次の方法で共有

Windows Server および System Center Operations Manager で使用する証明書を取得する

  • [アーティクル]

この記事では、Windows プラットフォーム上のスタンドアロンまたは Enterprise Active Directory Certificate Services (AD CS) 証明機関 (CA) サーバーを使用して、証明書を取得し、Operations Manager 管理サーバー、ゲートウェイ、またはエージェントで使用する方法について説明します。

  • 証明書を要求して受け入れるには、 certreq コマンド ライン ユーティリティを使用します。 証明書を送信して取得するには、Web インターフェイスを使用します。

前提条件

次のことを確認します。

  • WEB サービス or を使用して環境にインストールおよび構成された AD-CS 表示される必要な設定に一致する証明書を持つサード パーティの証明機関。
  • HTTPS バインドとそれに関連付けられている証明書がインストールされている。 HTTPS バインドの作成の詳細については、「 Windows Server CA の HTTPS バインドを構成する方法を参照してください。
  • コア サーバーではなく、一般的なデスクトップ エクスペリエンス。

重要

Cryptography API Key Storage Provider (KSP) は、Operations Manager 証明書ではサポートされていません。

Note

組織で AD CS を使用していない場合、または外部証明機関を使用している場合は、そのアプリケーションに提供されている手順を使用して証明書を作成し、Operations Manager の次の要件を満たしていることを確認してから、提供されているインポートとインストールの手順に従います。

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

重要

このトピックでは、AD-CS の既定の設定を次に示します。

  • 標準キーの長さ: 2048
  • Cryptography API: Cryptographic Service Provider (CSP)
  • セキュリティで保護されたハッシュ アルゴリズム: 256 (SHA256) 会社のセキュリティ ポリシーの要件に照らしてこれらの選択を評価します。

証明書を取得するプロセスの概要:

  1. CA からルート証明書をダウンロードします。

  2. ルート証明書をクライアント サーバーにインポートします。

  3. 証明書テンプレートを作成する。

  4. テンプレートを証明書テンプレート フォルダーに追加します。

  5. <certreq> コマンドライン ユーティリティで使用するセットアップ情報ファイルを作成します。

  6. 要求ファイルを作成します (または、Web ポータルを使用します)。

  7. CA に要求を送信します。

  8. 証明書を証明書ストアにインポートします。

  9. <MOMCertImport>を使用して Operations Manager に証明書をインポートします。

CA からルート証明書をダウンロードしてインポートする

エンタープライズ CA またはスタンドアロン CA から作成された証明書を信頼して検証するには、ターゲット コンピューターの信頼されたルート ストアにルート証明書のコピーが必要です。 ドメインに参加しているほとんどのコンピューターは、エンタープライズ CA を信頼する必要があります。 ただし、ルート証明書がインストールされていない場合、スタンドアロン CA からの証明書を信頼するマシンはありません。

