# グループ ポリシー

この証明書登録は、 [XCEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-xcep) および [WSTEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wstep/) プロトコルに基づいています。これらは最近のすべての Windows バージョンがネイティブにサポートしています。Active Directory 環境では、必要な設定をグループ ポリシー (GPO) 経由で適用し、AD 参加済みコンピューターが SCEPman から証明書を登録できるようにします。

このシナリオでは、完全に自動化された証明書配布のために 3 つのグループ ポリシー設定が必要です。

{% stepper %}
{% step %}

### CEP サーバーの登録

CEP (Certificate Enrollment Policy) サーバー (SCEPman の一部) は、認証済みクライアントに対して、Active Directory 登録用に SCEPman 上で構成されたすべての証明書テンプレートを含むポリシーを提供します。CEP サーバーは、クライアント側のレジストリに追加する必要があります。Windows には、GUI で必要な設定を構成するための GPO テンプレートが含まれています。

#### ポリシーの構成

証明書テンプレートについては `デバイス` および `DC`、 *コンピューターの構成* ツリーを開く必要があります。 `ユーザー`については、 *ユーザーの構成* ツリーで移動します。両方の種類の証明書テンプレートを使用する場合は、両方を構成する必要があります。その場合、通常は 2 つの GPO を使用し、1 つはユーザーに対して User Configuration を適用し、もう 1 つはコンピューターに対して Computer Configuration を適用します。

<pre data-title="グループ ポリシー管理エディター (gpmc.msc) での設定場所"><code>コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
<strong>        └-Certificate Services Client - Certificate Enrollment Policy Server
</strong></code></pre>

この設定では、一覧に新しい CEP サーバーを追加し、対応する入力欄にポリシー サーバー URI を入力します。この URI は SCEPman のホームページからコピーできます。次の形式になっています。 `https://scepman.contoso.com/step/policy`。CEP サーバーを入力して検証したら、追加してダイアログを確認することで設定を完了できます。

{% hint style="warning" %}
構成プロセス中、クライアントはすでに CEP サーバーへの検証呼び出しを行います。そのため、構成に使用されるアカウント コンテキストには、SCEPman の CEP エンドポイントにアクセスする権限、つまり Kerberos で認証する権限と、SCEPman のポート 443 への外向きネットワーク アクセスが必要です。
{% endhint %}

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FX84wWn0ykjjnIqAoZC8a%2Fimage.png?alt=media&#x26;token=c8a6049d-2864-4dea-9692-f72718244bfd" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
CEP サーバーの検証中にエラーが発生した場合は、 [既知の問題](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/general-configuration#known-issues) セクションを参照してください。
{% endhint %}

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FxR6zCRYX2tIgRQz0eb80%2Fimage.png?alt=media&#x26;token=9f994ff2-7ea6-4361-b8c7-ae615627769e" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
既存の ADCS と並行して SCEPman の CEP サーバーを使用している場合は、既定のサーバーを選択し、既存の登録ポリシーを保持していることを確認する必要があります。
{% endhint %}
{% endstep %}

{% step %}

### 自動登録を有効にする

CEP サーバーを登録すると、ユーザー/コンピューターは SCEPman から証明書を要求できるようになります。通常は、これをユーザー操作なしで自動的に行わせたいはずなので、そのために自動登録を有効にする必要があります。なお、以前に Microsoft Active Directory Certificate Services (AD CS) で自動登録を使用していた場合は、すでに有効になっている可能性があります。

<pre data-title="グループ ポリシー管理エディター (gpmc.msc) での設定場所"><code>コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
<strong>        └-Certificate Services Client - 自動登録
</strong></code></pre>

必ず次の項目にチェックを入れてください `証明書テンプレートを使用する証明書を更新する` ことで、自動登録を有効にします。

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F46F7m4Xtc7YI1Z3h2Khl%2Fimage.png?alt=media&#x26;token=4432b827-4bb5-42a1-9232-03bac576e0ab" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### 信頼されたルート CA をインストールする

登録ポリシー サーバーと自動登録の設定が整ったら、対象デバイスまたはユーザーが SCEPman の CA 証明書を信頼していることを確認するだけです。そのためには、対応する GPO 設定に CA 証明書をインポートする必要があります。

<pre data-title="グループ ポリシー管理エディター (gpmc.msc) での設定場所"><code>コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
        └-信頼されたルート証明機関
<strong>          └- インポート (コンテキスト メニュー)
</strong></code></pre>

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fpm2U64nuLU0ZWpU9Cs7B%2Fimage.png?alt=media&#x26;token=4f0169cc-4ef8-419d-88f8-37f4140cfc6f" alt=""><figcaption></figcaption></figure>

SCEPman のホームページから CA 証明書をダウンロードし、このダイアログで必ずインポートしてください。
{% endstep %}
{% endstepper %}