次の方法で共有

Windows Server および System Center Operations Manager で使用する証明書を取得する

  • [アーティクル]

この記事では、Windows プラットフォーム上の Stand-Alone または Enterprise Active Directory Certificate Services (AD CS) 証明機関 (CA) サーバーを使用して、証明書を取得し、Operations Manager 管理サーバー、ゲートウェイ、またはエージェントで使用する方法について説明します。

  • 証明書を要求して受け入れるには、 certreq コマンド ライン ユーティリティを使用します。 証明書を送信して取得するには、Web インターフェイスを使用します。

前提条件

次の情報が用意されていることを確認します。

  • AD-CS は、Web サービス または サード パーティの証明機関を使用して環境にインストールおよび構成され、表示される必要な設定に一致する証明書を使用します。
  • HTTPS バインディングとそれに関連付けられている証明書がインストールされています。 HTTPS バインドの作成の詳細については、「 Windows Server CA の HTTPS バインディングを構成する方法」を参照してください。
  • コア サーバーではなく、一般的なデスクトップ エクスペリエンス。

重要

Operations Manager 証明書では、暗号化 API キー ストレージ プロバイダー (KSP) はサポートされていません。

注意

organizationが AD CS を使用していない場合、または外部証明機関を使用している場合は、そのアプリケーションに提供されている手順に従って証明書を作成し、Operations Manager の次の要件を満たしていることを確認してから、提供されているインポートとインストールの手順に従います。

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

重要

このトピックでは、AD-CS の既定の設定を次に示します。

  • 標準キーの長さ: 2048
  • Cryptography API: Cryptographic Service Provider (CSP)
  • セキュリティで保護されたハッシュ アルゴリズム: 256 (SHA256) 会社のセキュリティ ポリシーの要件に照らしてこれらの選択を評価します。

証明書を取得するプロセスの概要:

  1. CA からルート証明書をダウンロードします。

  2. ルート証明書をクライアント サーバーにインポートします。

  3. 証明書テンプレートを作成する。

  4. テンプレートを [証明書テンプレート] フォルダーに追加します。

  5. コマンド ライン ユーティリティで使用するセットアップ情報ファイルを <certreq> 作成します。

  6. 要求ファイルを作成する (または Web ポータルを使用する)。

  7. CA に要求を送信します。

  8. 証明書を証明書ストアにインポートします。

  9. を使用して Operations Manager に証明書を <MOMCertImport>インポートします。

CA からルート証明書をダウンロードしてインポートする

Enterprise または Stand-Alone CA から作成された証明書を信頼して検証するには、ターゲット コンピューターの信頼されたルート ストアにルート証明書のコピーが必要です。 ほとんどのドメインに参加しているコンピューターは、Enterprise CA を信頼する必要があります。 ただし、ルート証明書がインストールされていない Stand-Alone CA からの証明書を信頼するマシンはありません。

