次の方法で共有


Configuration Manager で新しいクライアント証明書を使用するようにポリシー モジュールを構成する方法

 

適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

Configuration Manager ポリシー モジュールと共にネットワーク デバイス登録サービスの役割サービスを実行しているサーバーは、ポリシー モジュールから認証を受けるために、System Center 2012 Configuration Manager の証明登録ポイント サイト システム サーバーにあるクライアント証明書を使います。 通常、クライアント認証証明書の有効期限は 1 年です。 証明書の有効期限が切れる前に、証明書を更新し、新しい証明書用にレジストリを更新してから、ネットワーク デバイス登録サービスを実行する Web サーバーを再起動します。

[!メモ]

証明書の有効期限が切れている場合は、ネットワーク デバイス登録サービスを実行しているサーバーの NDESPlugin.log ファイルに「ERROR("Failed to send http request <thumbprint>. Error 12037」(エラー ("HTTP 要求 <thumbprint> を送信できませんでした。エラー: 12037) というメッセージが記録されます。ここで、<thumbprint> は、有効期限が切れた証明書の認証用の拇印です。

証明書を更新するには:

  • このクライアント証明書を手動で要求した場合、新しい証明書を手動で要求します。 この証明書の展開の詳細については、「Configuration Manager PKI 証明書の展開手順の例:Windows Server 2008 証明機関」トピックの「配布ポイント用のクライアント証明書の展開」の説明を参照してください。ただし、例外として、証明書テンプレートのプロパティの [要求処理] タブにある [プライベート キーのエクスポートを許可する] チェック ボックスをオンにしないでください。

  • グループ ポリシー登録を使用して、クライアント証明書を自動で展開した場合、既定の構成では、元の証明書の有効期限が切れる前に、新しい証明書が自動的に要求されます。

ネットワーク デバイス登録サービスと Configuration Manager ポリシー モジュールを実行するサーバーに新しい証明書が展開された後、次の手順に従って、新しい証明書を使用するようにサーバーを構成します。

新しいクライアント証明書を使用するようにポリシー モジュールを構成するには

  1. ネットワーク デバイス登録サービスと Configuration Manager ポリシー モジュールを実行するサーバーで、レジストリ エディターを開き、次のレジストリ キーを使用して、古い証明書の拇印を新しい証明書の拇印に置き換えます。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint

    System_CAPS_tipヒント

    新しい証明書の拇印を識別するためには、証明書スナップインを使用して、コンピューターのストアで、証明書を探します。 次に、証明書を右クリックし、[プロパティ]、[証明書の表示]、[詳細] タブの順にクリックし、スクロールして[拇印] を選択します。 これで、16 進数の文字列が表示され、コピーできるようになります。この文字列がこの証明書の拇印です。

  2. 次のいずれかの方法を使って、Web サーバーのサービスを再開します。

    1. インターネット インフォメーション サービス (IIS) マネージャーから:ツリーで、Web サーバーのノードに移動します。 [操作] ウィンドウで、[再起動] をクリックします。

    2. コマンド ラインから:「iisreset /restart」と入力して、Enter キーを押します。

    詳細については、TechNet ライブラリの Windows Server セクションにある「Start or Stop the Web Server (IIS 8) (Web サーバーの起動と停止 (IIS 8))」を参照してください。

ネットワーク デバイス登録サービスを実行しているサーバーの NDESPlugin.log ファイルに次のエントリがあると、ポリシー モジュールが新しい証明書を使用しています。INFO("NDES thumbprint is <thumbprint>.", wszBuffer);