Configuration Manager での PKI 証明書の要件
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager で使用できる公開キー基盤 (PKI) 証明書を次の一覧に示します。 この情報は、PKI 証明書の基本的な知識があることを前提にしています。 これらの証明書の展開例の手順については、「Configuration Manager PKI 証明書の展開手順の例:Windows Server 2008 証明機関」を参照してください。 Active Directory 証明書サービスの詳細については、次のドキュメントを参照してください。
Windows Server 2012:Active Directory 証明書サービスの概要
Windows Server 2008 の場合:Windows Server 2008 の Active Directory 証明書サービス
Configuration Manager でモバイル デバイスと Mac コンピューターに登録するクライアント証明書、Microsoft Intune でモバイル デバイスの管理用に自動作成される証明書、および Configuration Manager で AMT ベースのコンピューターにインストールされる証明書を除き、任意の PKI を使用して次の証明書を作成、展開、および管理できます。 ただし、Active Directory 証明書サービスと証明書テンプレートを使用する場合、この Microsoft PKI ソリューションを使用すると証明書の管理が簡単になります。 次の表の「使用する Microsoft 証明書テンプレート」列を確認し、証明書の要件に最も近い証明書テンプレートを特定してください。 テンプレート ベースの証明書を発行できるのは、Windows Server 2008 Enterprise や Windows Server 2008 Datacenter など、サーバー オペレーティング システムの Enterprise Edition または Datacenter Edition で実行されている企業証明機関だけです。
重要 |
---|
エンタープライズ証明機関と証明書テンプレートを使用する場合、バージョン 3 のテンプレートを使用しないでください。 これらの証明書テンプレートで作成される証明書は、Configuration Manager と互換性がありません。 代わりに、次の手順に従って、バージョン 2 のテンプレートを使用してください。
|
次のセクションで証明書の要件を確認してください。
サーバー向け PKI 証明書
Configuration Manager コンポーネント |
証明書の目的 |
使用する Microsoft 証明書テンプレート |
証明書の固有情報 |
Configuration Manager での証明書の使用方法 |
||
---|---|---|---|---|---|---|
Internet Information Services (IIS) を実行し、HTTPS クライアント接続用に構成されているサイト システム:
|
サーバー認証 |
Web サーバー |
[拡張キー使用法] の値には「サーバー認証 (1.3.6.1.5.5.7.3.1)」が含まれる必要があります。 サイト システムがインターネットからの接続を受け入れる場合は、サブジェクト名やサブジェクトの別名にインターネット完全修飾ドメイン名 (FQDN) が含まれる必要があります。 サイト システムがイントラネットからの接続を受け入れる場合は、サイト システムの構成方法に応じて、サブジェクト名やサブジェクトの別名にイントラネット FQDN (推奨) またはコンピューターの名前が含まれる必要があります。 サイト システムがインターネットとイントラネット両方からの接続を受け入れる場合は、インターネット FQDN とイントラネット FQDN (またはコンピューターの名前) の両方をアンパサンド (&) 記号で区切って指定する必要があります。
SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 Configuration Manager では、この証明書でサポートされるキーの最大長が指定されません。 この証明書のキー サイズ関連問題については、使用している PKI および IIS のドキュメントを参照してください。 |
この証明書は、コンピューター証明書ストア内の個人用ストアに保存されている必要があります。 この Web サーバー証明書は、これらのサーバーをクライアントに対して認証するのに使用されます。また、クライアントとこれらのサーバーの間で転送されるすべてのデータを SSL (Secure Sockets Layer) で暗号化するのにも使用されます。 |
||
クラウドベースの配布ポイント |
サーバー認証 |
Web サーバー |
[拡張キー使用法] の値には「サーバー認証 (1.3.6.1.5.5.7.3.1)」が含まれる必要があります。 サブジェクト名には、クラウドベースの配布ポイントの特定のインスタンスについて、共通名としてユーザー定義のサービス名と FQDN 形式のドメイン名が含まれている必要があります。 秘密キーはエクスポートできる必要があります。 SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 サポートされるキーの長さ :2048 ビット。 |
System Center 2012 Configuration Manager SP1 以降: このサービス証明書は、Configuration Manager クライアントに対するクラウドベースの配布ポイント サービスを認証するため、および Secure Sockets Layer (SSL) を使用してクライアント間で転送されるすべてのデータを暗号化するために使用されます。 この証明書は、公開キー証明書標準 (PKCS #12) 形式でエクスポートする必要があります。パスワードは、クラウドベースの配布ポイントを作成するときにインポートできるように既知である必要があります。
