エンタープライズ認証局を使用して Jamf SCCM Plug-In 3.40 以降の証明書を構成する

この資料では、Jamf SCCM Plug-In 3.40 以降の場合にエンタープライズ認証局を使用して証明書を作成および構成する方法を説明します。

Jamf SCCM Proxy 3.40 以降をインストールする前に、1 つ以上の証明書を構成しておく必要があります。次の表は、必要な証明書とその証明書が存在しなければならないサーバを示しています。

証明書Jamf SCCM Proxy Service サーバSCCM サーバ
ISV プロキシ証明書✔ (プライベートキーが必要)
CA 証明書チェーン

エンタープライズ CA を使用して ISV プロキシ証明書を作成する手順は以下のとおりです。

  1. 証明書テンプレートを作成する

  2. テンプレートから ISV プロキシ証明書を作成する

  3. ISV プロキシ証明書を SCCM サーバにコピーする

  4. ISV プロキシ証明書を SCCM に登録する

一般的な要件

エンタープライズ CA を使用して Jamf SCCM プラグインの証明書を構成するには、ISV プロキシ証明書を作成する必要があります。

そのためには、以下が必要です。

  • サードパーティ CA による PKI (Jamf Pro に内蔵されている CA ではありません)

  • SHA-2 署名アルゴリズムによる PKI 証明書

  • 認証局スナップインをインストールしてあるコンピュータ

  • SCCM サーバへのコントロールアクセス

  • SCCM コンソールへの管理者権限

ステップ 1: 証明書テンプレートを作成する

要件

エンタープライズ CA から SHA-256 証明書を発行するには、CA が Windows Server 2008 以上を実行しており、デフォルトのハッシュアルゴリズム SHA-256 を使用する必要があります (ルート CA または下位 CA から発行される証明書のデフォルトのハッシュアルゴリズムが SHA-256 でなければなりません)。また CA は CSP (Cryptographic Storage Provider (暗号化ストレージプロバイダー)) ではなく CNG (Cryptographic Next Generation (次世代暗号化)) プロバイダでなければなりません。

  1. 認証局スナップインをインストールしてある Windows コンピュータで認証局を開きます。
  2. サイドバーの認証局を展開します。
  3. Certificate Templates (証明書テンプレート) フォルダを右クリックして展開し、Manage (管理) を選択します。
  4. Template Manager (テンプレート管理) ウィンドウで Workstation (ワークステーション) テンプレートを右クリックして Duplicate Template (テンプレートの複製) を選択します。
  5. 表示されるダイアログの Compatibility (互換性) タブで Windows Server 2003 または Windows Server 2008 のオプションを選択して OK をクリックします。
  6. Cryptography (暗号) タブで Legacy Cryptographic Storage Provider (レガシー暗号化ストレージプロバイダ) のプロバイダカテゴリを選択します。
    注:

    キーの最小サイズが 2048 であり、リクエスト元が以下のプロバイダであることを確認します。Microsoft Enhanced RSA and AES Cryptographic Provider。

  7. General (一般) タブでテンプレートに付ける表示名を入力し、Publish certificate in Active Directory (Active Directory の証明書を発行する) チェックボックスを選択します。
  8. Subject Name (件名) タブをクリックし、Subject name format (件名フォーマット) ポップアップメニューで Common name (コモンネーム) を選択します。
  9. Security (セキュリティ) タブをクリックし、ISV プロキシ証明書を作成する予定のユーザに読み取りと登録の権限があることを確認します。次いで、OK をクリックします。
  10. Template Manager (テンプレート管理) ウィンドウを閉じます。
  11. 認証局ツールのサイドバーでCertificate Templates (証明書テンプレート) フォルダを右クリックして New (新規作成) > Certificate Template to Issue (発行する証明書のテンプレート) を選択します。
  12. 作成したテンプレートを選択して OK をクリックします。

ステップ 2: テンプレートから ISV プロキシ証明書を作成する

  1. Jamf SCCM Proxy Service のインストール先になる Windows コンピュータで Microsoft Management Console (MMC) を開きます。
  2. メニューバーから File (ファイル) > Add/Remove Snap-in (スナップインの追加/削除) を選択します。
  3. スナップインのリストでCertificates (証明書)を選択して Add (追加) ボタンをクリックします。
  4. Computer account (コンピュータアカウント) オプションを選択して Next (次へ) をクリックします。
  5. Local computer (the computer this console is running on) (ローカルコンピュータ (このコンソールを実行しているコンピュータ)) オプションを選択します。
  6. Finish (完了) をクリックして OK をクリックします。サイドバー内で Console Root (コンソールルート) フォルダの下に証明書が表示されます。
  7. 証明書 (ローカルコンピュータ) の見出しを展開します。
  8. Certificates (Local Computer) (証明書 (ローカルフォルダ)) 見出しの下にある Personal (個人用) フォルダを右クリックして All Tasks (すべてのタスク) > Request New Certificate (新しい証明書のリクエスト) を選択します。
  9. 画面の指示に従って、先ほど作成したテンプレートの横にあるチェックボックスを選択します。Enroll (登録) をクリックします。
    注:

    テンプレートが表示されていない場合、ISV プロキシ証明書を作成したユーザに読み取りと登録の権限があることを確認してください。

    新しく作成した証明書が証明書リストに表示されます。

  10. 新しく作成した証明書を右クリックして Properties (プロパティ) を選択します。
  11. 証明書のフレンドリ名を入力して OK をクリックします。フレンドリ名には「Jamf SCCM Proxy Certificate」を使用することをお勧めします。
  12. もう一度 OK をクリックします。
  13. 証明書を右クリして All Tasks (すべてのタスク) > Export (エクスポート) を選択します。
  14. 画面の指示に従って、証明書を DER エンコードの .cer ファイルとしてエクスポートします。

ステップ 3: ISV プロキシ証明書を SCCM サーバにコピーする

SCCM サーバ以外のサーバに ISV プロキシ証明書を作成した場合は、ISV プロキシ証明書 (.cer) を SCCM をサーバにコピーします。SCCM サーバ上に ISV 証明書を作成した場合は、このステップをスキップできます。

ステップ 4: ISV プロキシ証明書を SCCM に登録する

  1. SCCM サーバ上で SCCM を開き、サイドバーの Administration (管理) カテゴリをクリックします。
  2. Security (セキュリティ) フォルダを展開します。
  3. Certificates (証明書) の見出しを右クリックして Register or Renew ISV Proxy (ISV プロキシの登録または更新) を選択します。
  4. Register or Renew ISV Proxy (ISV プロキシの登録または更新) ダイアログで Register certificate for a new ISV proxy (新しい ISV プロキシの証明書を登録する) オプションを選択して ISV プロキシ証明書 (.cer) を閲覧します。
  5. OK をクリックして Register or Renew ISV Proxy (ISV プロキシの登録または更新) ダイアログを閉じます。
  6. ISV プロキシ証明書の証明書 GUID を書き留めておきます。後で Jamf SCCM Proxy Service をインストール際にこれを入力する必要があります。
    注:

    Certificate GUID (証明書 GUID) 列が表示されていない場合は、列見出しを右クリックして Certificate GUID (証明書 GUID) を選択します。