実行しているサーバーに、デバイスが証明書の要求を自動的に再試行する回数を指定します。 この設定は、CA マネージャーが証明書の要求を事前に承認する必要がある場合に便利です。 この設定は、通常、厳重なセキュリティを施行している環境や、エンタープライズ CA ではなくスタンドアロン CA がある環境で使用します。 また、発行元 CA が証明書要求を処理する前に証明書要求オプションを確認するテスト目的で、この設定を使用することもあります。 この設定は、\[**再試行の待ち時間 (分)**\] 設定と共に使用してください。
    
    - **再試行の待ち時間 (分)**:発行元 CA が証明書要求を処理する前に CA マネージャーの承認を使用するときの登録の再試行間隔 (分) を指定します。 テスト目的で CA マネージャーの承認を受けるようにする場合は、小さな値を指定して、証明書要求が承認されてからデバイスが証明書要求を再試行するまでの時間を短くします。 ただし、実稼働ネットワークでマネージャーの承認を使用する場合、CA マネージャーが保留中の承認を確認し、承認するか拒否するかを判断する処理に十分な時間をかけるようにするには、高い値を指定します。
    
    - **更新しきい値 (%)**:証明書の有効期間の残りがどの程度 (%) になったら、デバイスが更新を要求するかを指定します。
    
    - **キー格納プロバイダー (KSP)**:証明書のキーを格納する場所を指定します。 次のいずれかの値を選択します。
    
        - **トラステッド プラットフォーム モジュール (TPM) にインストールする (存在する場合)**: TPM にキーをインストールします。 TPM が存在しない場合、キーはソフトウェア キーの格納プロバイダーにインストールされます。
    
        - **トラステッド プラットフォーム モジュール (TPM) にインストールする (それ以外は失敗)**: TPM にキーをインストールします。 TPM モジュールが存在しない場合、インストールは失敗します。
    
        - **ソフトウェア キー格納プロバイダーにインストールする**:ソフトウェア キー格納プロバイダーにキーをインストールします。
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    
    - **証明書登録用のデバイス**:証明書プロファイルをユーザー コレクションに展開する場合は、証明書の登録をユーザーのプライマリ デバイスだけで可能にするか、ユーザーがログオンするすべてのデバイスで可能にするかを選択します。 証明書プロファイルをデバイス コレクションに展開する場合は、証明書登録をデバイスのプライマリ ユーザーだけに許可するか、デバイスにログオンしているすべてのユーザーに許可するかを指定します。
    
  2. 証明書プロファイルの作成ウィザードの [証明書のプロパティ] ページで、次の情報を指定します。

    - **証明書テンプレート名**:\[**参照**\] をクリックして、ネットワーク デバイス登録サービスが使用するように構成され、発行元 CA に追加されている証明書テンプレートの名前を選択します。 証明書テンプレートを参照するには、Configuration Manager コンソールを実行するために使用するユーザー アカウントが、証明書テンプレートに対する読み取りアクセス許可を持っている必要があります。 \[**参照**\] を使用できない場合は、証明書テンプレートの名前を入力します。
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh221353.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />重要</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>証明書テンプレート名に、ASCII 以外の文字 (漢字など) が含まれていると、証明書が展開されません。 証明書が正しく展開されるように、CA の証明書テンプレートのコピーを作成して、ASCII 文字だけの名前に変更してください。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
      次に、\[参照\] を使って証明書テンプレートを選択する場合と、証明書テンプレートの名前を入力する場合の注意事項を示します。
    
        - \[参照\] を使って証明書テンプレートの名前を選択した場合は、ページ内のフィールドが、そのテンプレートにある値で自動的に埋められます。 場合によっては、別の証明書テンプレートを選択しないと、これらの値を変更できないことがあります。
    
        - 証明書テンプレートの名前を入力する場合は、ネットワーク デバイス登録サービスを実行しているサーバーのレジストリに登録されている証明書テンプレートの名前と正確に同じ名前でなければなりません。 必ず、証明書テンプレートの表示名ではなく、証明書テンプレート自体の名前を入力してください。
    