サード パーティ CA を使用している場合、ダウンロード プロセスは異なります。 ただし、インポート プロセスは変わりません。

CA から信頼されたルート証明書をダウンロードする

信頼されたルート証明書をダウンロードするには、次の手順に従います。

  1. 証明書をインストールするコンピューターにサインインします。 たとえば、ゲートウェイ サーバーまたは管理サーバー

  2. Web ブラウザーを開き、証明書サーバーの Web アドレスに接続します。 たとえば、https://<servername>/certsrv のようにします。

  3. [Welcome] ページで、[CA 証明書のダウンロード ]、[証明書チェーン、または CRL を選択します。

    a. Web アクセスの確認を求めるメッセージが表示されたらサーバーと URL を確認し、Yes を選択します。

    b. [ CA 証明書] で複数のオプションを確認し 選択内容を確認します。

  4. エンコード方法を Base 64 に変更し CA 証明書チェーン ダウンロードを選択します。

  5. 証明書を保存し、フレンドリ名を指定します。

クライアント上の CA から信頼されたルート証明書をインポートする

Note

信頼されたルート証明書をインポートするには、ターゲット コンピューターに対する管理特権が必要です。

信頼されたルート証明書をインポートするには、次の手順に従います。

  1. 前の手順で生成したファイルをクライアントにコピーします。
  2. 証明書マネージャーを開きます。
    1. コマンド ライン、PowerShell、または Run から「 certlm.msc 」と入力し、 enter キーを押します。
    2. [Start > Run] を選択し、「 mmc 」と入力して、Microsoft 管理コンソール (mmc.exe) を見つけます。
      1. File>スナップインの追加と削除...に移動します。
      2. [スナップインの追加と削除] ダイアログで、Certificatesを選択し、[追加を選択します。
      3. [証明書スナップイン] ダイアログで、
        1. Computer アカウントを選択し次へ選択。 [コンピューターの選択] ダイアログが開きます。
        2. [ローカル コンピューター選択しFinish を選択します。
      4. [OK] を選択します。
      5. [コンソール ルート] で、 Certificates (ローカル コンピューター) を展開します。
  3. [信頼されたルート証明機関 展開し証明書を選択します。
  4. [すべてのタスクを選択します。
  5. 証明書のインポート ウィザードで、最初のページを既定値のままにし、 Nextを選択します。
    1. CA 証明書ファイルをダウンロードした場所を参照し、CA からコピーした信頼されたルート証明書ファイルを選択します。
    2. [次へ] を選択します。
    3. 証明書ストアの場所で、信頼されたルート証明機関を既定のままにします。
    4. [次へ][完了] の順に選択します。
  6. 成功した場合、CA の信頼されたルート証明書は、 Trusted Root 証明機関>Certificatesの下に表示されます。

証明書テンプレートの作成: エンタープライズ CA

エンタープライズ CA:

  • Active Directory ドメイン Services (AD-DS) と統合されます。
  • 証明書と証明書失効リスト (CRL) を AD-DS に発行します。
  • AD-DS に格納されているユーザー アカウントとセキュリティ グループ情報を使用して、証明書要求を承認または拒否します。
  • 証明書テンプレートを使用します。

証明書を発行するために、エンタープライズ CA は証明書テンプレートの情報を使用して、その証明書の種類に適した属性を持つ証明書を生成します。

スタンドアロン CA:

  • AD-DS は必要ありません。
  • 証明書テンプレートは使用しないでください。

スタンドアロン CA を使用する場合は、要求された証明書の種類に関するすべての情報を証明書要求に含めます。

詳細については、「 certificate テンプレート」を参照してください。

System Center Operations Manager の証明書テンプレートを作成する

  1. ご利用の環境 (CA) で AD CS を使用してドメインに参加しているサーバーにサインインします。

  2. Windows デスクトップで、 Start>Windows 管理ツール>証明書機関 を選択します。

  3. 右側のナビゲーション ウィンドウで CA を展開し、 Certificate Templates を右クリックし、 Manage を選択します。

  4. IPSec (オフライン要求) を右クリックし、[テンプレートのを選択

  5. [新しいテンプレートのプロパティ]ダイアログ ボックスが開き、次のように選択します。

    Tab 説明
    互換性 1. 証明書機関: Windows Server 2008 (または環境内で最も低い AD 機能レベル)。
    2. 証明書の受信者: Windows Server 2012 (または環境内の最小バージョンの OS)。
    全般 1. テンプレートの表示名: Operations Manager などのフレンドリ名を入力
    2. テンプレート名: 表示名と同じ名前を入力します。
    3. 有効期間: 組織の要件に合わせて有効期間を入力します。
    4. [Active Directory 証明書の発行] を選択し重複する証明書が Active Directory に存在する場合は自動的に再登録しないチェック ボックスをオンにします。
    要求の処理 1. Purpose: ドロップダウンから 署名と暗号化 を選択します。
    2. [エクスポート 秘密キーを有効にする ] チェック ボックスをオンにします。
    暗号化 1. Provider カテゴリ: レガシ暗号化サービス プロバイダー
    2 を選択します。 アルゴリズム名: ドロップダウンから [CSP によって決定] を選択します。
    3. 最小キー サイズ: 組織のセキュリティ要件に従って 2048 または 4096。
    4. プロバイダー: ドロップダウンから Microsoft RSA チャネル暗号化プロバイダーMicrosoft 拡張暗号化プロバイダー v1.0 を選択します。
    Extensions 1. このテンプレートに含まれる Extensionsアプリケーション ポリシーを選択し編集
    2     選択します。 アプリケーション ポリシー拡張機能の編集 ダイアログが開きます。
    3. アプリケーション ポリシー:で、IP セキュリティ IKE 中間を選択しRemove
    4 を選択します。 [追加]を選択し、Client 認証を選択し、[アプリケーション ポリシーサーバー認証をします。
    5. OK.
    を選択します6. キー使用法を選択し、編集します。
    7. デジタル署名キーの暗号化 (キーの暗号化) のみを使用したAllow キー交換が選択されていることを確認
    8. [この拡張機能 クリティカルにする ] チェック ボックスをオンにして、[ OK を選択します。
    セキュリティ 1. 認証されたユーザー グループ (または Computer オブジェクト) に Read および Enroll アクセス許可があることを確認し、 Apply を選択してテンプレートを作成します。

