自己署名証明書の要件の概要
トピックの最終更新日: 2009-05-27
このセクションでは、自己署名証明書のインストールが必要なモバイル デバイスの概要を説明します。社内でパブリック証明機関 (CA) を使用している場合、ルート証明書がモバイル デバイスに既にインストールされていることがあります。証明書のインストールは重要な作業です。このセクションの内容は、自己署名証明書をモバイル デバイスにインストールする必要があるユーザーにとってのみ重要です。証明書をインストールするときは、Communicator Mobile が稼動していないことを確認してください。確認しない場合、証明書を使用する際にデバイスの再起動が必要になることがあります。
証明書の役割
Office Communicator Mobile の接続先となる Office Communications Server 2007 R2 を証明書によって認証することにより、ネットワークのセキュリティを保護することができます。認証を行うには、サーバー証明書に含まれるルート証明書をデバイスにインストールする必要があります。社内でパブリック証明機関 (CA) を使用している場合は、ルート証明書がユーザーのモバイル デバイスに既にインストールされていることがあります。
既定では、Windows Mobile 搭載デバイスにさまざまな証明書が付属しています。Windows Mobile 6 搭載デバイスに現在付属している証明書の一覧については、Microsoft Web サイトの「Certificates for Windows Mobile 5.0 and Windows Mobile 6 (Windows Mobile 5.0 および Windows Mobile 6 の証明書)」を参照してください。操作を続ける前に、サーバー証明書の一部であるルート証明書がモバイル デバイスにインストールされていないことを確認する必要があります。
証明書ツール
ここでは、Windows Mobile 搭載デバイスにルート証明書をインストールするためのツールとポリシーを紹介し、さまざまなインストール手順について説明します。証明書をインストールする前に、Windows Mobile デバイスに証明書をインストールするときに使用するツールやポリシーについて、よく理解しておいてください。
SPAddCert
SPAddCert ユーティリティでは、制限なしのアプリケーション セキュリティ ポリシーを使用する Windows Mobile ベースのデバイスにルート証明書を追加できます。ただし、このユーティリティは中間 CA 証明書のインストールには使用できません。
デバイスが携帯電話会社によって制限されている場合は、SPAddCert を実行しようとすると、次のエラー メッセージが返されます。「このデバイスは現在セキュリティで保護されているため、証明書をルート ストアに追加することはできません。詳細については、デバイス管理者に問い合わせてください。」
制限されたデバイスで実行できるのは、携帯電話会社によって配布されている署名済みのバージョンの SPAddCert のみです。SPAddCert ユーティリティの詳細およびダウンロードについては、マイクロソフト サポート技術情報の記事 841060「Windows Mobile 2003 ベースの Smartphone と Windows Mobile 2002 ベースの Smartphone にルート証明書を追加する方法」(https://go.microsoft.com/fwlink/?LinkId=126908) を参照してください。
SPAddCert に関するメモ
- SPAddCert のように署名のないアプリケーションをデバイスで実行するには、デバイスの Unsigned Applications ポリシー (4102) を 1 に設定する必要があります。既定の値は 0 です。このポリシーが適切に設定されていないと、SPAddCert の処理は失敗します。
- このポリシー設定は、レジストリを手動で編集して変更できます。これを行うと、署名のない他のアプリケーションも実行できるようになり、セキュリティ上、危険である場合があります。
- レジストリ内のポリシー設定を変更するには、レジストリ キー HKEY\LOCAL_MACHINE\Security\Policies\Policies\ へ移動します。00001006 (4102) の下の値を 1 に変更します。必要に応じて新しい DWORD 値を作成します。
Certinst と Grant Manager ポリシー
Certinst は、Pocket PC デバイスに内蔵されているユーティリティであり、これにより、選択した証明書がインストールされます。ルート証明書または中間 CA 証明書のインストールに使用できます。Grant Manager ポリシーは、Window Mobile ベースのデバイスに用意されているセキュリティ ポリシーで、新しいアプリケーションや証明書のインストール時などに、デバイス上のリソースへのアクセス レベルを指定できます。たとえば、組み込みの Certinst ユーティリティを使用して Pocket PC に証明書をインストールするには、そのデバイスの Manager ロールをアカウントに付与する必要があります。Grant Manager ポリシーの値を USER_AUTH (16) に設定すると、アカウントに Manager ロールが付与されます。
Certinst と Grant Manager に関するメモ
- Certinst を正常に実行するには、デバイスの Grant Manager ポリシー (4119) を 16 に設定して USER_AUTH ロールにする必要があります。既定では、このポリシーは 128 (OPERATOR_TPS ロール) に設定されています。このポリシーが適切に設定されていないと、Certinst の処理は失敗します。
レジストリまたはデバイス プロビジョニング ファイルを編集して、手動で USER_AUTH ロールを追加することができます。ただし、これを行うと、USER_AUTH のセキュリティ ロールがシステムの管理者特権に格上げされ、セキュリティ上、危険である場合があります。
レジストリ内のポリシー設定を変更するには、レジストリ キー HKEY\LOCAL_MACHINE\Security\Policies\Policies\ へ移動します。[00001017 (4119)] の値を 16 に変更します。 - Grant Manager ポリシーの変更に使用するレジストリ エディタがデバイスに組み込まれていない場合は、Web 上で提供されている無料のレジストリ エディタを使用できます。