|
||
ソフトウェアの更新ポイントのネットワーク負荷分散 (NLB) クラスター |
サーバー認証 |
Web サーバー |
[拡張キー使用法] の値には「サーバー認証 (1.3.6.1.5.5.7.3.1)」が含まれる必要があります。
SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 |
サービス パックなしの System Center 2012 Configuration Manager: この証明書は、ネットワーク負荷分散ソフトウェアの更新ポイントをクライアントに対して認証するのに使用されます。また、クライアントとこれらのサーバーの間で転送されるすべてのデータを SSL で暗号化するのにも使用されます。
|
||
Microsoft SQL Server を実行するサイト システム サーバー |
サーバー認証 |
Web サーバー |
[拡張キー使用法] の値には「サーバー認証 (1.3.6.1.5.5.7.3.1)」が含まれる必要があります。 サブジェクト名にはイントラネット完全修飾ドメイン名 (FQDN) が含まれている必要があります。 SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 サポートされるキーの最大長は 2048 ビットです。 |
この証明書はコンピューター証明書ストア内の個人用ストアに保存されている必要があります。Configuration Manager は、サーバーとの信頼関係を確立する必要がある Configuration Manager 階層内のサーバーの信頼されたユーザー ストアにこの証明書を自動的にコピーします。 これらの証明書はサーバー間の認証に使用されます。 |
||
SQL Server クラスター:Microsoft SQL Server を実行するサイト システム サーバー |
サーバー認証 |
Web サーバー |
[拡張キー使用法] の値には「サーバー認証 (1.3.6.1.5.5.7.3.1)」が含まれる必要があります。 サブジェクト名には、クラスターのイントラネット完全修飾ドメイン名 (FQDN) が含まれている必要があります。 秘密キーはエクスポートできる必要があります。 SQL Server クラスターを使用するように Configuration Manager を構成する時点で、証明書に 2 年間以上の有効期間が残っている必要があります。 SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 サポートされるキーの最大長は 2048 ビットです。 |
クラスターの 1 つのノードでこの証明書を要求してインストールしたら、証明書をエクスポートし、SQL Server クラスター内のその他の各ノードにインポートします。 この証明書はコンピューター証明書ストア内の個人用ストアに保存されている必要があります。Configuration Manager は、サーバーとの信頼関係を確立する必要がある Configuration Manager 階層内のサーバーの信頼されたユーザー ストアにこの証明書を自動的にコピーします。 これらの証明書はサーバー間の認証に使用されます。 |
||
次のサイト システムの役割のサイト システム監視:
|
クライアント認証 |
ワークステーション認証 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれる必要があります。 コンピューターでは、[サブジェクト名] フィールドまたは [サブジェクトの別名] フィールドに一意の値が必要です。
SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 サポートされるキーの最大長は 2048 ビットです。 |
System Center 2012 Configuration Manager クライアントがインストールされていない場合でも、これらのサイト システムの役割の正常性を監視しサイトに報告するため、この証明書は一覧のサイト システム サーバーで必要です。 これらのサイト システム用の証明書は、コンピューター証明書ストアの個人用ストアに保存されている必要があります。 |
||
ネットワーク デバイス登録サービスのロール サービスが設定された Configuration Manager ポリシー モジュールを実行するサーバー。 |
クライアント認証 |
ワークステーション認証 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれる必要があります。 証明書のサブジェクトやサブジェクトの別名 (SAN) には、特定の要件はありません。ネットワークデバイス登録サービスを実行する複数のサーバーで、同じ証明書を使用できます。 SHA-1、SHA-2、SHA-3 ハッシュ アルゴリズムがサポートされています。 サポートされるキーの長さ :1024 ビットと 2048 ビット。 |
このトピックの情報は、System Center 2012 R2 Configuration Manager のバージョンのみに適用されます。 この証明書は、Configuration Manager がユーザーとデバイス用に証明書を登録できるように、Configuration Manager ポリシー モジュールを証明書登録ポイント サイト システム サーバーに対して認証します。 |
||
配布ポイントがインストールされているサイト システム |
クライアント認証 |
