Windows サーバー

Windows サーバーの証明書を要求するために、SCEPmanClient PowerShell モジュールを使用できます。前提条件については、モジュールのメイン記事を参照してください:

ユースケースの説明

このモジュールは最初の証明書要求は可能ですが、任意の証明書を要求できるマシンにサービス プリンシパルの資格情報を保存するのは望ましくない場合があります。

そのため、シナリオに Certificate Master を使用した証明書の展開が含まれる場合は、次を使用して自動的に更新できます SCEPmanClient 認証に既存の証明書を使用することで:

$Subject = $env:COMPUTERNAME
$ValidityThreshold = 30

$CertificateToRenew = Get-ChildItem Cert:\LocalMachine\My `
                        | Where-Object NotAfter -lt (Get-Date).AddDays($ValidityThreshold) `
                        | Where-Object Subject -match $Subject

New-SCEPmanCertificate -Certificate $CertificateToRenew -SaveToStore 'LocalMachine'

# 新しい証明書を配置したら、古い証明書を削除できます
# Remove-Item $CertificateToRenew.PSPath

この例では、次の 1 か月以内に期限切れになる証明書を見つけ、それを使用して更新要求を認証します。

初回要求

サーバー上で最初に証明書を要求したい場合は、次のロールを持つ認証用のサービス プリンシパルを指定することで実行できます CSR DB Requesters 割り当て済み。 このようなサービス プリンシパルを実装する方法については、次のガイドを参照してください:

ここで証明書を更新したい場合は、サービス プリンシパルを無視して、すでに発行された証明書を認証に使用できます。これにより、既存の証明書の詳細を使用して新しい CSR を作成し、SCEPman に送信して新しい証明書を発行します。