グループポリシー
この証明書登録は、次のプロトコルに基づいています XCEP および WSTEP すべての最近のWindowsバージョンがネイティブにサポートするプロトコルです。Active Directory環境では、必要な設定をグループポリシー(GPO)経由で適用して、AD参加済みのコンピューターがSCEPmanから証明書を登録できるようにすることができます。
このシナリオでは、完全に自動化された証明書展開のために3つのグループポリシー設定が必要です。
CEPサーバーの登録
CEP(Certificate Enrollment Policy)サーバー(SCEPmanの一部)は、認証されたクライアントにActive Directory登録用にSCEPmanで構成されたすべての証明書テンプレートを含むポリシーを提供します。CEPサーバーはクライアントのレジストリに追加する必要があります。Windowsには、GUIで必要な設定を構成するためのGPOテンプレートが含まれています。
ポリシー設定
証明書テンプレートについては デバイス および DCに移動する必要があります コンピューターの構成 セクションでは、 ユーザーに移動してください ユーザーの構成 ハイブ(設定領域)。両方の種類の証明書テンプレートを使用する場合は、両方を構成する必要があります。その場合、通常は2つのGPOを使用します。1つはユーザーに適用するUser Configuration、もう1つはコンピューターに適用するComputer Configurationです。
コンピューターの構成 / ユーザーの構成
└-ポリシー
└-Windows の設定
└-セキュリティの設定
└-公開鍵ポリシー
└-証明書サービス クライアント - 証明書登録ポリシー サーバーその設定で、リストに新しいCEPサーバーを追加し、該当する入力欄にポリシーサーバーのURIを入力します。このURIはSCEPmanのホームページからコピーできます。形式は次のとおりです。 https://scepman.contoso.com/step/policy。CEPサーバーを入力して検証したら、それを追加してダイアログを確認することで設定を完了できます。
構成プロセスでは、クライアントがCEPサーバーへ検証コールを行います。したがって、構成に使用されるアカウントコンテキストはSCEPmanのCEPエンドポイントにアクセスする権限(つまりKerberosで認証できること)と、SCEPmanのポート443への発信ネットワークアクセスを持っている必要があります。
エラーが発生した場合は、 既知の問題 セクションを参照してください。CEPサーバー検証中にエラーが発生した場合の情報があります。
自動登録を有効にする
登録されたCEPサーバーがあれば、ユーザーやコンピューターはSCEPmanに証明書を要求できます。通常、これをユーザーの操作なしで自動的に行いたいため、自動登録を有効にする必要があります。以前にMicrosoft Active Directory Certificate Services(AD CS)で自動登録を使用していた場合は、既に有効になっている可能性がある点に注意してください。
コンピューターの構成 / ユーザーの構成
└-ポリシー
└-Windows の設定
└-セキュリティの設定
└-公開鍵ポリシー
└-証明書サービス クライアント - 自動登録必ず次をチェックしてください 証明書テンプレートを使用する証明書を更新する 自動登録を有効にするために。
最終更新
役に立ちましたか?