SCOM2007 / Windows Server 2008 での証明書設定手順について
マイクロソフト株式会社マネージャビリティサポートチームの佐々木です。
System Center Operations Manager 2007 では ワークグループ環境や、信頼関係のないドメインにあるコンピューターを証明書を利用して監視することができます。
証明書サーバーとして、Windows Server 2003 を利用する際の手順についてはこちらをご参照下さい。
証明書サーバーとして、Windows Server 2008 を利用した際の手順は以下のとおりとなります。
なお、Windows Server 2003 に対して KB 922706 を適用した場合も、以下の手順で設定する必要があります。
--2013年8月7日追記--
後述する手順はスタンドアローンCAを利用した手順です。
スタンドアローン CA と エンタープライズ CA では手順が異なります。
エンタープライズ CA を利用した手順については以下のドキュメントをご参照ください。
https://technet.microsoft.com/ja-jp/library/bb735413.aspx
--2014年12月16日追記--
SCOM 2012 の環境では以下をご参照ください。(手順の流れは SCOM 2007 と同様です。)
https://technet.microsoft.com/ja-jp/library/hh467900.aspx
*Windows Server 2012 のCAについて
Windows Server 2008 のCAの手順と同じ手順でご実施ください。
- 環境
証明書サーバー(Windows Server 2008 Stand-Alone CA)
SCOM管理サーバー(Windows Server 2008)
監視対象コンピューター(Windows Server 2003)
- 証明書の設定手順
以下の A から F の作業を、RMS とエージェントをインストールするコンピュータの両方で実施します。
手順 E については、エージェントをインストールするコンピュータでのみ実施します。
A. CA 証明書のインポート
B. CA への証明書要求
C. 保留中の証明書要求の承認
D. 証明書の取得とインポート
E. エージェントのインストール ( エージェントのみ )
F. Operations Manager への証明書インポート
各手順の詳細を以下に記載いたします。
A. CA 証明書のインポート
=========================================================================
1. 証明書をインストールするコンピューターに管理者権限のあるアカウントでログオンします。
2. Internet Explorer を起動し、証明書サービスのホストコンピュータ (https://<サーバー名>/certsrv など) に接続します。
3. [ようこそ] ページで、[CA 証明書、証明書チェーン、または CRL のダウンロード] をクリックします。
4. [CA証明書、証明書チェーン、または CRL のダウンロード] ページで、エンコード方式を [Base64] にして [CA証明書チェーンのダウンロード] をクリックします。
5. [ファイルのダウンロード] ダイアログ ボックスで [保存] をクリックし、"Trustedca.p7b" 等の任意のファイル名で保存します。
6. ダウンロードが終了したら、Internet Explorer を閉じます。
7. [スタート]-> [ファイル名を指定して実行] から "MMC" を実行します。
8. メニューバーの 「ファイル」から「スナップインの追加と削除」を実行します。
9. 「証明書」スナップインを追加します。その際に「管理する証明書」は「コンピュータアカウント」を選択します。「このスナップインで管理コンピュータ」は「ローカルコンピュータ」を選びます。
10. [スナップインの追加と削除] ダイアログボックスで [OK] をクリックします。
11. [コンソール1] ウインドウで [証明書(ローカルコンピューター)] を展開し、[信頼されたルート証明機関] -> [証明書] をクリックします。
12. [証明書]で右クリックし、[すべてのタスク] -> [インポート] をクリックします。
13. [証明書のインポート] ウィザードで [次]をクリックし、[インポートする証明書ファイル] で [参照] をクリックします。
14. ファイルの種類を [PKCS #7 証明書(*.spc,*p7b)] として 手順 A-5. で保存したファイルを開き、[次へ]をクリックします。
15. [証明書ストア]で、以下となっていることを確認し、[次へ]をクリックします。
[証明書をすべて次のストアに配置する]
証明書ストア:
[信頼されたルート証明機関]
16. [証明書のインポートウィザードの完了] ページで [完了] をクリックします。
17. [正しくインポートされました。] のダイアログが表示されたら、[OK]をクリックします。
B. CA への証明書要求
=========================================================================
1. 証明書をインストールするコンピューターに管理者権限のあるアカウントでログオンします。
2. Notepadで以下のような記述を含むファイルを作成します。<>は不要です。
[NewRequest]
Subject="CN=<証明書要求元のコンピューターのFQDN名>"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
3. ファイルを拡張子 .inf として保存します。ここではファイル名を "RequestConfig.inf" とします。
4. 次にコマンドプロンプトで以下のコマンドを実行し、リクエストファイルを作成します。
CertReq -New -f RequestConfig.inf CertRequest.req
5. 作成された要求ファイル(CertRequest.req) を Notepad で開き、内容をすべて選択してクリップボードにコピーします。
6. Internet Explorer を起動し、証明書サービスのホストコンピュータ (https://<サーバー名>/certsrv など) に接続します。
7. [ようこそ] ページで [タスクの選択] 下の [証明書を要求する] をクリックします。
8. [証明書の要求] ページで [証明書の要求の詳細設定を送信する] をクリックします。