ワークステーション認証 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれる必要があります。 証明書のサブジェクトやサブジェクトの別名 (SAN) には、特定の要件はありません。複数の配布ポイントで同じ証明書を使用することができます。 ただし、配布ポイントごとに異なる証明書を使用することをお勧めします。 秘密キーはエクスポートできる必要があります。 SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 サポートされるキーの最大長は 2048 ビットです。 |
この証明書には、次の 2 つの目的があります。
この証明書は、公開キー証明書標準 (PKCS #12) 形式でエクスポートする必要があります。パスワードは、配布ポイントのプロパティにインポートできるように既知である必要があります。
|
||
帯域外サービス ポイント |
AMT のプロビジョニング |
Web サーバー (変更済み) |
[拡張キー使用法] の値には「サーバー認証 (1.3.6.1.5.5.7.3.1)」および次のオブジェクト識別子が含まれる必要があります。2.16.840.1.113741.1.2.3。 [サブジェクト名] フィールドに、帯域外サービス ポイントをホストしているサーバーの FQDN が含まれている必要があります。
ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 サポートされるキーの長さ :1024 および 2048。 AMT 6.0 以降のバージョンでは、キーの長さとして 4096 ビットもサポートされます。 |
この証明書は、帯域外サービス ポイント サイト システム サーバーにあるコンピューター証明書ストア内の個人用ストアに保存されます。 この AMT プロビジョニング証明書は、帯域外管理用コンピューターを準備するために使用されます。 AMT プロビジョニング証明書を提供する CA から発行されるこの証明書を要求する必要があります。AMT ベースのコンピューターの BIOS 拡張は、このプロビジョニング証明書のルート証明書の拇印 (証明書ハッシュとも呼ばれる) を使用するように構成する必要があります。 VeriSign は、AMT プロビジョニング証明書を提供する外部 CA の一例ですが、独自の内部 CA を使用することもできます。 帯域外サービス ポイントをホストするサーバーに証明書をインストールします。このサーバーは、証明書のルート CA に正常に連係できる必要があります (既定では、ルート CA 証明書と VeriSign に対する中間 CA 証明書は Windows のインストール時にインストールされます)。 |
||
Microsoft Intune コネクタを実行するサイト システム サーバー |
クライアント認証 |
該当なし: この証明書は Intune で自動作成されます。 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれます。 3 つのカスタム拡張機能で、ユーザーの Intune サブスクリプションが一意に識別されます。 キーのサイズは 2,048 ビットであり、SHA-1 ハッシュ アルゴリズムを使用します。
|
Microsoft Intune にサブスクライブすると、この証明書は自動的に要求され、Configuration Manager データベースにインストールされます。Microsoft Intune コネクタをインストールすると、Microsoft Intune コネクタを実行しているサイト システム サーバーにこの証明書がインストールされます。 また、コンピューターの証明書ストアにインストールされます。 この証明書は、Microsoft Intune コネクタを使用して、Microsoft Intune に対して Configuration Manager 階層を認証するために使用されます。 これらのコンポーネント間で転送されるすべてのデータは、Secure Sockets Layer (SSL) を使用します。 |
インターネット ベースのクライアント管理用のプロキシ Web サーバー
サイトがインターネット ベースのクライアント管理をサポートしており、SSL ターミネーションによるプロキシ Web サーバーを使用 (ブリッジング) してインターネット接続を受信している場合、プロキシ Web サーバーには次の表に示す証明書要件があります。
[!メモ]
SSL ターミネーション機能がないプロキシ Web サーバーを使用 (トンネリング) している場合は、プロキシ Web サーバー上に追加の証明書は必要ありません。
ネットワーク インフラストラクチャ コンポーネント |
証明書の目的 |
使用する Microsoft 証明書テンプレート |
証明書の固有情報 |
Configuration Manager での証明書の使用方法 |
---|---|---|---|---|
インターネット経由のクライアント接続を受け入れるプロキシ Web サーバー |
サーバー認証およびクライアント認証 |
|
[サブジェクト名] フィールドまたは [サブジェクトの別名] フィールドにインターネット FQDN が必要です (Microsoft 証明書テンプレートを使用している場合は、サブジェクトの別名はワークステーション テンプレートでのみ利用可能です)。 SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 |
この証明書は、次のサーバーをインターネット クライアントに対して認証するのに使用されます。また、クライアントとこのサーバーの間で転送されるすべてのデータを SSL で暗号化するのにも使用されます。
クライアント認証は、System Center 2012 Configuration Manager クライアントとインターネット ベースのサイト システムの間のクライアント接続のブリッジに使用されます。 |
クライアント向け PKI 証明書
Configuration Manager コンポーネント |
証明書の目的 |
使用する Microsoft 証明書テンプレート |
証明書の固有情報 |