サードパーティの CA を使用している場合、ダウンロード プロセスは異なります。 ただし、インポート プロセスは変わりません。

CA から信頼されたルート証明書をダウンロードする

信頼されたルート証明書をダウンロードするには、次の手順に従います。

  1. 証明書をインストールするコンピューターにサインインします。 たとえば、 ゲートウェイ サーバーや管理サーバーなどです。

  2. Web ブラウザーを開き、証明書サーバーの Web アドレスに接続します。 たとえば、「 https://<servername>/certsrv 」のように入力します。

  3. [ ようこそ ] ページで、[ CA 証明書証明書チェーン、または CRL のダウンロード] を選択 します

    a. Web アクセスの確認メッセージが表示されたら、サーバーと URL を確認し、[はい] を選択します。

    b. [CA 証明書] で複数のオプションを確認し、選択内容を確認します。

  4. エンコード方法を Base 64 に変更し、[ CA 証明書チェーンのダウンロード] を選択します。

  5. 証明書を保存し、フレンドリ名を指定します。

クライアント上の CA から信頼されたルート証明書をインポートする

注意

信頼されたルート証明書をインポートするには、ターゲット コンピューターに対する管理特権が必要です。

信頼されたルート証明書をインポートするには、次の手順に従います。

  1. 前の手順で生成したファイルをクライアントにコピーします。
  2. 証明書マネージャーを開きます。
    1. コマンド ライン、PowerShell、または実行から、「 certlm.msc 」と入力し、 Enter キーを押します。
    2. [実行の開始] > を選択し、「 mmc」と 入力して Microsoft 管理コンソール (mmc.exe) を見つけます。
      1. [ファイル]> [スナップインの追加と削除] の順に移動します。...
      2. [スナップインの追加と削除] ダイアログで、[ 証明書] を選択し、[ 追加] を選択します。
      3. [証明書スナップイン] ダイアログで、
        1. [ コンピューター アカウント] を 選択し、[ 次へ] を選択します。 [コンピューター] ダイアログが開きます。
        2. [ ローカル コンピューター] を 選択し、[完了] を選択 します
      4. [OK] を選択します。
      5. [コンソール ルート] で、[証明書 (ローカル コンピューター)] を展開します
  3. [ 信頼されたルート証明機関] を展開し、[証明書] を選択します。
  4. [ すべてのタスク] を選択します
  5. 証明書のインポート ウィザードで、最初のページを既定のままにして、[ 次へ] を選択します。
    1. CA 証明書ファイルをダウンロードした場所を参照し、CA からコピーした信頼されたルート証明書ファイルを選択します。
    2. [次へ] を選択します。
    3. [証明書ストア] の場所で、[信頼されたルート証明機関] を既定のままにします。
    4. [次へ][完了] の順に選択します。
  6. 成功した場合、CA の信頼されたルート証明書は、 信頼されたルート証明機関の>証明書の下に表示されます。

証明書テンプレートの作成: エンタープライズ CA

エンタープライズ CA:

  • Active Directory Domain Services (AD-DS) と統合されます。
  • 証明書と証明書失効リスト (CRL) を AD-DS に発行します。
  • AD-DS に格納されているユーザー アカウントとセキュリティ グループ情報を使用して、証明書要求を承認または拒否します。
  • 証明書テンプレートを使用します。

証明書を発行するために、エンタープライズ CA は証明書テンプレートの情報を使用して、その証明書の種類に適した属性を持つ証明書を生成します。

スタンドアロン CA:

  • AD-DS は必要ありません。
  • 証明書テンプレートは使用しないでください。

スタンドアロン CA を使用する場合は、要求された証明書の種類に関するすべての情報を証明書要求に含めます。

詳細については、「 証明書テンプレート」を参照してください。

System Center Operations Manager の証明書テンプレートを作成する

  1. ご利用の環境 (CA) で AD CS を使用してドメインに参加しているサーバーにサインインします。

  2. Windows デスクトップで、[Windows 管理ツール>証明機関の開始>] を選択します

  3. 右側のナビゲーション ウィンドウで、CA を展開し、[ 証明書テンプレート] を右クリックして、[ 管理] を選択します。

  4. [IPSec (オフライン要求)] を右クリックし、[テンプレートの複製] を選択します。

  5. [ 新しいテンプレートのプロパティ ] ダイアログが開きます。次のように選択します。

    タブ 説明
    互換性 1. 証明機関: Windows Server 2008 (または環境内で最も低い AD 機能レベル)。
    2. 証明書の受信者: Windows Server 2012 (または環境内の最小バージョンの OS)。
    全般 1. テンプレートの表示名: Operations Manager などのフレンドリ名を入力します。
    2. テンプレート名: 表示名と同じ名前を入力します。
    3. 有効期間: organizationの要件に合わせて有効期間を入力します。
    4. [ Active Directory で証明書を発行する] と [ Active Directory に重複する証明書が存在する場合は自動的に再登録しない ] チェック ボックスをオンにします。
    要求の処理 1. 目的: ドロップダウンから [署名と暗号化 ] を選択します。
    2. [ 秘密キーのエクスポートを許可する ] チェック ボックスをオンにします。
    暗号化 1. プロバイダー カテゴリ: [レガシ暗号化サービス プロバイダー 2] を選択します
    アルゴリズム名: ドロップダウンから [CSP によって決定] を選択します。
    3. 最小キー サイズ: 組織のセキュリティ要件に従って 2048 または 4096。
    4. プロバイダー: ドロップダウンから [Microsoft RSA チャネル暗号化プロバイダー ] と [Microsoft Enhanced Cryptographic Provider v1.0 ] を選択します。
    Extensions 1. [このテンプレートに含まれる拡張機能] で、[ アプリケーション ポリシー] を選択し、[ 編集
    2] を選択します。 [アプリケーション ポリシー拡張機能の編集 ] ダイアログが開きます。
    3. [ アプリケーション ポリシー: ] で、[ IP セキュリティ IKE 中間 ] を選択し、[ 削除
    4] を選択します。 [追加] を選択し、[アプリケーション ポリシー] の下にある [クライアント認証] と [サーバー認証] を選択します。
    5. [ OK] を選択します
    6. [ キー使用法][編集] を選択します
    7. [ デジタル署名][キー暗号化 (キー暗号化) でのみキー交換を許可する] が選択されていることを確認します。
    8. [ この拡張機能を重要にする ] チェック ボックスをオンにし、[ OK] を選択します
    セキュリティ 1. Authenticated Users グループ (または Computer オブジェクト) に読み取りと登録のアクセス許可があることを確認し、[適用] を選択してテンプレートを作成します。

