Windows サーバー

SCEPman バージョン 2.9 以降に適用

Windows サーバー用の証明書を要求するために SCEPmanClient PowerShell モジュールを使用できます。前提条件についてはモジュールのメイン記事を参照してください：

ユースケースの説明

モジュールは初期的な証明書要求が可能ですが、任意の証明書を要求できるマシンにサービスプリンシパルの認証情報を保存することは望ましくない場合があります。

したがって、シナリオに Certificate Master を使用した証明書の配布が含まれる場合は、既存の証明書を認証に使用して自動的に更新できます： SCEPmanClient 既に存在する証明書を認証に提供することにより：

$Subject = $env:COMPUTERNAME
$ValidityThreshold = 30

$CertificateToRenew = Get-ChildItem Cert:\LocalMachine\My `
                        | Where-Object NotAfter -lt (Get-Date).AddDays($ValidityThreshold) `
                        | Where-Object Subject -match $Subject

New-SCEPmanCertificate -Certificate $CertificateToRenew -SaveToStore 'LocalMachine'

# 新しい証明書が配置されたら古いものを削除できます
# Remove-Item $CertificateToRenew.PSPath

この例では、今後 1 か月以内に有効期限が切れる証明書を見つけ、それを使用して更新要求を認証します。

初期要求

サーバーで最初に証明書を要求する場合、次のロールを持つ認証用のサービスプリンシパルを提供することで行えます： CSR DB Requesters そのようなサービスプリンシパルの実装方法については、次のガイドを参照してください：

API 登録

$Parameters = @{
    'Url'              = 'scepman.contoso.com'
    'ClientId'         = '569fbf51-aa63-4b5c-8b26-ebbcfcde2715'
    'TenantId'         = '8aa3123d-e76c-42e2-ba3c-190cabbec531'
    'ClientSecret'     = 'csa8Q~aVaWCLZTzswIBGvhxUiEvhptuqEyJugb70'
    'Subject'          = 'CN=WebServer'
    'DNSName'          = 'Webserver.domain.local'
    'ExtendedKeyUsage' = 'ServerAuth'
    'SaveToStore'      = 'LocalMachine'
}

New-SCEPmanCertificate @Parameters

既存の証明書を更新したい場合は、サービスプリンシパルを無視して既に発行されている証明書を認証に使用できます。これにより既存の証明書の詳細を使って新しい CSR を構築し、SCEPman に新しい証明書を発行させます。

最終更新 22 日前

役に立ちましたか？

おやすみ

hashtagユースケースの説明

hashtag初期要求

ユースケースの説明

初期要求