CMG サーバー認証証明書

Configuration Manager (現在のブランチ) に適用

クラウド管理ゲートウェイ (CMG) を設定する最初の手順は、サーバー認証証明書を取得することです。 CMG は、インターネット ベースのクライアントが接続する HTTPS サービスを作成します。 サーバーには、セキュリティで保護されたチャネルを構築するためのサーバー認証証明書が必要です。 この目的のために、公開プロバイダーから証明書を取得することも、公開キー インフラストラクチャ (PKI) から発行することもできます。

Configuration Manager コンソールで CMG を作成するときは、この証明書を指定します。 この証明書の共通名 (CN) は、CMG のサービス名を定義します。

注:

クライアントと管理ポイントに追加の証明書が必要になる場合があります。 これらの証明書については、CMG セットアップ プロセスの 3 番目の手順であるクライアント 認証の構成に関するページを参照してください。

この記事で使用される CMG 用語のリマインダー:

  • サービス名: CMG サーバー認証証明書の共通名 (CN)。 クライアントと CMG 接続ポイントサイト システムの役割は、このサービス名と通信します。 たとえば、GraniteFalls.contoso.com および GraniteFalls.WestUS.CloudApp.Azure.Com が禁止となります。

  • デプロイ名: サービス名の最初の部分と、クラウド サービスデプロイの Azure の場所。 サービス接続ポイントのクラウド サービス マネージャー コンポーネントは、Azure に CMG をデプロイするときにこの名前を使用します。 デプロイ名は常に Azure ドメイン内にあります。 Azure の場所は、デプロイ方法によって異なります。例:

    • 仮想マシン スケール セット: GraniteFalls.WestUS.CloudApp.Azure.Com
    • クラシック デプロイ: GraniteFalls.CloudApp.Net

    重要

    この記事では、バージョン 2107 以降で推奨されるデプロイ方法として、仮想マシン スケール セットの例を使用します。 クラシック デプロイを使用する場合は、この記事を読み、サーバー認証証明書を準備するときに違いに注意してください。

証明書の種類を選択する

まず、証明書を取得する場所を決定します。 考慮すべきいくつかの要因があります。

クライアントは CMG サーバー認証証明書を信頼して、CMG サービスで HTTPS チャネルを確立する必要があります。 この信頼を実現するには、次の 2 つの方法があります。

  1. パブリックでグローバルに信頼された証明書プロバイダーの証明書を使用します。

    • Windows クライアントには、これらのプロバイダーからの信頼されたルート証明機関 (CA) が含まれています。 これらのプロバイダーの 1 つによって発行された証明書を使用すると、クライアントによって自動的に信頼されます。

    • この証明書には、プロバイダー固有のコストが関連付けられています。

  2. 公開キー インフラストラクチャ (PKI) からエンタープライズ CA によって発行された証明書を使用します。

    • ほとんどのエンタープライズ PKI 実装では、信頼されたルート CA が Windows クライアントに追加されます。 たとえば、グループ ポリシーで Active Directory 証明書サービスを使用する場合です。 クライアントが自動的に信頼しない CA から CMG サーバー認証証明書を発行する場合は、CA 信頼されたルート証明書をインターネット ベースのクライアントに追加します。

      Intune から Configuration Manager クライアントをインストールする予定の場合は、Intune 証明書プロファイルを使用してクライアントに証明書をプロビジョニングすることもできます。 詳細については、「 証明書プロファイルの構成」を参照してください。

    • 組織には、証明書を発行するための内部コストがある場合がありますが、一般に、この証明書に関連付けられている外部コストはありません。

重要

この証明書を取得する前に、クラウド サービスとストレージ アカウントのサービス名がグローバルに一意であることを確認してください。 また、名前でサポートされている文字が使用されていることを確認します。 詳細については、「 グローバルに一意の名前」を参照してください。