テンプレートを証明書テンプレート フォルダーに追加する

  1. ご利用の環境 (CA) で AD CS を使用してドメインに参加しているサーバーにサインインします。
  2. Windows デスクトップで、[Windows 管理ツール>証明機関の開始>] を選択します
  3. 右側のナビゲーション ウィンドウで、CA を展開し、[ 証明書テンプレート] を右クリックし、[ 発行する新しい>証明書テンプレート] を選択します。
  4. 上記の手順で作成した新しいテンプレートを選択し、[ OK] を選択します

要求ファイルを使用して証明書を要求する

セットアップ情報 (.inf) ファイルを作成する

  1. 証明書を要求している Operations Manager 機能をホストしているコンピューターで、テキスト エディターで新しいテキスト ファイルを開きます。

  2. 次の内容を含むテキスト ファイルを作成します。

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. ファイル拡張子が .inf のファイルを保存します。 たとえば、「 CertRequestConfig.inf 」のように入力します。

  4. テキスト エディターを閉じます。

証明書要求ファイルを作成する

このプロセスは、Base64 の構成ファイルで指定された情報をエンコードし、新しいファイルに出力します。

  1. 証明書を要求している Operations Manager 機能をホストしているコンピューターで、管理者コマンド プロンプトを開きます。

  2. .inf ファイルがあるのと同じディレクトリに移動します。

  3. 次のコマンドを実行して .inf ファイル名を変更し、前に作成したファイル名と一致するようにします。 .req ファイル名はそのままにしておきます。

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. 新しく作成したファイルを開き、内容をコピーします。

要求ファイルを使用して AD CS Web ポータルで新しい証明書要求を送信する

  1. 証明書を要求している Operations Manager 機能をホストしているコンピューターで、Web ブラウザーを開き、証明書サーバーの Web アドレスをホストしているコンピューターに接続します。 たとえば、「 https://<servername>/certsrv 」のように入力します。

  2. [ Microsoft Active Directory 証明書サービスのようこそ ] ページで、[ 証明書の要求] を選択します。

  3. [ 証明書の要求 ] ページで、 高度な証明書要求を選択します。

  4. [ 高度な証明書要求 ] ページで、[ Base-64 でエンコードされた CMC または PKCS #10 ファイルを使用して証明書要求を送信 する] を選択するか、 base-64 でエンコードされた PKCS #7 ファイルを使用して更新要求を送信します。

  5. [ 証明書要求または更新要求の送信 ] ページの [ 保存された要求 ] テキスト ボックスに、前の手順の手順 4 でコピーした CertRequest.req ファイルの内容を貼り付けます。

  6. [ 証明書テンプレート] で、作成した証明書テンプレートを選択します。 たとえば、 OperationsManagerCert と入力し、[送信] を選択 します

  7. 成功した場合は、[証明書の発行] ページで、[Base 64 encoded Download certificate]\(Base 64 でエンコードされた証明書のダウンロード\>) を選択します

  8. 証明書を保存し、フレンドリ名を指定します。 たとえば、 SCOM-MS01.cerとして保存します。

  9. Web ブラウザーを閉じます。

AD-CS Web ポータルを使用して証明書を要求する

要求ファイルとは別に、証明書サービス Web ポータルを使用して証明書要求を作成できます。 この手順は、証明書のインストールを容易にするためにターゲット コンピューターで完了します。 AD-CS Web ポータルを使用した証明書要求ができない場合は、次に示すように証明書をエクスポートしてください。

