ドメインコントローラー証明書

この機能にはバージョンが必要です 1.6 以上。

SCEPman Enterprise Edition のみ

SCEPman を使用してドメインコントローラーに Kerberos 認証用の証明書を発行できます。これにより、AAD またはハイブリッド参加デバイスがオンプレミスのリソースにアクセスする際にシームレスに認証できます。これは次の実装に使用できます、 Windows Hello for Business のハイブリッドキートラスト。SCEPman は次の要件を置き換えます 公開鍵基盤。詳細は次で確認できますここ

拡張キー用途（EKU）拡張を持たないルート CA

この機能にはルート CA に対する新しい要件があります。 以前のバージョンから更新している場合、 1.6 を生成する必要があります 新しい ルート CA。 Kerberos 認証用の証明書をサポートするには、CA 証明書に拡張キー用途（EKU）拡張が含まれていないか、または Kerberos Authentication と Smart Card Logon が含まれている必要があります。

SCEPman から開始している場合 1.6 および SCEPman でルート CA を生成している場合、以下の手順はスキップできます。それ以外の場合は、新しいルート CA を生成するためにこのガイドに従ってください。

新しい CA 証明書を生成した場合は、Intune ポリシーを更新し、新しいルート CA と新しいユーザーおよびデバイス証明書をデプロイする必要があります！

に移動します Key Vault
ユーザーアカウントが次に追加されているか確認します アクセスポリシー すべての証明書権限で
に移動します 証明書、CA 証明書を選択してクリックします削除
CA 証明書を正常に削除した後、次をクリックする必要があります 削除された証明書の管理
ステップ 3 で削除した CA 証明書を選択し、クリックします パージ （証明書をパージすると復元できないことに注意してください！）
次に SCEPman App Services を再起動します
App Services を再起動したら、SCEPman の URL に移動して SCEPman ダッシュボードを開きます
次のセクションが表示されます 設定の問題、このセクションの手順に従ってください。
新しい CA 証明書を生成した後、SCEPman ダッシュボードで CA の適合性を確認できます。

SCEPman ダッシュボード上の CA 適合性：

SCEPman サービスへの構成変更

この機能を有効にするには、SCEPman サービスに 2 つのアプリケーション設定を追加する必要があります。現在の実装では、DC リクエストに対して事前共有キー（パスワード）を使用します。 新しいキー／パスワードを生成し、安全な場所に保管してください。 （次の手順および後でドメインコントローラーで必要になります）

に移動します App Services
次に SCEPman アプリを選択します
次に、設定をクリックして 環境変数
を選択し、追加をクリックします
タイプ AppConfig:DCValidation:Enabled を名前として入力します（Linux ベースの SCEPman では : の代わりに __ を使用）
タイプ true を値として
確認は OK
を選択します追加をもう一度
タイプ AppConfig:DCValidation:RequestPassword を名前として入力します（Linux ベースの SCEPman では : の代わりに __ を使用）
先ほど生成した キー／パスワードを値として入力します
確認は OK
アプリケーション設定を保存します

ドメイン内での Kerberos 認証のために CA 証明書を信頼する

Kerberos 認証に使用される証明書は、AD ドメイン内で認証用 CA 証明書として信頼されている必要があります。SCEPman ダッシュボードから CA 証明書をダウンロードしてください。ファイルを次の名前で保存した場合、 scepman-root.cerSCEPman CA 証明書（ルート CA であれ中間 CA であれ）を、Enterprise Administrator 権限を持つアカウントで次のコマンドを使用して公開できます：

certutil -f -dsPublish scepman-root.cer NTAuthCA

同様に、AD フォレスト内のすべてのマシンの信頼されたルート証明書ストアにルート CA 証明書（つまり SCEPman CA 証明書、または SCEPman が中間 CA の場合はそのチェーンのルート CA）をプッシュするには、次のコマンドを実行します：

certutil -f -dsPublish scepman-root.cer RootCA

その後、CA 証明書は一般的に AD で信頼され、特に Kerberos 認証のために信頼されます。ただし、すべてのデバイスがこの構成を受け取るまでに時間がかかります（デフォルト構成では最大 8 時間）。任意のマシンで次を実行してこのプロセスを高速化できます gpupdate /force、例：ドメインコントローラー上で。

これにより、DC 証明書がドメイン内で信頼されるようになります。また、ルート CA 証明書を配布する Trusted Certificate プロファイルの範囲内にあるすべての Intune 管理デバイスでも信頼されます。アプライアンスやクラウドサービスなど、他のサービスに対してルート CA を手動で配布して DC 証明書をすべてのシステムで信頼させる必要がある場合があります。