5. [証明書の要求の詳細設定] ページで [Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信するか、または
Base 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信する。] をクリックします。
6. [証明書の要求または更新要求の送信] ページで [保存された要求:] のテキストボックス内に 手順B-5. でコピーした内容をペーストし、[送信]をクリックします。
7. [保留中の証明書] ページが表示されたら、ブラウザを閉じます。
C. 保留中の証明書要求の承認
=========================================================================
※ 証明書サービスが証明書を自動承認するように構成されている場合は、証明書の取得手順に進んでください。
それ以外の場合は、CA 管理者が証明書を発行する必要があります。CA 管理者は次の手順で証明書を発行します。
1. Certification Authority Administrator として、証明書サービスのホスト コンピュータにログオンします。
2. Windows デスクトップで [スタート] ボタンをクリックし、[プログラム]、[管理ツール] の順にポイントして [証明機関] をクリックします。
3. [証明機関] で、該当する証明機関名のノードを展開して [保留中の要求] をクリックします。
4. 結果ウィンドウで、手順B の保留中の証明書を右クリックし、[すべてのタスク] をポイントして [発行] をクリックします。
5. [発行した証明書] をクリックし、今発行した証明書が表示されていることを確認します。
6. [証明機関] を閉じます。
D. 証明書の取得とインポート
=========================================================================
1. 証明書をインストールするコンピューターに管理者権限のあるアカウントでログオンします。
2. Internet Explorer を起動し、証明書サービスのホストコンピュータ (https://<サーバー名>/certsrv など) に接続します。
3. [ようこそ] ページで [保留中の証明書の要求の状態] をクリックします。
4. [保留中の証明書の要求の状態] ページで、要求した証明書をクリックします。
5. [証明書は発行されました] ページで [Base 64 エンコード] を選択し、[証明書のダウンロード] をクリックします。
6. [ファイルのダウンロード] ダイアログ ボックスで [保存]をクリックし、"NewCertificate.cer" などの任意のファイル名でファイルを保存します。
7. 次にコマンドプロンプトで以下のコマンドを実行し、保存した証明書をインポートします。
CertReq -Accept NewCertificate.cer
E. エージェントのインストール ( エージェントのみ )
=========================================================================
1. 対象のコンピューターに管理者権限のあるアカウントでログオンします。
2. Operations Manager 2007 のインストール CD-ROM の \Agent\<該当プラットフォーム>\MOMAgent.msi を実行します。
3. インストールウィザードが起動しますので、管理グループ名やアクションアカウントなどの情報を必要に応じて入力します。
F. Operations Manager への証明書インポート
=========================================================================
1. 証明書をインストールするコンピュータに管理者権限のあるアカウントでログオンします
2. Windows デスクトップで [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
3. [ファイル名を指定して実行] ダイアログ ボックスで、「cmd」と入力して [OK] をクリックします。
4. コマンド プロンプトで「<drive_letter>:」 (<drive_letter> は、Operations Manager 2007 のインストール
メディアが配置されているドライブ名) と入力して Enter キーを押します。
5. 「cd\SupportTools\i386」と入力して Enter キーを押します。
注意: 64 ビット コンピュータでは、「cd\SupportTools\amd64」と入力します。
6. 次のように入力します。
MOMCertImport /SubjectName <証明書のサブジェクト名>
<証明書のサブジェクト名> とは手順B-2.と同様、証明書要求元のコンピューターのFQDN指定の名前を意味します。
<> は不要です。
7. Enter キーを押します。
注意 :「FindExistingCertBySubjectName failed」というエラーが発生した場合は、コマンド内で指定する証明書の SubjectName が異なっている可能性があります。
その場合は、証明書の SubjectNameをご確認ください。
8. OpsMgr Health Service を再起動します。
手順は以上となります。
RMS とエージェントの双方で上記の作業を実施後、管理コンソールにて「保留の管理」にエージェントが表示されるかを確認します。
参考ドキュメント:
現在公開されている情報としては下記がありますので併せて紹介いたします。
いずれも英語の情報となります。
-How to Obtain a Certificate Using Windows Server 2008 Stand-Alone CA in Operations Manager 2007
https://technet.microsoft.com/ja-jp/library/dd362655(en-us).aspx
-How to Obtain a Certificate Using Windows Server 2008 Enterprise CA in Operations Manager 2007
https://technet.microsoft.com/en-us/library/dd362553.aspx
コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。