  1. 証明書を要求している Operations Manager 機能をホストしているコンピューターで、Web ブラウザーを開き、証明書サーバーの Web アドレスをホストしているコンピューターに接続します。 たとえば、「 https://<servername>/certsrv 」のように入力します。
  2. [Microsoft Active Directory Certificate Services Welcome]\(Microsoft Active Directory 証明書サービスのようこそ\) ページで、[Request a certificate]\(証明書の要求\) を選択します。
  3. [ 証明書の要求 ] ページで、[ 高度な証明書要求] を選択します。
  4. [ 作成] を選択し、この CA に要求を送信します
  5. 高度な証明書要求が開きます。 次の操作を行います。
    1. 証明書テンプレート: 前に作成したテンプレート、または Operations Manager 用に指定されたテンプレートを使用します。
    2. オフライン テンプレートの情報の識別:
      1. 名前: サーバーの FQDN、または DNS に表示される
      2. organizationに応じてその他の情報を提供する
    3. キー オプション:
      1. [キーをエクスポート可能としてマークする] チェック ボックスをオンにします
    4. 追加オプション:
      1. フレンドリ名: サーバーの FQDN、または DNS に表示される FQDN
  6. [Submit](送信) をクリックします。
  7. タスクが正常に完了すると、[ 証明書の発行 ] ページが開き、[ この証明書のインストール] へのリンクが表示されます。
  8. [ この証明書のインストール] を選択します
  9. サーバーでは、 個人用証明書ストアに証明書 が格納されます。
  10. MMC または CertMgr コンソールを読み込み、[個人用>証明書] に移動して、新しく作成された証明書を見つけます。
  11. このタスクがターゲット サーバーで完了していない場合は、証明書をエクスポートします。
    1. 新しい証明書 > [すべてのタスクのエクスポート] > を右クリックします。
    2. 証明書のエクスポート ウィザード[次へ] を選択します。
    3. [ はい、秘密キーをエクスポートします] を選択し、[ 次へ] を選択します。
    4. [ Personal Information Exchange – PKCS #12]\(個人情報交換 – PKCS#12\) を選択します (.PFX)
    5. [可能な場合は証明書パスにすべての証明書を含める] チェック ボックスと [すべての拡張プロパティをエクスポートする] チェック ボックスをオンにし、[次へ] を選択します。
    6. 保存時の証明書ファイルを暗号化するパスワードを指定し、[ 次へ] を選択します。
    7. エクスポートしたファイルを保存し、フレンドリ名を指定します。
    8. [ 次へ] を選択し、[ 完了] を選択します
    9. エクスポートされた証明書ファイルを見つけて、そのファイルのアイコンを調べます。
      1. アイコンにキーが含まれている場合は、秘密キーがアタッチされている必要があります。
      2. アイコンにキーが含まれていない場合は、後で使用するために必要に応じて、秘密キーを使用して証明書を再エクスポートします。
    10. エクスポートしたファイルをターゲット コンピューターにコピーします。
  12. Web ブラウザーを閉じます。

証明書マネージャーを使用して証明書を要求する

定義された証明書テンプレートを持つエンタープライズ CA の場合、証明書マネージャーを使用して、ドメインに参加しているクライアント コンピューターから新しい証明書を要求できる場合があります。 テンプレートを使用するため、このメソッドは Stand-Alone CA には適用されません。

  1. 管理者権限 (管理サーバー、ゲートウェイ、エージェントなど) を使用してターゲット コンピューターにサインインします。
  2. 管理者コマンド プロンプトまたは PowerShell ウィンドウを使用して、証明書マネージャーを開きます。
    1. certlm.msc – ローカル コンピューター証明書ストアを開きます。
    2. mmc.msc – Microsoft 管理コンソールを開きます。
      1. 証明書マネージャー スナップインを読み込みます。
      2. [ ファイル>の追加と削除] スナップインに移動します。
      3. [証明書] を選択します。
      4. [追加] を選択します。
      5. メッセージが表示されたら、[コンピューター アカウント] を選択し、[次へ] を選択します
      6. [ ローカル コンピューター ] を選択し、[完了] を選択 します
      7. [ OK] を選択 してウィザードを閉じます。
  3. 証明書要求を開始します。
    1. [証明書] の [個人用] フォルダーを展開します。
    2. [証明書>] [すべてのタスク]> [新しい証明書の要求] を右クリックします。
  4. 証明書の登録ウィザード

    1. [開始する前に] ページで、 [次へ] を選択します。

    2. 該当する証明書登録ポリシー (既定では Active Directory 登録ポリシー) を選択し、[次へ] を選択します

    3. 目的の登録ポリシー テンプレートを選択して証明書を作成します

      1. テンプレートがすぐに使用できない場合は、一覧の下 にある [すべてのテンプレートを表示 ] ボックスを選択します
      2. 必要なテンプレートの横に赤い X が付いている場合は、Active Directory または証明書チームに問い合わせてください