          証明書テンプレートの名前を調べるには、HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MSCEP というレジストリ キーを開きます。 証明書テンプレートは、\[EncryptionTemplate\]、\[GeneralPurposeTemplate\]、および \[SignatureTemplate\] の値として登録されています。 既定では、3 つの証明書テンプレートのすべての値は \[IPSECIntermediateOffline\] です。これは、\[IPsec (オフライン要求)\] のテンプレートの表示名にマップされます。
    
          <div class="alert">
    
          <table>
          <colgroup>
          <col style="width: 100%" />
          </colgroup>
          <thead>
          <tr class="header">
          <th><img src="images/JJ906422.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-warning(SC.12).jpeg" title="System_CAPS_warning" alt="System_CAPS_warning" />警告</th>
          </tr>
          </thead>
          <tbody>
          <tr class="odd">
          <td><p>証明書テンプレート名を選択するのではなく入力した場合は、Configuration Manager によって証明書テンプレートの内容が検証されないので、証明書テンプレートでサポートされていないオプションを選択してしまう可能性があります。この場合は、証明書要求に失敗します。 この問題が発生すると、証明書署名要求 (CSR) のテンプレート名とチャレンジが一致しないという w3wp.exe のエラーメッセージが、CPR.log ファイルに記録されます。</p>
          <p>[<strong>GeneralPurposeTemplate</strong>] 値に指定した証明書テンプレートの名前を入力すると、証明書プロファイルの [<strong>キーの暗号化</strong>] オプションと [<strong>キーの暗号化とデジタル署名</strong>] オプションを選択する必要があります。 ただし、この証明書プロファイルで [<strong>キーの暗号化</strong>] オプションのみを有効にする場合は、[<strong>EncryptionTemplate</strong>] キーの証明書テンプレート名を指定します。 同様に、この証明書プロファイルで [<strong>デジタル署名</strong>] オプションのみを有効にする場合は、[<strong>SignatureTemplate</strong>] キーの証明書テンプレート名を指定します。</p></td>
          </tr>
          </tbody>
          </table>
    
          </div>
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    
    - **証明書の種類**:証明書をデバイスとユーザーのどちらに展開するかを選択します。
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    
    - **サブジェクト名の形式**:リストから、Configuration Manager が証明書の要求のサブジェクト名を自動的に作成する方法を選択します。 証明書がユーザー用の場合、サブジェクト名にユーザーのメール アドレスを追加することもできます。
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    
    - **サブジェクトの別名**:Configuration Manager が証明書要求のサブジェクトの別名 (SAN) を自動生成する方法を指定します。 たとえば、ユーザー証明書の種類を選択した場合は、サブジェクトの別名にユーザー プリンシパル名 (UPN) を含めることができます。
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh427340.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />ヒント</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>クライアント証明書を Windows ポリシー サーバーでの認証に使用する場合は、サブジェクトの別名を UPN に設定する必要があります。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh221353.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />重要</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>iOS デバイスでサポートされている SCEP 証明書のサブジェクト名の形式とサブジェクトの別名は限られています。 サポートされていない形式を指定すると、証明書は iOS デバイスに登録されません。 iOS デバイスに展開する SCEP 証明書プロファイルを構成する場合は、[<strong>サブジェクト名の形式</strong>] を [<strong>共通名</strong>] に、[<strong>サブジェクトの別名</strong>] を [<strong>DNS 名</strong>]、[<strong>電子メール アドレス</strong>]、または [<strong>UPN</strong>] に設定してください。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
    - **証明書の有効期間**:発行元 CA で certutil - setreg Policy\\EditFlags +EDITF\_ATTRIBUTEENDDATE コマンドを実行してカスタム有効期間を使用できるようにした場合は、証明書が失効するまでの残り時間を指定できます。 このコマンドの詳細については、「[手順 1: ネットワーク デバイス登録サービスおよび依存する要素をインストールおよび構成する](dn270539\(v=technet.10\).md)」トピックの「[Configuration Manager の証明書プロファイルの構成](dn270539\(v=technet.10\).md)」を参照してください。
    