証明書テンプレート フォルダーにテンプレートを追加する

  1. ご利用の環境 (CA) で AD CS を使用してドメインに参加しているサーバーにサインインします。
  2. Windows デスクトップで、 Start>Windows 管理ツール>証明書機関 を選択します。
  3. 右側のナビゲーション ウィンドウで、CA を展開し、 Certificate テンプレートを右クリックし、 New>Certificate Templates to Issue を選択します。
  4. 上記の手順で作成した新しいテンプレートを選択し、 OKを選択します。

要求ファイルを使用して証明書を要求する

セットアップ情報 (.inf) ファイルを作成する

  1. 証明書を要求する Operations Manager 機能をホストしているコンピューターで、テキスト エディターで新しいテキスト ファイルを開きます。

  2. 次の内容を含むテキスト ファイルを作成します。

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. ファイル拡張子が .inf のファイルを保存します。 たとえば、CertRequestConfig.inf のようにします。

  4. テキスト エディターを閉じます。

証明書要求ファイルを作成する

このプロセスは、Base64 の構成ファイルで指定された情報をエンコードし、新しいファイルに出力します。

  1. 証明書を要求する Operations Manager 機能をホストしているコンピューターで、管理者コマンド プロンプトを開きます。

  2. .inf ファイルがあるのと同じディレクトリに移動します。

  3. 次のコマンドを実行して、 .inf ファイル名を変更して、前に作成したファイル名と一致するようにします。 .req ファイル名はそのままにしておきます。

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. 新しく作成したファイルを開き、内容をコピーします。

要求ファイルを使用して AD CS Web ポータルで新しい証明書要求を送信する

  1. 証明書を要求する Operations Manager 機能をホストしているコンピューターで、Web ブラウザーを開き、証明書サーバーの Web アドレスをホストしているコンピューターに接続します。 たとえば、https://<servername>/certsrv のようにします。

  2. Microsoft Active Directory 証明書サービスへようこそ ページで、証明書を要求しますを選択します。

  3. [証明書の要求] ページで、[証明書要求選択

  4. Advanced Certificate Request ページで、 base-64 でエンコードされた CMC または PKCS #10 ファイルを使用して証明書要求を送信するかベース 64 でエンコードされた PKCS #7 ファイルを使用して更新要求を送信を選択します。

  5. [証明書要求または更新要求の送信] ページの [保存された要求 テキスト ボックスに、前の手順 4 でコピーしたCertRequest.req ファイルの内容を貼り付けます。

  6. Certificate テンプレートで、作成した証明書テンプレートを選択します。 たとえば、OperationsManagerCertし、Submit を選択します。

  7. 成功した場合は、 Certificate Issued ページで、証明書 64 でエンコード>ダウンロードを選択します。

  8. 証明書を保存し、フレンドリ名を指定します。 たとえば、 SCOM-MS01.cerとして保存します。

  9. Web ブラウザーを閉じます。

AD-CS Web ポータルを使用して証明書を要求する

要求ファイルとは別に、証明書サービス Web ポータルを使用して証明書要求を作成できます。 この手順は、証明書のインストールを容易にするために、ターゲット コンピューターで完了します。 AD-CS Web ポータルを使用した証明書要求ができない場合は、次に示すように証明書をエクスポートしてください。