Configuration Manager での証明書の使用方法 |
||
---|---|---|---|---|---|---|
Windows クライアント コンピューター |
クライアント認証 |
ワークステーション認証 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれる必要があります。 クライアント コンピューターでは、[サブジェクト名] フィールドまたは [サブジェクトの別名] フィールドに一意の値が必要です。
SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 サポートされるキーの最大長は 2048 ビットです。 |
既定では、Configuration Manager はコンピューター証明書ストア内の個人用ストアでコンピューターの証明書を検索します。 ソフトウェアの更新ポイントとアプリケーション カタログ Web サイト ポイントを除き、この証明書は、IIS を実行し HTTPS を使用するように構成されているサイト システム サーバーに対してクライアントを認証します。 |
||
モバイル デバイス クライアント |
クライアント認証 |
認証されたセッション |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれる必要があります。 ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 サポートされるキーの最大長は 2048 ビットです。
|
この証明書は、管理ポイントや配布ポイントなど、モバイル デバイス クライアントが通信するサイト システム サーバーに対して、モバイル デバイス クライアントを認証します。 |
||
オペレーティング システムを展開するためのブート イメージ |
クライアント認証 |
ワークステーション認証 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれる必要があります。 証明書のサブジェクトやサブジェクトの別名 (SAN) には、特定の要件はありません。すべてのブート イメージで同じ証明書を使用することができます。 秘密キーはエクスポートできる必要があります。 SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 サポートされるキーの最大長は 2048 ビットです。 |
オペレーティング システムの展開プロセスのタスク シーケンスに、クライアント ポリシーの取得やインベントリ情報の送信などのクライアントの操作が含まれる場合は、この証明書が使用されます。 この証明書は、オペレーティング システムの展開プロセス中にのみ使用され、クライアントにはインストールされません。 このように一時的に使用することで、複数のクライアント証明書を使用せずに、同じ証明書をすべてのオペレーティング システムの展開に使用できます。 この証明書は、公開キー証明書標準 (PKCS #12) 形式でエクスポートする必要があります。パスワードは、Configuration Manager ブート イメージにインポートできるように既知である必要があります。
|
||
Mac クライアント コンピューター |
クライアント認証 |
Configuration Manager 登録の場合: [認証されたセッション] Configuration Manager とは独立した証明書のインストール:ワークステーション認証 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれる必要があります。 Configuration Manager でユーザー証明書を作成する場合、証明書のサブジェクト値には、Mac コンピューターを登録した個人のユーザー名が設定されます。 Configuration Manager の登録を使用せず、Configuration Manager とは独立してコンピューター証明書を展開する証明書のインストール方法の場合、証明書のサブジェクト値を一意にする必要があります。 たとえば、コンピューターの FQDN を指定します。 [サブジェクトの別名] フィールドはサポートされません。 SHA-1 および SHA-2 ハッシュ アルゴリズムがサポートされています。 サポートされるキーの最大長は 2048 ビットです。 |
System Center 2012 Configuration Manager SP1 以降: この証明書は、管理ポイントや配布ポイントなど、モバイル デバイス クライアントが通信するサイト システム サーバーに対して、Mac クライアント コンピューターを認証します。 |
||
Linux および UNIX クライアント コンピューター |
クライアント認証 |
ワークステーション認証 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれる必要があります。 [サブジェクトの別名] フィールドはサポートされません。 秘密キーはエクスポートできる必要があります。 SHA-1 ハッシュ アルゴリズムがサポートされています。 SHA-2 ハッシュ アルゴリズムは、クライアントオペレーティング システムが SHA-2 をサポートしている場合にサポートされます。 詳細については、「Linux および UNIX のオペレーティング システムを操作を行いますしないサポート sha-256」トピックの「Linux および UNIX サーバー用のクライアント展開の計画」セクションを参照してください。 サポートされるキーの長さ :2048 ビット。
|