証明書の種類の概要比較

パブリック プロバイダー エンタープライズ PKI
クライアントの信頼 既定で Windows で信頼されている 一部の実装で自動、それ以外の場合はデプロイする必要がある
Cost はい 一般的ではありません
サービス名の例 GraniteFalls.contoso.com GraniteFalls.contoso.com または GraniteFalls.WestUS.CloudApp.Azure.Com
DNS CNAME が必要 はい Azure ドメイン サービス名の場合はいいえ (GraniteFalls.WestUS.CloudApp.Azure.Com)

注:

CMG サーバー認証証明書では、ワイルドカードがサポートされています。 証明機関によっては、サービス名プレフィックスにワイルドカード文字を使用して証明書を発行する場合があります。 たとえば、「 *.contoso.com 」のように入力します。 組織によっては、ワイルドカード証明書を使用して PKI を簡素化し、メンテナンス コストを削減しています。

CMG でワイルドカード証明書を使用する方法の詳細については、「CMG の 設定」を参照してください。

グローバルに一意の名前

この証明書には、Azure のサービスを識別するためにグローバルに一意の名前が必要です。 証明書を要求する前に、必要な Azure デプロイ名 が一意であることを確認します。 たとえば、「 GraniteFalls.WestUS.CloudApp.Azure.Com 」のように入力します。

仮想マシン スケール セット

  1. Azure portal にサインインし

  2. Azure portal のホーム ページで、[Azure サービス] で [リソースの作成 ] を選択します。

  3. 仮想マシン スケール セットを検索します。 [作成] を選択します。

  4. CMG に使用する サブスクリプションリソース グループ を選択します。

  5. [ 仮想マシン スケール セット名 ] フィールドに、必要なプレフィックスを入力します。 たとえば、「 GraniteFalls 」のように入力します。

  6. CMG に使用する リージョン を選択します。 たとえば、 (米国) 米国西部などです。

インターフェイスには、ドメイン名が使用可能か、別のサービスによって既に使用されているかが反映されます。

重要

ポータルでサービスを作成しないでください。このプロセスを使用して、名前の可用性を確認するだけです。

Key Vault リソースに対してこのプロセスを繰り返します。 仮想マシン スケール セットのデプロイでは、同じ名前のキー コンテナーが作成されます。これもグローバルに一意である必要があります。

コンテンツ対応 CMG ストレージ アカウント

コンテンツに対して CMG も有効にする場合は、一意の Azure ストレージ アカウント名でもあることを確認します。 CMG デプロイ名が一意であってもストレージ アカウントが一意でない場合、Configuration Manager は Azure でサービスのプロビジョニングに失敗します。 Azure portal で上記のプロセスを繰り返し、次の変更を加えます。

  • ストレージ アカウントを検索します。

  • [ ストレージ アカウント 名] フィールドで自分の名前をテストします。

重要

DNS 名プレフィックスは 3 から 24 文字の長さにし、数字と小文字のみを含める必要があります。 ダッシュ (-) などの特殊文字は使用しないでください。 例: granitefalls

証明書を発行する

CMG サーバー認証証明書では、次の構成がサポートされています。

  • 2048 ビットまたは 4096 ビットのキー長

  • この証明書は、証明書秘密キー (v3) のキー ストレージ プロバイダーをサポートします。 詳細については、「 CNG v3 証明書の概要」を参照してください。

パブリック プロバイダー証明書を使用する

サード パーティの証明書プロバイダーは、microsoft がそれらのドメインを所有しているため、 cloudapp.azure.comのような Azure ドメインの証明書を作成できません。 取得できるのは、所有しているドメインに対してのみ発行された証明書です。 サード パーティのプロバイダーから証明書を取得する主な理由は、クライアントがそのプロバイダーのルート証明書を既に信頼していることです。

この証明書を取得する特定のプロセスは、プロバイダーによって異なります。 詳細については、サード パーティの証明書プロバイダーにお問い合わせください。

Web サーバー証明書の共通名 (CN) の場合:

  • クラウド サービスとストレージ アカウントの デプロイ名 が Azure で グローバルに一意 であることを確認しました。 たとえば、「 GraniteFalls.WestUS.CloudApp.Azure.Com 」のように入力します。

