ドメインコントローラー証明書

SCEPman を使用してドメインコントローラーに Kerberos 認証用証明書を発行できます。これにより、AAD またはハイブリッド参加済みデバイスがオンプレミスのリソースにアクセスする際にシームレスに認証できるようになります。これは次を実装するために使用できます Windows Hello for Business のハイブリッド鍵の信頼。SCEPman は、次の要件を置き換えます 公開鍵基盤。詳細は見つけることができます こちら

拡張鍵使用法（EKU）拡張子のないルート CA

この機能にはルート CA に対する新しい要件があります。 以前のバージョンから更新する場合は、 1.6 を生成する必要があります 新しい ルート CA。 Kerberos 認証用証明書をサポートするために、CA 証明書には拡張鍵使用法（EKU）拡張が含まれていないか、または Kerberos Authentication と Smart Card Logon のいずれかが含まれている必要があります。

SCEPman から開始している場合 1.6 かつ SCEPman でルート CA を生成する場合、次の手順は省略できます。 それ以外の場合は、新しいルート CA を生成するためにこのガイドに従ってください。

1. に移動します キー コンテナー（Key Vault）

2. ユーザーアカウントが次に追加されているか確認してください アクセス ポリシー すべての証明書権限を持って

3. に移動します 証明書、CA 証明書を選択し、クリックします 削除

4. CA 証明書を正常に削除した後、次をクリックする必要があります 削除された証明書の管理

5. 手順 3 で削除した CA 証明書を選択し、クリックします 完全削除（Purge） （証明書を完全削除した後は復元できないことに注意してください！）

6. 今すぐ SCEPman の App Services を再起動します

7. App Services が再起動したら、SCEPman の URL に移動して SCEPman ダッシュボードを開きます

8. 次のセクションが表示されます 設定の問題、このセクションの手順に従ってください。

9. 新しい CA 証明書を生成した後、SCEPman ダッシュボードで CA の適合性を確認できます。

SCEPman ダッシュボード上の CA 適合性：

SCEPman サービスへの構成変更

この機能を有効にするには、SCEPman サービスに 2 つのアプリケーション設定を追加する必要があります。現在の実装では、DC（ドメインコントローラー）の要求に対して事前共有キー（パスワード）を使用します。 新しいキー/パスワードを生成し、安全な場所に保管してください。 （次の手順および後でドメインコントローラー上で必要になります）

1. に移動します App Services

2. 次に SCEPman アプリを選択します

3. 次に、 設定 をクリックして 環境変数

4. を選択し [追加] をクリックします

5. タイプ AppConfig:DCValidation:Enabled を名前として入力

6. タイプ true を値として入力

7. で確定します OK

8. を選択し 追加 再度

9. タイプ AppConfig:DCValidation:RequestPassword を名前として入力

10. を入力してください 先に生成したキー/パスワードを値として入力します

11. で確定します OK

12. アプリケーション設定を保存します

Kerberos 認証のためにドメインで CA 証明書を信頼する

Kerberos 認証に使用される証明書は、AD ドメイン内で認証用 CA 証明書として信頼される必要があります。SCEPman ダッシュボードから CA 証明書をダウンロードしてください。ファイルを次の名前で保存した場合、 scepman-root.cerEnterprise Administrator 権限を持つアカウントで、次のコマンドを使用して SCEPman の CA 証明書（ルート CA または中間 CA であるかどうか）を公開できます：

同様に、AD フォレスト内のすべてのマシンの信頼されたルート証明書ストアにルート CA 証明書（つまり SCEPman CA 証明書、または SCEPman が中間 CA の場合はそのチェーンのルート CA）を配布するには、次のコマンドを実行します：

その後、CA 証明書は一般に AD 内で信頼され、特に Kerberos 認証に対して信頼されます。ただし、すべてのデバイスがこの構成を受け取るまでには時間がかかる場合があります（デフォルト構成では最大 8 時間）。任意のマシンで次を実行してこのプロセスを高速化できます gpupdate /force、例えばドメインコントローラー上で。

