スタンドアロンルート証明局を立てて行う。 エンタープライズ証明局の場合は、後述の手順が追加で必要となる。

A. Workgroup環境のコンピュータにAgentを登録する手順

<管理サーバー>

  • (1)-(a) CA に証明書を要求する。
  • (2)-(b) 保留中の証明書要求を承認する。
  • (3)-(c) 証明書を取得する。 (* 4)-(d) 証明書のエクスポート

<エージェントインストール対象のサーバー>

  • (5)-(e) 証明書チェーンをインストールする
  • (6)-(f) 信頼されたルート証明書をローカルコンピュータにコピーする
  • (7)-(a) CA に証明書を要求する。
  • (8)-(b) 保留中の証明書要求を承認する。
  • (9)-(c) 証明書を取得する。
  • (10)-(d) 証明書のエクスポート

<管理サーバー>

  • (11)-(g) MOMCertImport を使用して証明書をインポートする

<エージェントインストール対象のサーバー>

  • (12)-(g) MOMCertImport を使用して証明書をインポートする

(a) CA に証明書を要求する。

  1. 証明書をインストールするコンピュータ (管理サーバーやエージェントインストール対象のサーバー) にログオンする。
  2. Internet Explorer を起動し、証明書サービスのホスト コンピュータ (http://<サーバー名>/certsrv など) に接続する。
  3. [Microsoft 証明書サービス] ページで [証明書を要求する] をクリックする。
  4. [証明書の要求] ページで [証明書の要求の詳細設定] をクリックする。
  5. [証明書の要求の詳細設定] ページで [この CA への要求を作成し送信する。] をクリックする。
  6. [証明書の要求の詳細設定] ページで次の処理を行う。
    1. [識別情報] の [名前] フィールドに、証明書の要求対象のコンピュータ(管理サーバーやエージェントインストール対象のサーバー) の完全修飾ドメイン名 (FQDN) を入力します。残りのフィールドに、適切な情報を入力する。
      ※注意 [名前] フィールドに入力した FQDN がコンピュータ名と一致しない場合は、イベント ID 20052 (タイプ : エラー) が生成される。
    2. [必要な証明書の種類] で、リストをクリックして [その他] を選択します。[OID]フィールドに「1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2」と入力する。
      ※注意 ひとつだけコンマがあるので、注意。
    3. [キーのオプション] で [新しいキーセットを作成する] をクリックし、 [CSP] フィールドで [Microsoft Enhanced Cryptographic Provider v1.0] を選択する。
      [キー使用法] で [両方] を選択し、[キーのサイズ] で業務上のニーズに最も合うキー サイズを選択する。
      [自動キー コンテナ名] を選択し、[エクスポート可能なキーとしてマークする] と[ローカル コンピュータの証明書ストアに証明書を格納する] を選択する。
      ※[キーをファイルへエクスポートする] と [秘密キーの保護を強力にする] は選択しない。
    4. [追加オプション] の [要求の形式] で [CMC] を選択する。
      [ハッシュ アルゴリズム] リストで [SHA-1] を選択する。
      ※[要求をファイルへ保存します。] の選択は解除する。
      [フレンドリ名] フィールドに、証明書の要求対象のコンピュータ(管理サーバー)の完全修飾ドメイン名 (FQDN) を入力する。
    5. [送信] をクリックする。
    6. [潜在するスクリプト違反] ダイアログ ボックスが表示されたら、[はい] をクリックする。
    7. [保留中の証明書] ページが表示されたら、ブラウザを閉じる。

(b) 保留中の証明書要求を承認する。

※証明書サービスが証明書を自動承認するように構成されている場合は、本手順は省略。

  1. 管理者権限をもつユーザーで、証明書サービスをホストしているコンピュータにログオンする。
  2. Windows デスクトップで [スタート] ボタンをクリックし、[プログラム]、[管理ツール] の順にポイントして [証明機関] をクリックする。
  3. [証明機関] で、該当する証明機関名のノードを展開して [保留中の要求] をクリックする。
  4. 結果ウィンドウで、上の手順の保留中の証明書を右クリックし、[すべてのタスク] をポイントして [発行] をクリックする。
  5. [発行した証明書] をクリックし、今発行した証明書が表示されていることを確認する。
  6. [証明機関] を閉じる。