クライアントへのインストール

次に、オープンソースの SCEP クライアントソフトウェアをダウンロードする必要があります SCEPClient。サフィックスが付いたリリース -framework は .NET Framework 4.6.2 を使用します。これは Windows Server 2016 にプリインストールされており、より新しいバージョンとも互換性があります。他のリリースではターゲットシステムに .NET Core ランタイムをインストールする必要があります。

ドメインコントローラー上の管理者権限のコマンドプロンプトで次のコマンドを実行して、SCEPman からドメインコントローラー証明書を受け取ります：

ScepClient.exe newdccert https://your-scepman-domain/dc RequestPassword

前述のコマンドでは SCEPman の URL を追加する必要がありますが、パスは /dcを維持してください。 RequestPassword を先ほど生成した安全なキー／パスワードに置き換えてください。

リクエストパスワードは SCEPman の CA 証明書で暗号化されるため、SCEPman のみがそれを読み取ることができます。ドメインコントローラー証明書は正しいリクエストパスワードでのみ発行されます。

証明書の自動更新

上記のコマンドは、有効な証明書が既に存在するかどうかにかかわらず新しい DC 証明書を要求します。既存の証明書が期限切れに近い場合のみ更新する方法については次のセクションを参照してください。

証明書を完全に自動で更新するには、ScepClient をすべての ドメインコントローラーに配布する必要があります 。PowerShell スクリプトと共に、 enroll-dc-certificate.ps1を配布してください。SYSTEM コンテキストで次のコマンドを実行するスケジュール済みタスクを追加します（URL とリクエストパスワードを適宜変更）：

powershell -ExecutionPolicy RemoteSigned -File c:\scepman\enroll-dc-certificate.ps1 -SCEPURL https://your-scepman-domain/dc -SCEPChallenge RequestPassword -LogToFile

PowerShell スクリプトが SCEPClient.exe とその追加の依存関係と同じディレクトリに存在することを確認してください。

これはマシンストア内の既存の DC 証明書をチェックします。少なくとも 30 日の有効期間を持つ適切な証明書がない場合にのみ、ScepClient.exe を使用して SCEPman から新しい DC 証明書を要求します。30 日の閾値を変更したい場合は、PowerShell スクリプトの -ValidityThresholdDays パラメーターを使用してください。

スクリプトは、格納されているディレクトリに継続的なログファイルを書き込みます。このログファイルを作成したくない場合は、 -LogToFile パラメーターを省略してください。代わりに情報、エラー、および/またはデバッグストリームをファイルにリダイレクトできます（例： 6>logfile.txt 2>&1).

WHfB の場合、バージョン 2016 以降を実行しているすべての DC は Kerberos 認証証明書が必要です。古い DC は認証要求を新しい DC に転送するため、必ずしも Kerberos 認証証明書を必要としません。ただし、ベストプラクティスとしてそれらにも証明書を提供することが推奨されます。

既存の内部 PKI の段階的廃止

内部 PKI が SCEPman と並行して DC 証明書（証明書テンプレート「Domain Controller」、「Domain Controller Authentication」、「Kerberos Authentication」）を発行しないようにしてください。そうしないと、DC が内部 PKI からの DC 証明書を使用する可能性があり、例えば CDP に到達できない場合などに信頼されないと見なされることがあります。SCEPman の DC 証明書は、前述のテンプレートの証明書が使用できるすべての目的（例：Kerberos 認証や LDAPS）に使用できます。

これを実現する最も簡単な方法は、内部 CA が「Domain Controller」「Domain Controller Authentication」「Kerberos Authentication」テンプレートに対して証明書を発行するのを停止することです。Certification Authority MMC スナップインで、各内部 CA の発行済みテンプレートのリストからこれらのテンプレートを削除します。次に、内部 CA から既に発行された証明書をドメインコントローラーの "MY" ストアから削除します（certlm.msc を実行し、Personal に移動）。 gpupdate /forceそれでも、内部 PKI からの新しい DC 証明書が DC の個人ストアに現れないようにするために、

最終更新 5 日前

役に立ちましたか？

おやすみ

hashtag拡張キー用途（EKU）拡張を持たないルート CA

hashtagSCEPman サービスへの構成変更

hashtagドメイン内での Kerberos 認証のために CA 証明書を信頼する

hashtagクライアントへのインストール

hashtag証明書の自動更新