これにより、DC 証明書がドメイン内で信頼されることが保証されます。また、ルート CA 証明書を配布する Trusted Certificate プロファイルの範囲にある Intune 管理下のすべてのデバイスでも信頼されます。DC 証明書をすべてのシステムで信頼させるために、アプライアンスやクラウドサービスなど他のサービスにルート CA を手動で配布する必要がある場合があります。

クライアントへのインストール

次に、オープンソースの SCEP クライアントソフトウェアをダウンロードする必要があります SCEPClient。サフィックスが付いたリリース -framework は .NET Framework 4.6.2 を使用します。これは Windows Server 2016 にあらかじめインストールされており、より新しいバージョンと互換性があります。他のリリースは対象システムに .NET Core ランタイムのインストールを必要とします。

ドメインコントローラーで昇格したコマンドプロンプトを開き、次のコマンドを実行して SCEPman からドメインコントローラー証明書を取得します：

前のコマンドでは SCEPman の URL を追加する必要がありますが、パスは /dcのままにしてください。 RequestPassword を先に生成した安全なキー/パスワードに置き換えてください。

要求パスワードは SCEPman の CA 証明書で暗号化されるため、SCEPman のみがそれを読み取ることができます。ドメインコントローラー証明書は、正しい要求パスワードがある場合にのみ発行されます。

証明書の自動更新

証明書の完全自動更新を行うには、ScepClient を次に配布することを検討してください すべての ドメインコントローラーに、PowerShell スクリプトとともに enroll-dc-certificate.ps1を配布します。次に、SYSTEM コンテキストで次のコマンドを実行するスケジュール済みタスクを追加します（URL と要求パスワードを適宜変更してください）：

PowerShell スクリプトは SCEPClient.exe とその追加依存ファイルと同じディレクトリに置いてください。

このスクリプトは、マシンストア内の既存の DC 証明書をチェックします。少なくとも 30 日の有効性を持つ適切な証明書がない場合にのみ、ScepClient.exe を使用して SCEPman から新しい DC 証明書を要求します。30 日の閾値を変更したい場合は、PowerShell スクリプトの -ValidityThresholdDays パラメータを使用してください。

スクリプトは格納されているディレクトリに継続的なログファイルを書き込みます。このログファイルが不要な場合は、 -LogToFile パラメータを省略してください。代わりに情報、エラー、および/またはデバッグ出力をファイルにリダイレクトできます（例： 6>logfile.txt 2>&1).

WHfB の場合、バージョン 2016 以降で実行されているすべての DC は Kerberos 認証証明書を必要とします。古い DC は認証要求を新しい DC に転送するため、必ずしも Kerberos 認証証明書を要求しないことがあります。ただし、ベストプラクティスとして古い DC にも証明書を供給することが推奨されます。

既存の内部 PKI の段階的廃止

内部 PKI が SCEPman と並行して DC 証明書（証明書テンプレート「Domain Controller」「Domain Controller Authentication」「Kerberos Authentication」）を登録しないようにしてください。そうしないと、DC が内部 PKI の DC 証明書を使用する可能性があり、たとえば CDP に到達できない場合などに信頼されないと見なされることがあります。SCEPman の DC 証明書は、上記テンプレートの証明書が使用されるすべての目的（例：Kerberos 認証や LDAPS）に使用できます。

これを実現する最も簡単な方法は、内部 CA がテンプレート「Domain Controller」「Domain Controller Authentication」「Kerberos Authentication」に対して証明書を発行するのを停止することです。Certification Authority MMC スナップインで、各内部 CA の発行済みテンプレートの一覧からこれらのテンプレートを削除してください。その後、内部 CA から既に発行された証明書をドメインコントローラーの「MY」ストアから削除します（certlm.msc そして [個人] に移動）。たとえ gpupdate /forceであっても、内部 PKI からの新しい DC 証明書が DC の個人ストアに表示されるべきではありません。