      指定した証明書テンプレートの有効期限よりも小さい値を指定できますが、大きい値は指定できません。 たとえば、証明書テンプレートで証明書の有効期限が 2 年になっている場合は、この値を 1 年することはできますが、5 年にすることはできません。 また、発行元の CA の証明書の残りの有効期限よりも小さい値を指定する必要があります。
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    
    - **キー使用法**:証明書のキー使用法のオプションを指定します。 次のオプションから選択できます。
    
        - **キーの暗号化**:キーが暗号化されている場合にのみ、キーを交換できます。
    
        - **デジタル署名**:キーがデジタル署名で保護されている場合にのみ、キーを交換できます。
    
          \[**参照**\] を使って証明書テンプレートを選択した場合は、別の証明書テンプレートを選択しないと、これらの設定を変更できないことがあります。
    
      選択した証明書テンプレートには、上記のキー使用法オプションの 1 つまたは両方が構成されている必要があります。 構成されていないと、**CSR のキー使用法とチャレンジが一致しない**というメッセージが証明書の登録ポイントのログ ファイル (**Crp.log**) に記録されます。
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    
    - **キー サイズ (ビット)**:ビット単位のキーのサイズを選択します。
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    
    - **拡張キー使用法**:\[**選択**\] をクリックして、証明書の使用目的に対応する値を追加します。 ほとんどの場合、ユーザーまたはデバイスがサーバーに対して認証できるように、証明書には \[**クライアント認証**\] が必要です。 ただし、必要に応じてその他のキー使用法を追加できます。
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    
    - **ハッシュ アルゴリズム**:この証明書で使用するハッシュ アルゴリズムの種類を 1 つ選択します。 接続しているデバイスをサポートするセキュリティの最も強力なレベルを選択します。
    
      <div class="alert">
    
    
      > [!メモ]
      > <P><STRONG>SHA-1</STRONG> では、SHA-1 のみをサポートします。<STRONG>SHA-2</STRONG> では、SHA-256、SHA-384、および SHA-512 をサポートします。<STRONG>SHA-3</STRONG> では、SHA-3 のみをサポートします。</P>
    
    
      </div>
    
    - **ルート CA 証明書**:\[**選択**\] をクリックして、既に構成してユーザーまたはデバイスに展開しているルート CA 証明書プロファイルを選択します。 この CA 証明書は、この証明書プロファイルで構成している証明書を発行する CA のルート証明書である必要があります。
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh221353.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />重要</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>ユーザーまたはデバイスに展開されていないルート CA 証明書を指定すると、Configuration Manager が、この証明書プロファイルで構成している証明書要求を開始しません。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
      <div class="alert">
    
    
      > [!メモ]
      > <P>証明書が展開された後でこの値を変更した場合、古い証明書は削除され、新しい証明書が要求されます。</P>
    
    
      </div>
    

手順 4:証明書プロファイルの対応プラットフォームの構成

次の手順に従って、証明書プロファイルをインストールするオペレーティング システムを指定します。

証明書プロファイルの対応プラットフォームを指定するには

  • 証明書プロファイルの作成ウィザードの [サポートされているプラットフォーム] ページで、証明書プロファイルをインストールするオペレーティング システムを選択します。 すべての使用可能なオペレーティング システムに証明書プロファイルをインストールするには、[すべて選択] を選択します。

手順 5:ウィザードを完了します。

このウィザードの [概要] ページで実行される操作を確認し、ウィザードを完了します。 新しい証明書プロファイルが [資産とコンプライアンス] ワークスペースの [証明書プロファイル] ノードに表示され、ユーザーまたはデバイスに展開できるようになっています。 詳細については、「How to Deploy Certificate Profiles in Configuration Manager (Configuration Manager での証明書プロファイルの展開方法)」をご覧ください。