  1. 証明書を要求する Operations Manager 機能をホストしているコンピューターで、Web ブラウザーを開き、証明書サーバーの Web アドレスをホストしているコンピューターに接続します。 たとえば、https://<servername>/certsrv のようにします。
  2. Microsoft Active Directory 証明書サービスへようこそ ページで、証明書を要求しますを選択します。
  3. [証明書の要求] ページで、[証明書要求選択
  4. [ 作成] を選択し、この CA に要求を送信
  5. 高度な証明書要求が開きます。 次の操作を行います。
    1. 証明書テンプレート: 先ほど作成したテンプレート、または Operations Manager 用に指定されたテンプレートを使用します。
    2. オフライン テンプレートの情報の識別:
      1. 名前: サーバーの FQDN、または DNS に表示される FQDN
      2. 組織に応じてその他の情報を提供する
    3. キー オプション:
      1. [キーをエクスポート可能としてマークする] チェック ボックスをオンにする
    4. その他のオプション:
      1. フレンドリ名: サーバーの FQDN、または DNS に表示される FQDN
  6. 送信を選択します。
  7. タスクが正常に完了すると、 Certificate Issued ページが開き、 この証明書のインストールへのリンクが表示されます。
  8. [この証明書 インストールする] を選択
  9. サーバーでは、 Personal 証明書ストア によって証明書が格納されます。
  10. MMC または CertMgr コンソールを読み込み、Personal>Certificates に移動し新しく作成された証明書を見つけます。
  11. ターゲット サーバーでこのタスクが完了していない場合は、証明書をエクスポートします。
    1. [すべてのタスク] >エクスポート>新しい証明書を右クリックします。
    2. 証明書のエクスポート ウィザード[次へ] を選択します。
    3. 選択し、秘密キーをエクスポート次へ選択
    4. 個人情報交換 – PKCS #12 (.PFX)
    5. [可能な場合は証明書パス内のすべての証明書を含む]を選択しすべての拡張プロパティをエクスポートチェックボックスをオンにして、次へを選択します。
    6. 保存時の証明書ファイルを暗号化するためのパスワードを指定し、 [次へ]を選択します。
    7. エクスポートしたファイルを保存し、フレンドリ名を指定します。
    8. [次へ] を選択し、[完了] を
    9. エクスポートした証明書ファイルを見つけて、そのファイルのアイコンを調べます。
      1. アイコンにキーが含まれている場合は、秘密キーがアタッチされている必要があります。
      2. アイコンにキーが含まれていない場合は、後で使用するために必要に応じて、秘密キーを使用して証明書を再エクスポートします。
    10. エクスポートしたファイルをターゲット コンピューターにコピーします。
  12. Web ブラウザーを閉じます。

証明書マネージャーを使用して証明書を要求する

証明書テンプレートが定義された Enterprise CA の場合、証明書マネージャーを使用して、ドメインに参加しているクライアント コンピューターから新しい証明書を要求できる場合があります。 これはテンプレートを使用するため、このメソッドはスタンドアロン CA には適用されません。

  1. 管理者権限 (管理サーバー、ゲートウェイ、エージェントなど) を使用してターゲット コンピューターにサインインします。
  2. 管理者コマンド プロンプトまたは PowerShell ウィンドウを使用して、証明書マネージャーを開きます。
    1. certlm.msc – ローカル コンピューター証明書ストアを開きます。
    2. mmc.msc – Microsoft 管理コンソールを開きます。
      1. 証明書マネージャー スナップインを読み込みます。
      2. File>スナップインの追加と削除に移動します。
      3. [証明書] を選択します。
      4. [追加] を選択します。
      5. メッセージが表示されたら、 Computer アカウントを選択し選択します。
      6. [ローカル コンピューター選択しを選択します
      7. OK を選択してウィザードを閉じます。
  3. 証明書要求を開始します。
    1. [証明書] の [個人用] フォルダーを展開します。
    2. Certificates>All Tasks>Request New Certificate を右クリックします。
  4. 証明書の登録ウィザード

    1. [開始する前に] ページで、 [次へ] を選択します。

    2. 該当する証明書登録ポリシー (既定値は Active Directory 登録ポリシー) を選択し、 次へを選択します。

    3. 目的の登録ポリシー テンプレートを選択して証明書を作成します

      1. テンプレートがすぐに使用できない場合は、一覧の下にある [すべてのテンプレートを表示する ] ボックスを選択します。
      2. 必要なテンプレートの横に赤い X が付いている場合は、Active Directory または証明書チームに問い合わせてください。