(c) 証明書を取得する。

  1. 証明書をインストールするコンピュータ(管理サーバーやエージェントインストール対象のサーバー) にログオンする。
  2. Internet Explorer を起動し、証明書サービスのホスト コンピュータ (http://<サーバー名>/certsrv など) に接続する。
  3. [Microsoft 証明書サービス] ページで [保留中の証明書の要求の状態] をクリックする。
  4. [保留中の証明書の要求の状態] ページで、要求した証明書をクリックする。
  5. [証明書は発行されました] ページで [この証明書のインストール] をクリックする。
  6. [潜在するスクリプト違反] ダイアログ ボックスで [はい] をクリックする。
  7. 「新しい証明書は正しくインストールされました。」というメッセージが表示されたら、ブラウザを閉じる。

(d) 証明書のエクスポート

  1. 証明書をインストールしたコンピュータ (管理サーバーやエージェントインストール対象のサーバー) に管理者権限のあるアカウントでログオンする
  2. [スタート]-> [ファイル名を指定して実行] から “MMC” を実行する。
  3. メニューバーの 「ファイル」から「スナップインの追加と削除」を実行する。
  4. 「証明書」スナップインを追加する。その際に「管理する証明書」は「コンピュータアカウント」を選択する。「このスナップインで管理コンピュータ」は「ローカルコンピュータ」を選ぶ。
  5. 「証明書(ローカルコンピュータ)」-「個人」-「証明書」を選択し、右ペインで、自身の FQDN が発行先およびフレンドリ名となっている証明書を選択し、右クリックから「すべてのタスク」-「エクスポート」を実行する。
    「証明書(ローカルコンピュータ)」-「個人」-「証明書」に証明書が存在しない場合は、「証明書 (現在のユーザー)」の方に格納されているので、対象の証明書を「証明書(ローカルコンピュータ)」-「個人」-「証明書」へ移動する。
  6. エクスポートウィザードを進める。以下の箇所のみ入力および変更する。
    • 秘密キーをエクスポートするように選択する。
    • パスワードを入力する。
    • エクスポートするファイル名を指定する。
  7. 完了ボタンをクリックする。

(e) 証明書チェーンをインストールする

  1. 証明書をインストールするコンピュータ (管理サーバーやエージェントインストール対象のサーバー) にログオンする。
  2. Internet Explorer を起動し、証明書サービスのホスト コンピュータ (http://<サーバー名>/certsrv など) に接続する。
  3. [Welcome] ページで、[CA 証明書、証明書チェーン、または CRL のダウンロード] をクリックする。
  4. [CA 証明書、証明書チェーン、または CRL のダウンロード] ページで [この CA 証明書チェーンのインストール] をクリックする。
  5. [潜在するスクリプト違反] ダイアログ ボックスで [はい] をクリックする。
  6. [CA 証明書のインストール] ページで「CA 証明書チェーンは正しくインストールされました。 」が表示されたら、Internet Explorer を閉じる。

(f) 信頼されたルート証明書をローカルコンピュータにコピーする

  1. 証明書をインストールするコンピュータ (管理サーバーやエージェントインストール対象のサーバー) に管理者権限のあるアカウントでログオンする
  2. [スタート]-> [ファイル名を指定して実行] から “MMC” を実行する。
  3. メニューバーの 「ファイル」から「スナップインの追加と削除」を実行する。
  4. 「証明書」スナップインを追加する。その際に「管理する証明書」は「コンピュータアカウント」を選択します。「このスナップインで管理コンピュータ」は「ローカルコンピュータ」を選ぶ。
  5. つづいて、もう一つ 「証明書」スナップインを追加する。その際に「管理する証明書」は「ユーザーアカウント」を選択する。
  6. 「証明書-現在のユーザー」-「信頼されたルート証明機関」-「証明書」を選択し、右ペインから、先ほどインストールした証明書をクリックし、右クリック - [コピー] を選択する。
  7. 「証明書(ローカルコンピュータ)」-「信頼されたルート証明機関」-「証明書」を選択し、右クリックから - [貼り付け] を実行する。

