グループ ポリシー

CEP サーバーの登録

CEP (Certificate Enrollment Policy) サーバー (SCEPman の一部) は、認証済みクライアントに対して、Active Directory 登録用に SCEPman 上で構成されたすべての証明書テンプレートを含むポリシーを提供します。CEP サーバーは、クライアント側のレジストリに追加する必要があります。Windows には、GUI で必要な設定を構成するための GPO テンプレートが含まれています。

ポリシーの構成

証明書テンプレートについては デバイス および DC、 コンピューターの構成 ツリーを開く必要があります。 ユーザーについては、 ユーザーの構成 ツリーで移動します。両方の種類の証明書テンプレートを使用する場合は、両方を構成する必要があります。その場合、通常は 2 つの GPO を使用し、1 つはユーザーに対して User Configuration を適用し、もう 1 つはコンピューターに対して Computer Configuration を適用します。

コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
        └-Certificate Services Client - Certificate Enrollment Policy Server

この設定では、一覧に新しい CEP サーバーを追加し、対応する入力欄にポリシー サーバー URI を入力します。この URI は SCEPman のホームページからコピーできます。次の形式になっています。 https://scepman.contoso.com/step/policy。CEP サーバーを入力して検証したら、追加してダイアログを確認することで設定を完了できます。

自動登録を有効にする

CEP サーバーを登録すると、ユーザー/コンピューターは SCEPman から証明書を要求できるようになります。通常は、これをユーザー操作なしで自動的に行わせたいはずなので、そのために自動登録を有効にする必要があります。なお、以前に Microsoft Active Directory Certificate Services (AD CS) で自動登録を使用していた場合は、すでに有効になっている可能性があります。

コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
        └-Certificate Services Client - 自動登録

必ず次の項目にチェックを入れてください 証明書テンプレートを使用する証明書を更新する ことで、自動登録を有効にします。

信頼されたルート CA をインストールする

登録ポリシー サーバーと自動登録の設定が整ったら、対象デバイスまたはユーザーが SCEPman の CA 証明書を信頼していることを確認するだけです。そのためには、対応する GPO 設定に CA 証明書をインポートする必要があります。

コンピューターの構成 / ユーザーの構成
└-ポリシー
  └-Windows の設定
    └-セキュリティの設定
      └-公開キーのポリシー
        └-信頼されたルート証明機関
          └- インポート (コンテキスト メニュー)

SCEPman のホームページから CA 証明書をダウンロードし、このダイアログで必ずインポートしてください。