System Center 2012 Configuration Manager SP1 以降: この証明書は、管理ポイントや配布ポイントなど、モバイル デバイス クライアントが通信するサイト システム サーバーに対して、Linux および UNIX 用クライアントを認証します。 この証明書は、公開キー証明書標準 (PKCS #12) 形式でエクスポートする必要があります。パスワードは、PKI 証明書を指定するときにクライアントに指定できるように既知である必要があります。 詳細については、「Linux および UNIX サーバのセキュリティおよび証明書の計画」の「Linux および UNIX サーバー用のクライアント展開の計画」セクションを参照してください。 |
||
次のシナリオで使用されるルート証明機関 (CA) 証明書
|
信頼できる発行元への証明書チェーン |
該当なし。 |
標準のルート CA 証明書。 |
ルート CA 証明書は、クライアントが通信するサーバーの証明書を、信頼できる発行元にチェーンする必要があるときに指定する必要があります。 これは、次のようなシナリオに適用されます。
さらに、管理ポイント証明書を発行した CA 階層とは別の CA 階層によって、クライアント証明書が発行された場合は、クライアントのルート CA 証明書の提供が必要になります。 |
||
Intel AMT ベースのコンピューター |
サーバー認証 |
Web サーバー (変更済み) [Active Directory の情報から構築する] で [サブジェクト名] を構成して、[サブジェクト名の形式] で [共通名] を選択する必要があります。 帯域外管理コンポーネントのプロパティで指定したユニバーサル セキュリティ グループに、読み取りと登録の権限を付与する必要があります。 |
[拡張キー使用法] の値には「サーバー認証 (1.3.6.1.5.5.7.3.1)」が含まれる必要があります。 サブジェクト名は、AMT ベース コンピューターの FQDN を含んでいる必要があります。これは Active Directory ドメイン サービスによって自動的に提供されます。 ハッシュ アルゴリズムは、SHA-1 のみサポートされます。 サポートされるキーの最大長 :2048 ビット。 |
この証明書は、コンピューターの管理コントローラーに搭載された不揮発性 RAM に格納され、Windows ユーザー インターフェイスからは参照できません。 Intel AMT ベースの各コンピューターは、AMT プロビジョニング中、およびその後の更新中にこの証明書を要求します。 これらのコンピューターから AMT プロビジョニング情報を削除すると、この証明書は失効します。 この証明書を Intel AMT ベースのコンピューターにインストールすると、ルート CA への証明書チェーンもインストールされます。 AMT ベースのコンピューターは、キーの長さが 2048 ビットを超える CA 証明書をサポートできません。 証明書を Intel AMT ベースのコンピューターにインストールすると、AMT ベースのコンピューターは、この証明書によって、帯域外サービス ポイント サイト システム サーバーと帯域外管理コンソールを実行しているコンピューターに対して認証されます。また、Transport Layer Security (TLS) を使用して、これらのコンピューター間のデータ転送がすべて暗号化されます。 |
||
Intel AMT 802.1X クライアント証明書 |
クライアント認証 |
ワークステーション認証 [Active Directory の情報から構築する] で [サブジェクト名] を構成し、[サブジェクト名の形式] で [共通名] を選択して、DNS 名を消去し、サブジェクトの別名として [ユーザー プリンシパル名 (UPN)] を選択してください。 帯域外管理コンポーネントのプロパティで指定したユニバーサル セキュリティ グループに、証明書テンプレートに対する読み取りと登録の権限を付与する必要があります。 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれる必要があります。 サブジェクト名フィールドは、AMT ベース コンピューターの FQDN を含んでいる必要があります。また、サブジェクトの別名は UPN を含んでいる必要があります。 サポートされるキーの最大長 :2048 ビット。 |
この証明書は、コンピューターの管理コントローラーに搭載された不揮発性 RAM に格納され、Windows ユーザー インターフェイスからは参照できません。 Intel AMT ベースの各コンピューターは、AMT プロビジョニング中にこの証明書を要求しますが、AMT プロビジョニング情報が削除されたときに、この証明書を失効させません。 証明書が AMT ベースのコンピューターにインストールされると、この証明書によって AMT ベースのコンピューターが RADIUS サーバーに対して認証され、その後でそのコンピューターによるネットワーク アクセスが認証されます。 |
||
Microsoft Intune によって登録されるモバイル デバイス |
クライアント認証 |
該当なし: この証明書は Intune で自動作成されます。 |
[拡張キー使用法] の値には「クライアント認証 (1.3.6.1.5.5.7.3.2)」が含まれます。 3 つのカスタム拡張機能で、ユーザーの Intune サブスクリプションが一意に識別されます。 ユーザーは登録時に証明書のサブジェクト値を指定できます。 ただし、この値は Intune がデバイスを識別するときに使用されません。 キーのサイズは 2,048 ビットであり、SHA-1 ハッシュ アルゴリズムを使用します。
|
認証済みユーザーが Microsoft Intune を使用して自分のモバイル デバイスを登録すると、この証明書が自動的に要求され、インストールされます。 デバイスの結果の証明書はコンピューター ストアに保存され、Intune で管理できるように、登録されたモバイル デバイスを Windows Intune に対して認証するために使用されます。 証明書にはカスタム拡張機能があるため、認証は、この組織用に設定されている Intune サブスクリプションに制限されます。 |