(g) MOMCertImport を使用して証明書をインポートする

Operations Manager 2007 には、Operations Manager を、証明書を使用するように構成する MOMCertImport とい、ユーティリティが含まれている。 MOMCertImport は、Operations Manager 2007 のインストール メディアの SupportTools にある。

  1. Administrators グループのメンバであるアカウントを使用して、コンピュータにログオンする。
  2. Windows デスクトップで [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックする。
  3. [ファイル名を指定して実行] ダイアログ ボックスで、「cmd」と入力して [OK] をクリックする。
  4. コマンド プロンプトで「<drive_letter>:」 (<drive_letter> は、Operations Manager 2007 のインストール メディアが配置されているドライブ名) と入力して Enter キーを押す。
  5. 「cd¥SupportTools¥i386」と入力して Enter キーを押す。
    ※注意 64 ビット コンピュータでは、「cd¥SupportTools¥amd64」と入力する。
  6. 次のように入力する。
    MOMCertImport <エクスポートしたpfx ファイル>
    
    例)
    MOMCertImport C:¥temp¥momcert.pfx
    
  7. Enter キーを押します。パスワードが求められる場合は、パスワードを入力する。
  8. [管理ツール] - [サービス] から OpsMgr Health Servce サービスを再起動する。

以下は、ACSの対象とする手順 本手順の前に、ACSを有効化し、Workgroup環境のコンピュータでACSエージェントが起動することを確認する。 なお、ACSを有効化しますと、SCOMコンソールのACS管理画面のフォワーダのイベントログに、AdtAgent ID:4369の警告が出力される

B. Workgroup環境のコンピュータをACSの対象とする手順

<管理サーバー>

  • (1)-(h) ACS 用の証明書を設定する。

<エージェントインストール対象のサーバー>

  • (2)-(i) ACS フォワーダ用コンピューター証明書をエクスポートする。

<ドメインコントローラ>

  • (3)-(j) ダミーアカウントの作成する。

<エージェントインストール対象のサーバー>

  • (4)-(k) ACS フォワーダ用コンピューターで証明書をインポートする。

(h) ACS 用の証明書を設定する

ACS コレクタサーバーadtserverへ証明書をインポートする。

  1. ACS コレクタの稼働しているサーバーに管理者権限のあるアカウントでログオンし、「コマンドプロンプト」を起動する。
  2. cd %systemroot%¥system32¥security¥adtserver と入力し ENTER キーを押す。
  3. net stop adtserver と入力し、ENTER キーを押す。
  4. adtserver -c と入力し ENTER キーを押す。
  5. 幾つかの証明書リストが表示されるので、Operations Manager のワークグループ監視用に取得した証明書を見つけ、リスト上の番号を入力してから、ENTER キーを押す。
  6. net start adtserver と入力し、 ENTERキーを押す。

(i) ACS フォワーダ用コンピューター証明書をエクスポートする手順

ACS フォワーダ用コンピューター証明書を、エクスポートして、ドメインコントローラから参照可能とする。

  1. ACS フォワーダの稼働しているワークグループコンピュータに管理者アカウントでログオンする。
  2. 「スタート」 - 「ファイル名を指定して実行」から 「 MMC 」を実行する。
  3. メニューバーの「ファイル」から「スナップインの追加と削除」を実行する。
  4. 「証明書」スナップインを追加する。その際に「管理する証明書」は「コンピュータアカウント」を選択します。「このスナップインで管理するコンピュータ」は「ローカルコンピュータ」を選ぶ。
  5. 「証明書(ローカルコンピュータ)」-「個人」-「証明書」を選択し、右ペインで、自身の FQDN が発行先となっている証明書を選択し、右クリックから「すべてのタスク」-「エクスポート」を実行する。
  6. エクスポートウィザードを進めます。以下の箇所のみ入力および変更する。
    • いいえ、秘密キーをエクスポートしません。
    • DER encoded binary X509(CER)
    • ファイル名