    4. ほとんどの環境では、証明書テンプレートの下にハイパーリンクを含む警告メッセージが表示され、リンクを選択して、証明書の情報を入力し続けることができます。

    5. 証明書のプロパティ ウィザード:

      Tab 説明
      サブジェクト 1. サブジェクト名で、 Common Name または Full DN を選択し、ターゲット サーバーのホスト名または BIOS 名の値を指定し、 追加を選択します。
      全般 1. 生成された証明書にフレンドリ名を指定します。
      2. 必要に応じて、このチケットの目的の説明を入力します。
      Extensions 1. [キーの使用法] で、 [デジタル署名キー暗号化 オプションを選択し、 [これらのキー使用法を重要にする ] チェック ボックスをオンにします。
      2. 拡張キー使用法の下で、 Server Authentication および Client Authentication オプションを選択することを確認して下さい。
      秘密キー 1. キーオプションで、キーサイズが少なくとも1024または2048であることを確認し、 Make秘密キーエクスポート可能 チェックボックスをオンにします。
      2. [キーの種類] で、必ず Exchange オプションを選択します。
      [証明機関] タブ 必ず CA チェックボックスをオンにします。
      シグネチャ 組織で登録機関が必要な場合は、この要求の署名証明書を指定します。

    6. 証明書のプロパティ ウィザードで情報を指定すると、以前の警告ハイパーリンクは表示されなくなります。

    7. [ 登録] を選択して証明書を作成します。 エラーが発生した場合は、AD または証明書チームに問い合わせてください。

    8. 成功した場合、状態は Succeeded を読み取り、新しい証明書が Personal/Certificates ストアに配置されます。

  5. これらのアクションが証明書の目的の受信者に対して実行された場合は、次の手順に進みます。
  6. それ以外の場合は、マシンから新しい証明書をエクスポートし、次の証明書にコピーします。
    1. [証明書マネージャー] ウィンドウを開き、 Personal>Certificates に移動します。
    2. エクスポートする証明書を選択します。
    3. [All Tasks>Export を右クリックします。
    4. 証明書のエクスポート ウィザードで。
      1. ウェルカム ページで [次へ] を選択します。
      2. [ Yes] を選択し、秘密キーをエクスポートします
      3. 個人情報交換 – PKCS #12 (.形式オプションから PFX)します。
        1. 可能な場合は、証明書パス内のすべての証明書を除外しすべての拡張プロパティをエクスポートチェック ボックスをオンにします。
      4. [次へ] を選択します。
      5. 証明書ファイルを暗号化するための既知のパスワードを指定します。
      6. [次へ] を選択します。
      7. 証明書のアクセス可能なパスと認識可能なファイル名を指定します。
    5. 新しく作成した証明書ファイルをターゲット コンピューターにコピーします。

ターゲット コンピューターに証明書をインストールする

新しく作成した証明書を使用するには、クライアント コンピューター上の証明書ストアにインポートします。

証明書ストアに証明書を追加する

  1. 管理サーバー、ゲートウェイ、またはエージェントの証明書が作成されているコンピューターにサインインします。

  2. 上で作成した証明書を、このコンピューター上のアクセス可能な場所にコピーします。

  3. 管理者コマンド プロンプトまたは PowerShell ウィンドウを開き、証明書ファイルがあるフォルダーに移動します。

  4. 次のコマンドを実行し、 NewCertificate.cer をファイルの正しい名前/パスに置き換えてください。

    CertReq -Accept -Machine NewCertificate.cer

  5. この証明書は、このコンピューターのローカル コンピューターの個人用ストアに存在する必要があります。

または、証明書ファイルを右クリック > ローカル コンピューター > インストールし、個人用ストアの保存先を選択して証明書をインストールします。

Note

秘密キーを使用して証明書を証明書ストアに追加し、後でストアから削除した場合、再インポート時に証明書に秘密キーが含まれるようになります。 送信データを暗号化する必要がある場合、Operations Manager の通信には秘密キーが必要です。 証明書は、 certutil を使用して修復できます。証明書のシリアル番号を指定する必要があります。たとえば、秘密キーを復元するには、管理者コマンド プロンプトまたは PowerShell ウィンドウで次のコマンドを使用します。

certutil -repairstore my <certificateSerialNumber>

Operations Manager に証明書をインポートする

システムへの証明書のインストールとは別に、Operations Manager を更新して、使用する証明書を認識する必要があります。 次のアクションでは、Microsoft Monitoring Agent サービスが再起動されます。

