この証明書登録は、次のプロトコルに基づいています XCEParrow-up-right および WSTEParrow-up-right すべての最近のWindowsバージョンがネイティブにサポートするプロトコルです。Active Directory環境では、必要な設定をグループポリシー(GPO)経由で適用して、AD参加済みのコンピューターがSCEPmanから証明書を登録できるようにすることができます。
このシナリオでは、完全に自動化された証明書展開のために3つのグループポリシー設定が必要です。
CEP(Certificate Enrollment Policy)サーバー(SCEPmanの一部)は、認証されたクライアントにActive Directory登録用にSCEPmanで構成されたすべての証明書テンプレートを含むポリシーを提供します。CEPサーバーはクライアントのレジストリに追加する必要があります。Windowsには、GUIで必要な設定を構成するためのGPOテンプレートが含まれています。
証明書テンプレートについては デバイス および DCに移動する必要があります コンピューターの構成 セクションでは、 ユーザーに移動してください ユーザーの構成 ハイブ(設定領域)。両方の種類の証明書テンプレートを使用する場合は、両方を構成する必要があります。その場合、通常は2つのGPOを使用します。1つはユーザーに適用するUser Configuration、もう1つはコンピューターに適用するComputer Configurationです。
デバイス
DC
ユーザー
コンピューターの構成 / ユーザーの構成 └-ポリシー └-Windows の設定 └-セキュリティの設定 └-公開鍵ポリシー └-証明書サービス クライアント - 証明書登録ポリシー サーバー
その設定で、リストに新しいCEPサーバーを追加し、該当する入力欄にポリシーサーバーのURIを入力します。このURIはSCEPmanのホームページからコピーできます。形式は次のとおりです。 https://scepman.contoso.com/step/policy。CEPサーバーを入力して検証したら、それを追加してダイアログを確認することで設定を完了できます。
https://scepman.contoso.com/step/policy
構成プロセスでは、クライアントがCEPサーバーへ検証コールを行います。したがって、構成に使用されるアカウントコンテキストはSCEPmanのCEPエンドポイントにアクセスする権限(つまりKerberosで認証できること)と、SCEPmanのポート443への発信ネットワークアクセスを持っている必要があります。
エラーが発生した場合は、 既知の問題 セクションを参照してください。CEPサーバー検証中にエラーが発生した場合の情報があります。
既存のADCSと並行してSCEPmanのCEPサーバーを使用する場合は、既定のサーバーを選択し、既存の登録ポリシーを維持するようにしてください。
登録されたCEPサーバーがあれば、ユーザーやコンピューターはSCEPmanに証明書を要求できます。通常、これをユーザーの操作なしで自動的に行いたいため、自動登録を有効にする必要があります。以前にMicrosoft Active Directory Certificate Services(AD CS)で自動登録を使用していた場合は、既に有効になっている可能性がある点に注意してください。
コンピューターの構成 / ユーザーの構成 └-ポリシー └-Windows の設定 └-セキュリティの設定 └-公開鍵ポリシー └-証明書サービス クライアント - 自動登録
必ず次をチェックしてください 証明書テンプレートを使用する証明書を更新する 自動登録を有効にするために。
証明書テンプレートを使用する証明書を更新する
登録ポリシーサーバーと自動登録設定が整ったら、対象デバイスやユーザーがSCEPmanのCA証明書を信頼していることを確認するだけです。そのためには、対応するGPO設定にCA証明書をインポートする必要があります。
コンピューターの構成 / ユーザーの構成 └-ポリシー └-Windows の設定 └-セキュリティの設定 └-公開鍵ポリシー └-信頼されたルート証明機関 └- インポート(コンテキストメニュー)
SCEPmanのホームページからCA証明書をダウンロードし、このダイアログにインポートしてください。
最終更新 2 か月前
役に立ちましたか?