    4. ほとんどの環境では、証明書テンプレートの下にハイパーリンクを含む警告メッセージが表示され、リンクを選択して、証明書の情報を入力し続けることができます。

    5. 証明書のプロパティ ウィザード:

      タブ 説明
      サブジェクト 1. [サブジェクト名] で、[ 共通名] または [ 完全な DN] を選択し、ターゲット サーバーのホスト名または BIOS 名の値を指定して、[ 追加] を選択します。
      全般 1. 生成された証明書にフレンドリ名を指定します。
      2. 必要に応じて、このチケットの目的の説明を入力します。
      Extensions 1. [キーの使用法] で、[ デジタル署名キーの暗号化 ] オプションを選択し、[ これらのキー使用法を重要にする ] チェック ボックスをオンにします。
      2. [拡張キー使用法] で、必ず [サーバー認証 ] オプションと [ クライアント認証 ] オプションを選択します。
      秘密キー 1. [キー オプション] で、キー サイズが 1024 または 2048 以上であることを確認し、[ 秘密キーをエクスポート可能にする ] チェック ボックスをオンにします。
      2. [キーの種類] で、 必ず [Exchange ] オプションを選択します。
      [証明機関] タブ [CA] チェック ボックスをオンにします。
      署名 organizationに登録機関が必要な場合は、この要求の署名証明書を指定します。

    6. 証明書のプロパティ ウィザードで情報が提供されると、以前の警告ハイパーリンクは表示されなくなります。

    7. [ 登録] を選択して証明書を作成します。 エラーが発生した場合は、AD または証明書チームに問い合わせてください。

    8. 成功した場合、状態は [成功] と読み取られ、新しい証明書が個人用/証明書ストアに配置されます。

  5. これらのアクションが証明書の目的の受信者に対して実行された場合は、次の手順に進みます。
  6. それ以外の場合は、マシンから新しい証明書をエクスポートし、次の証明書にコピーします。
    1. [証明書マネージャー] ウィンドウを開き、[ 個人用>証明書] に移動します。
    2. エクスポートする証明書を選択します。
    3. [すべてのタスク>のエクスポート] を右クリックします
    4. 証明書のエクスポート ウィザードで。
      1. [ようこそ] ページで [次へ] を選択します。
      2. [ はい、秘密キーをエクスポートします] を選択します。
      3. [ 個人情報の交換 - PKCS] #12 () を選択します。形式オプションから PFX) を選択します。
        1. [ 可能な場合は証明書パスにすべての証明書を含める ] と [ すべての拡張プロパティをエクスポートする ] チェック ボックスをオンにします。
      4. [次へ] を選択します。
      5. 証明書ファイルを暗号化するための既知のパスワードを指定します。
      6. [次へ] を選択します。
      7. 証明書のアクセス可能なパスと認識可能なファイル名を指定します。
    5. 新しく作成した証明書ファイルをターゲット コンピューターにコピーします。

ターゲット コンピューターに証明書をインストールする

新しく作成した証明書を使用するには、クライアント コンピューター上の証明書ストアにインポートします。

証明書ストアに証明書を追加する

  1. 管理サーバー、ゲートウェイ、またはエージェント用に証明書が作成されたコンピューターにサインインします。

  2. 上記で作成した証明書を、このコンピューター上のアクセス可能な場所にコピーします。

  3. 管理者コマンド プロンプトまたは PowerShell ウィンドウを開き、証明書ファイルがあるフォルダーに移動します。

  4. 次のコマンドを実行し、 NewCertificate.cer をファイルの正しい名前/パスに置き換えることを確認します。

    CertReq -Accept -Machine NewCertificate.cer

  5. この証明書は、このコンピューターのローカル コンピューターの個人用ストアに存在する必要があります。

または、証明書ファイル > [ローカル コンピューターのインストール > ] を右クリックし、個人用ストアの保存先を選択して証明書をインストールします。

注意

秘密キーを使用して証明書を証明書ストアに追加し、後でストアから削除すると、再インポート時に証明書に秘密キーが含まれるようになります。 送信データを暗号化する必要がある場合、Operations Manager の通信には秘密キーが必要です。 証明書は certutil を使用して修復できます。証明書のシリアル番号を指定する必要があります。たとえば、秘密キーを復元するには、管理者コマンド プロンプトまたは PowerShell ウィンドウで次のコマンドを使用します。

certutil -repairstore my <certificateSerialNumber>

Operations Manager に証明書をインポートする

システムへの証明書のインストールとは別に、Operations Manager を更新して、使用する証明書を認識する必要があります。 次のアクションにより、Microsoft Monitoring Agent サービスが再起動されます。

