スタンドアロン認証局を使用して Jamf SCCM Plug-In 3.40 以降の証明書を構成する

この資料では、Jamf SCCM Plug-In 3.40 以降の場合にスタンドアロン認証局を使用して証明書を作成および構成する方法を説明します。

Jamf SCCM Proxy Plug-In 3.40 以降のプラグインをインストールする前に、1 つ以上の証明書を構成しておく必要があります。次の表は、必要な証明書とその証明書が存在しなければならないサーバを示しています。

証明書Jamf SCCM Proxy Service サーバSCCM サーバ
ISV プロキシ証明書✔ (プライベートキーが必要)
CA 証明書チェーン

スタンドアロン CA を使用して ISV プロキシ証明書を作成する手順は以下のとおりです。

  1. 証明書署名リクエスト (CSR) を作成するための .inf ファイルをダウンロードして変更する

  2. CSR を作成する

  3. CSR を CA に送信して証明書を作成する

  4. CA 証明書チェーンをエクスポートする

  5. CA 証明書チェーンと ISV 証明書をインポートする

  6. インストール済み証明書から ISV プロキシ証明書を作成する

  7. ISV プロキシ証明書を SCCM サーバにコピーする

  8. ISV プロキシ証明書を SCCM に登録する

一般的な要件

Jamf SCCM プラグインのスタンドアロン CA を使用して証明書を構成するには、ISV プロキシ証明書を作成する必要があります。

そのためには、以下が必要です。

  • SCCM 環境と統合されていないスタンドアロン CA

  • SHA-2 署名アルゴリズムによる PKI 証明書

  • 認証局スナップインをインストールしてあるコンピュータ

  • SCCM サーバへのコントロールアクセス

  • SCCM コンソールへの管理者権限

ステップ 1: CSR を作成するための .inf ファイルをダウンロードして変更する

  1. .inf ファイルをダウンロードします。

    以下から .inf ファイルをダウンロードできます: https://docs.jamf.com/plug-ins/sccm-jamf-pro-server/inf-files/Standalone-CA-ISV-Request.inf

  2. .Inf ファイル内にある以下の変数を見つけ、使用したい設定を含めるように変更します。
    注:

    変数は 2 重の角カッコ ([[ ]]) で示されます。

    • 件名この変数を変更して Jamf SCCM Proxy Service のホストコンピュータの完全修飾ドメイン名 (FQDN) を含めます。
    • フレンドリ名この変数を以下のように変更します。
      • 3.51 以前の場合"JSS SCCM Proxy Certificate"
      • 3.60.0 以降の場合"Jamf SCCM Proxy Certificate"
    • プロバイダ名この変数を変更して、使用したい CSP (Cryptographic Service Provider (暗号化サービスプロバイダ)) の名前を含めます。すべての CSP のリストを表示するには、以下のコマンドを実行します。
      certutil -csplist
    • プロバイダタイプこの変数を変更して、使用したい CSP タイプを含めます。サポートされるハッシュアルゴリズムを用いたすべての CSP のリストを表示するには、以下のコマンドを実行します。
      certutil -csplist -v | more

ステップ 2: CSR を作成する

  1. Jamf SCCM Proxy Service のインストール先にしたいコンピュータに .inf ファイルをコピーします。
  2. 以下のコマンドを実行して CSR を作成します。
    certreq -new Standalone-CA-ISV-Request.inf Standalone-CA-ISV-Request.req

ステップ 3: CSR を CA に送信して証明書を作成する

証明書の作成に必要な手順に従います。
注:

証明書の作成に必要な手順は、ご使用の環境によって異なります。

例えば、スタンドアロンの Microsoft CA を使用している場合は、次の手順で操作します。

  1. Self-Signed-ISV-Request.req ファイルを CA サーバにコピーします。
  2. 以下のコマンドを実行して ISV 証明書を作成し、プロンプトが表示されたら署名するための CA を選択します。
    certreq -submit Standalone-CA-ISV-Request.req isv.cer
  3. CSR の作成に使用したコンピュータであり、Jamf SCCM Proxy Service のインストール先になるコンピュータに isv.cer ファイルをコピーします。

ステップ 4: CA 証明書チェーンをエクスポートする

  1. 以下のコマンドを実行して isv.cer に署名するための CA 証明書をエクスポートします。
    certutil -ca.chain ca.cer
  2. Ca.cer ファイルを Jamf SCCM Proxy Service のインストール先になるコンピュータにコピーします。

ステップ 5: CA 証明書チェーンと ISV 証明書をインポートする

  1. Jamf SCCM Proxy Service のインストール先になるコンピュータで Microsoft 管理コンソール (MMC) を開きます。
  2. メニューバーから File (ファイル) > Add/Remove Snap-in (スナップインの追加/削除) を選択します。
  3. スナップインのリストでCertificates (証明書)を選択して Add (追加) ボタンをクリックします。

  4. Computer account (コンピュータアカウント) オプションを選択して Next (次へ) をクリックします。
  5. Local computer (the computer this console is running on) (ローカルコンピュータ (このコンソールを実行しているコンピュータ)) オプションを選択します。
  6. Finish (完了) をクリックして OK をクリックします。サイドバー内で Console Root (コンソールルート) フォルダの下に証明書が表示されます。
  7. 証明書 (ローカルコンピュータ) の見出しを展開します。
  8. Trusted Root Certification Authorities (信頼できるルート認証局) 見出しを展開します。
  9. Certificates (証明書) フォルダを右クリックし、All Tasks (すべてのタスク) > Import (インポート) をクリックしてから ca.cer ファイルを選択します。

  10. Personal (個人用) 見出しを展開します。
  11. Certificates (証明書) フォルダを右クリックし、All Tasks (すべてのタスク) > Import (インポート) をクリックしてから isv.cer ファイルを選択します。

ステップ 6: インストール済み証明書から ISV プロキシ証明書を作成する

  1. 新しくインポートした証明書 (フレンドリ名で識別) を右クリックして All Tasks (すべてのタスク) > Export (エクスポート) を選択します。
  2. 画面の指示に従って、証明書を DER エンコードの .cer ファイルとしてエクスポートします。

ステップ 7: ISV プロキシ証明書を SCCM サーバにコピーする

SCCM サーバ以外のサーバに ISV プロキシ証明書を作成した場合は、ISV プロキシ証明書 (.cer) を SCCM をサーバにコピーします。SCCM サーバ上に ISV 証明書を作成した場合は、このステップをスキップできます。

ステップ 8: ISV プロキシ証明書を SCCM に登録する

  1. SCCM サーバ上で SCCM を開き、サイドバーの Administration (管理) カテゴリをクリックします。
  2. Security (セキュリティ) フォルダを展開します。
  3. Certificates (証明書) の見出しをクリックしてから Register or Renew ISV Proxy (ISV プロキシの登録または更新) ボタンをクリックします。

  4. Register or Renew ISV Proxy (ISV プロキシの登録または更新) ダイアログで Register certificate for a new ISV proxy (新しい ISV プロキシの証明書を登録する) オプションを選択して ISV プロキシ証明書 (.cer) を閲覧します。

  5. OK をクリックして Register or Renew ISV Proxy (ISV プロキシの登録または更新) ダイアログを閉じます。
  6. ISV プロキシ証明書の証明書 GUID を書き留めておきます。後で Jamf SCCM Proxy Service をインストール際にこれを入力する必要があります。
    注:

    Certificate GUID (証明書 GUID) 列が表示されていない場合は、列見出しを右クリックして Certificate GUID (証明書 GUID) を選択します。