Operations Manager インストール メディアの SupportTools フォルダーに含まれるMOMCertImport.exe ユーティリティを使用します。 ファイルをサーバーにコピーします。

MOMCertImport を使用して Operations Manager に証明書をインポートするには、次の手順に従います。

  1. ターゲット コンピューターにサインインします。

  2. 管理者コマンド プロンプトまたは PowerShell ウィンドウを開き、 MOMCertImport.exe ユーティリティ フォルダーに移動します。

  3. MomCertImport.exe ユーティリティを実行する

    1. CMD の場合: MOMCertImport.exe
    2. PowerShell の場合: .\MOMCertImport.exe

  4. [証明書の選択 GUI ウィンドウが表示される

    1. 証明書の一覧を表示できます。一覧がすぐに表示されない場合は、[その他 選択を選択します。

  5. 一覧から、マシンの新しい証明書を選択します

    1. 証明書を選択して確認できます。 選択すると、証明書のプロパティを表示できます。

  6. [OK] を選択します。

  7. 成功した場合、ポップアップ ウィンドウに次のメッセージが表示されます。

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. 検証するには、イベント ID 20053 の イベント ビューアー>Applications and Services Logs>Operations Manager に移動。 これは、認証証明書が正常に読み込まれたことを示します

  9. イベント ID 20053 がシステムに存在しない場合は、次のいずれかのイベント ID でエラーを探し、それに応じて修正します。

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport は、このレジストリの場所を更新して、証明書に表示されるシリアル番号の逆に一致する値を格納します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

証明書を更新する

管理サーバーとゲートウェイのインポートされた証明書の有効期限が近付くと、Operations Manager によってアラートが生成されます。 アラートを受け取った場合は、有効期限が切れる前にサーバーの新しい証明書を更新または作成します。 これは、証明書に (エンタープライズ CA からの) テンプレート情報が含まれている場合にのみ機能します。

  1. 期限切れの証明書を使用してサーバーにサインインし、証明書構成マネージャー (certlm.msc を起動します。
  2. 期限切れの Operations Manager 証明書を見つけます。
  3. 証明書が見つからない場合は、証明書ストアではなく、ファイルを使用して削除またはインポートされている可能性があります。 CA からこのマシンの新しい証明書を発行する必要がある場合があります。 これを行うには、上記の手順を参照してください。
  4. 証明書が見つかると、証明書を更新するオプションを次に示します。
    1. 新しいキーを使用して証明書を要求する
    2. 新しいキーを使用して証明書を更新する
    3. 同じキーで証明書を更新する
  5. 目的に最も適したオプションを選択し、ウィザードに従います。
  6. 完了したら、 MOMCertImport.exe ツールを実行して、Operations Manager が変更された場合に、証明書の新しいシリアル番号 (逆引き) があることを確認します。詳細については、上記のセクションを参照してください。

この方法で証明書を更新できない場合は、前の手順を使用して、新しい証明書または組織の証明機関を要求します。 Operations Manager で使用する新しい証明書をインストールしてインポート (MOMCertImport) します。

省略可能: 証明書の自動登録と更新を構成する

Enterprise CA を使用して、有効期限が切れたときの証明書の自動登録と更新を構成します。 これにより、信頼されたルート証明書が、ドメインに参加しているすべてのシステムに配布されます。

証明書の自動登録と更新の構成は、スタンドアロン CA またはサード パーティ CA では機能しません。 ワークグループまたは別のドメイン内のシステムの場合、証明書の更新と登録は引き続き手動で行われます。

詳細については、「 Windows Server ガイドを参照してください。

Note

自動登録と更新では、新しい証明書を使用するように Operations Manager が自動的に構成されることはありません。 証明書が同じキーで自動更新される場合、拇印は同じままであり、管理者による操作は必要ありません。 新しい証明書が生成された場合、または拇印が変更された場合は、上記の MOMCertImport ツールを使用して、更新された証明書を Operations Manager にインポートする必要があります。