Operations Manager インストール メディアの SupportTools フォルダーに含まれる MOMCertImport.exe ユーティリティを使用します。 ファイルをサーバーにコピーします。

MOMCertImport を使用して Operations Manager に証明書をインポートするには、次の手順に従います。

  1. ターゲット コンピューターにサインインします。

  2. 管理者コマンド プロンプトまたは PowerShell ウィンドウを開き、 MOMCertImport.exe ユーティリティ フォルダーに移動します。

  3. MomCertImport.exe ユーティリティを実行する

    1. CMD の場合: MOMCertImport.exe
    2. PowerShell の場合: .\MOMCertImport.exe

  4. [証明書の選択] に GUI ウィンドウが表示される

    1. 証明書の一覧を表示できます。一覧がすぐに表示されない場合は、[ その他の選択肢] を選択します。

  5. 一覧から、マシンの新しい証明書を選択します

    1. 証明書を選択して確認できます。 選択すると、証明書のプロパティを表示できます。

  6. [OK] を選択します。

  7. 成功した場合、ポップアップ ウィンドウに次のメッセージが表示されます。

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. 検証するには、イベント ID 20053>イベント ビューアーアプリケーションとサービス ログ> Operations Manager に移動します。 これは、認証証明書が正常に読み込まれたことを示します

  9. イベント ID 20053 がシステムに存在しない場合は、次のいずれかのイベント ID でエラーを探し、それに応じて修正します。

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport は、このレジストリの場所を更新して、証明書に表示されるシリアル番号の逆に一致する値を含めます。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

証明書を更新する

管理サーバーとゲートウェイのインポートされた証明書の有効期限が近付くと、Operations Manager によってアラートが生成されます。 アラートを受け取った場合は、有効期限の前にサーバーの新しい証明書を更新または作成します。 これは、証明書に (エンタープライズ CA からの) テンプレート情報が含まれている場合にのみ機能します。

  1. 期限切れの証明書を使用してサーバーにサインインし、証明書構成マネージャー (certlm.msc) を起動します。
  2. 期限切れの Operations Manager 証明書を見つけます。
  3. 証明書が見つからない場合は、証明書ストアではなく、ファイルを使用して削除またはインポートされている可能性があります。 CA からこのマシンの新しい証明書を発行する必要がある場合があります。 これを行うには、上記の手順を参照してください。
  4. 証明書が見つかると、証明書を更新するオプションを次に示します。
    1. 新しいキーを使用して証明書を要求する
    2. 新しいキーを使用して証明書を更新する
    3. 同じキーを使用して証明書を更新する
  5. 目的に最も適したオプションを選択し、ウィザードに従います。
  6. 完了したら、ツールを MOMCertImport.exe 実行して、Operations Manager で証明書が変更された場合に新しいシリアル番号 (反転) があることを確認します。詳細については、上記のセクションを参照してください。

この方法による証明書の更新が利用できない場合は、前の手順を使用して、新しい証明書を要求するか、organizationの証明機関を使用します。 Operations Manager で使用する新しい証明書をインストールしてインポートする (MOMCertImport)。

省略可能: 証明書の自動登録と更新を構成する

Enterprise CA を使用して、証明書の自動登録と有効期限が切れたときの更新を構成します。 これにより、信頼されたルート証明書がすべてのドメインに参加しているシステムに配布されます。

証明書の自動登録と更新の構成は、Stand-Alone またはサードパーティ CA では機能しません。 ワークグループまたは別のドメイン内のシステムの場合、証明書の更新と登録は引き続き手動プロセスになります。

詳細については、「 Windows Server ガイド」を参照してください。

注意

自動登録と更新では、新しい証明書を使用するように Operations Manager が自動的に構成されることはありません。 証明書が同じキーで自動更新される場合、拇印も同じままになり、管理者による操作は必要ありません。 新しい証明書が生成された場合、または拇印が変更された場合は、前述のように MOMCertImport ツールを使用して、更新された証明書を Operations Manager にインポートする必要があります。