(j) ダミーアカウントの作成

  1. Active Directory ドメインコントローラに管理者権限でログオンする
  2. 「 Active Directory ユーザとコンピュータ」スナップインを開く
  3. 「 Computers 」フォルダを右クリックし、「新規作成」-「コンピュータ」を実行する。
  4. 「新しいオブジェクト-コンピュータ」ウインドウで、「コンピュータ名」欄に ACSフォワーダとして構成するワークグループコンピュータのコンピュータ名を指定する。
  5. 「次へ」をクリックし、「これは管理されているコンピュータです」にチェックが入っていないことを確認し、「次へ」をクリック、続いて「完了をクリックする。
  6. 引き続き今作成した、コンピュータオブジェクトを右クリックし、「名前のマッピング」を選択する。
  7. 「セキュリティ ID マッピング」ウインドウで、「追加」ボタンをクリックする。
  8. 手順 B. でエクスポートした監視対象コンピュータの証明書ファイルを選択し、追加する
    補足:事前に 2. でエクスポートしたファイルを現在作業しているドメインコントローラからアクセス出来るフォルダにコピーしておく。
  9. 「 OK 」をクリックする。

(k) ACS フォワーダ用コンピューターでの証明書のインポート

ACS フォワーダ用コンピューターでの証明書を、adtagentにインポートする

  1. ACS フォワーダの稼働しているコンピュータに管理者アカウントでログオンする
  2. コマンドプロンプトを開き、cd %systemroot%¥system32 と入力して ENTER キーを押す。
  3. adtagent -c と入力し ENTER キーを押す。
  4. インポートする証明書の候補が表示されるので、Operations Manager のワークグループ監視用に取得した証明書を見つけ、リスト上の番号を入力して、ENTER キーを押す
  5. ACS フォワーダサービスを再起動する。
  6. SCOMコンソールのACS管理画面のフォワーダのイベントログに、AdtAgent ID:4369の警告ではなく、ID:4368の情報に変化する。

エンタープライズCAを利用する場合は、以下の手順にてテンプレートを作成し、その作成書を利用して証明書を生成する。

[手順]

  1. エンタープライズ CA のホスト コンピュータで、「スタートメニュー」-「管理ツール] -「証明機関」を選択する。
  2. ナビゲーション ウィンドウで CA 名を展開し、「証明書テンプレート」を右クリックして 「管理」 を選択する。
  3. 「証明書テンプレート」コンソールの結果ウィンドウで、「 IPSec (オフライン要求)」を右クリックして「テンプレートの複製」を選択する。
  4. 「新しいテンプレートのプロパティ」ダイアログボックスの「全般」タブで、「テンプレートの表示名」テキストボックスに、このテンプレートの新しい名前を入力する。
  5. 「要求の処理」タブで「秘密キーのエクスポートを許可する」を選択して「 CSP 」を選択する。
  6. 「 CSP の選択」ダイアログボックスで業務上のニーズに最も合う暗号サービス プロバイダを選択して「 OK 」を押す。
    基本的に、下記2つを選択いただければ問題ない。
    ※注意
    Windows 2000 Server では Microsoft Enhanced Cryptographic Provider 1.0 が使用される。
    Windows Server 2003 以降では Microsoft RSA SChannel Cryptographic Provider が使用される
  7. 「拡張」タブをクリックし、「このテンプレートに含まれる拡張」で「アプリケーション ポリシー」を選択して 「編集」を選択する。
  8. 「アプリケーションポリシーの拡張の編集」ダイアログボックスで、「 IP セキュリティ IKE 中間」を選択して「削除」を選択する。
  9. 「追加」をクリックし、「アプリケーションポリシー」リストから複数の項目を選択します。Ctrl キーを押しながら 「クライアント認証」と「サーバー認証」をクリックして「 OK 」を選択する。
  10. 「アプリケーションポリシーの拡張の編集」ダイアログボックスで「 OK 」を選択する。

以上で証明書テンプレートの作成が完了する。

  1. 「証明機関」にて、「証明書テンプレート」を右クリックして「発行する証明書テンプレート」から、上記で作成したテンプレートを選択する。