  • サービス名を確認するには、展開名プレフィックス (GraniteFalls) を組織のドメイン名 (contoso.com) に追加します。

  • 証明書の共通名 (CN) には、この サービス 名を使用します。 たとえば、「 GraniteFalls.contoso.com 」のように入力します。

次に、 DNS CNAME エイリアスを作成する必要があります

エンタープライズ PKI 証明書を使用する

組織の PKI からの Web サーバー証明書の発行は、製品によって異なります。 クラウドベースの配布ポイントのサービス証明書を展開する手順は、Active Directory Certificate Services 用です。 このプロセスは通常、CMG サーバー認証証明書に適用されます。

Web サーバー証明書の共通名 (CN) の場合:

  • クラウド サービスとストレージ アカウントの デプロイ名 が Azure で グローバルに一意 であることを確認しました。 たとえば、「 GraniteFalls.WestUS.CloudApp.Azure.Com 」のように入力します。

  • サービス名を特定するには、次の 2 つのオプションがあります。

    • ドメイン名を使用します (推奨)。 展開名プレフィックス (GraniteFalls) を組織のドメイン名 (contoso.com) に追加します。 たとえば、「 GraniteFalls.contoso.com 」のように入力します。 このオプションでは、 DNS CNAME エイリアスも作成する必要があります

    • Azure デプロイ名を使用します。 このオプションでは、DNS CNAME エイリアスは必要ありません。 例:

      • Azure パブリック クラウドの場合: GraniteFalls.WestUS.CloudApp.Azure.Com

      • Azure US Government クラウドの場合: GraniteFalls.usgovcloudapp.net

      注:

      Azure デプロイ名が変更された場合は、サービスを再デプロイしてこのサービス名を変更する必要があります。 たとえば、サービス名が cloudapp.net ドメインにある場合、クラシック クラウド サービス CMG を仮想マシン スケール セットに変換することはできません。 CMG サービス名にドメイン名を使用する場合は、新しいデプロイ名の DNS CNAME を更新できます。

  • 証明書の共通名 (CN) には、この サービス 名を使用します。

DNS CNAME エイリアスを作成する

CMG サービス名で組織のドメイン名 (GraniteFalls.contoso.com) を使用する場合は、DNS 標準名レコード (CNAME) を作成する必要があります。 このエイリアスは、 サービス名デプロイ名にマップします。

組織のパブリック DNS に CNAME レコードを作成します。 Azure の CMG サービスと、それを使用するすべてのクライアントは、サービス名を解決する必要があります。 例:

  • Contoso は CMG GraniteFalls という名前を付けます

  • Azure のデプロイ名は GraniteFalls.WestUS.CloudApp.Azure.Com

  • Contoso のパブリック DNS contoso.com名前空間で、DNS 管理者は、Azure デプロイ名GraniteFalls.WestUS.CloudApp.Azure.ComGraniteFalls.contoso.comサービス名の新しい CNAME レコードを作成します。

CMG を作成すると、証明書は CN として GraniteFalls.contoso.com されますが、Configuration Manager ではサービス名プレフィックス (例: GraniteFalls) のみが抽出されます。 このプレフィックスを Azure サービス ドメイン (cloudapp.azure.com) にリージョン (westus) と共に追加して、デプロイ名を作成します。 たとえば、「 GraniteFalls.WestUS.CloudApp.Azure.Com 」のように入力します。 ドメイン (contoso.com) の DNS 名前空間の CNAME エイリアスは、これら 2 つの FQDN を一緒にマップします。

Configuration Manager クライアント ポリシーには、CMG サービス名 ( GraniteFalls.contoso.com) が含まれています。 クライアントは、CNAME エイリアスを使用してサービス名をデプロイ名 ( GraniteFalls.WestUS.CloudApp.Azure.Com) に解決します。 その後、デプロイ名の IP アドレスを解決して、Azure のサービスと通信できます。

次の手順

Microsoft Entra ID を構成して CMG のセットアップを続行します。