SCCM2012のインストール ~ https編

SCCM2012をインストールするときには、管理ポイントと配布ポイントをhttpsで通信するように選択できます。
httpを選択しても、十分すぎるぐらい面倒くさいSCCM2012のインストールですが、
httpsを選択すると、もっと面倒くさいセットアップ手順が待ち受けています。
httpsを使わないと利用できない機能(MacOSのSCCMクライアント化など)もあるので、ここでは、httpsベースでSCCM2012をインストールするために必要な手順を紹介します。

証明機関の準備

httpsを使うということは、証明書が必要となります。自己署名証明書でもできなくはないのでしょうが、非常に実装が面倒になるので、ここではActive Directory証明書サービスを使って実装します。

1.サーバーマネージャーから役割として、Active Directory証明書サービスを追加します。
証明書サービスは「エンタープライズCA」としてインストールしてください。

2.[証明機関]管理ツールを起動し、[証明書テンプレート]を右クリックして管理画面を表示します。

3.[証明書テンプレートコンソール]画面で、[Webサーバー]を右クリックして複製します。
このとき、複製するテンプレートのバージョンをWindows Server 2003にしておかないと、あとで問題になります。
複製したテンプレートには、以下の設定を行ってください。
・テンプレート表示名 ConfigMgr Web Server Certitication (名前なのでなんでもよい)
・サブジェクト名 Active Directoryの情報から構築 – サブジェクト名の形式:共通名
・SCCMのサーバーとなるコンピューターアカウントに読み取りと登録のアクセス許可

4.同様に、[証明書テンプレートコンソール]画面で、[ワークステーション認証]を右クリックして複製します。
このとき、複製するテンプレートのバージョンをWindows Server 2003にしておかないと、あとで問題になります。
複製したテンプレートには、以下の設定を行ってください。
・テンプレート表示名 ConfigMgr Client Certitication (名前なのでなんでもよい)
・サブジェクト名 Active Directoryの情報から構築 – サブジェクト名の形式:なし
・秘密キーのエクスポートを許可
・SCCMのサーバーとなるコンピューターアカウントに読み取りと登録のアクセス許可

5.[証明機関]管理ツールに戻り、[証明書テンプレート]を右クリックして[新規作成]-[発行する証明書テンプレート]をクリックします。

6.[証明書テンプレートの選択]から、手順3と4で作成した2つの証明書テンプレートを追加します。

ここまででご覧の様な証明書テンプレートが追加されているはずです。
image

特に、手順3と4の設定を間違っていると、あとで取り返しのつかないことになり、最悪、再インストールになりかねません(これで、何回涙を飲んだことか。。)。十分に確認して進めましょう。

証明書のサイトサーバーへの実装

今度はサイトサーバーに移って、サイトサーバーにWebサーバー証明書を発行し、SSLサイトを構築します。

1.サイトサーバーでmmcを起動し、スナップインとして証明書(コンピューター)を追加します。
[証明書]-[個人]-[証明書]を右クリックし、[新しい証明書の要求]をクリックします。
image

2.前の手順で作成した証明書テンプレートである、ConfigMgr Web Server Certitication にチェックをつけます。
さらに、[プロパティ]をクリックして
image

3.証明書のプロパティで別名の[DNS]にサイトシステムにアクセスするためのFQDNを追加します。
イントラネットからのアクセスをするためのFQDNとインターネットからのアクセスをするためのFQDNの両方を入れておくとよいでしょう。
image

4.2.の画面に戻って[登録]をクリックすると、証明書が発行されることが確認できます。
image

5.次にIISの管理ツールを開き、サーバー証明書の設定画面を出します。
image

6.前の手順で作成した証明書がこちらにも表示されていることを確認します。
image

7.Default Web Siteに移動し、右クリックから[バインドの編集]をクリックします。
image

8.サイトバインド画面で、[追加]をクリックし、種類-https、SSL証明書-<サイトサーバーのFQDN>をそれぞれ選択して、
すべてのダイアログで[OK]をクリックします。
image

ここまでの設定で、Webサーバー証明書をサイトサーバーに実装しました。
もし、管理ポイントと配布ポイントをサイトサーバーとは異なるサーバーに実装するのであれば、それらのサーバーにも同様の手順でWebサーバー証明書を実装する必要があります(検証していませんが、理論上、そうなると思います)。

一方、ConfigMgr Client Certitication 証明書テンプレートから作成する、クライアント証明書ですが、サイトシステムとなるサーバーにも実装する必要があります。ドメインに参加しているコンピューターであれば、グループポリシーが適用されることにより、自動的にクライアント証明書が発行されますので、「gpupdate /force」を一回実行しておきましょう。

SCCMのインストール

SCCMをインストールします。インストール方法については、他の投稿を見ていただくこととして、ここではhttpsベースの管理ポイント、配布ポイントを実装するための設定箇所だけ紹介します。

SCCMのセットアップウィザードの中で、[クライアントコンピューターの通信設定]の画面が表示されるので、
[すべてのサイトシステムの役割でクライアントからのHTTPS通信のみ受け付ける]を選択します。
cmsetup1

続く[サイトシステムの役割]では、管理ポイントと配布ポイントをインストールするようにチェックをつけ、HTTPSで接続するように設定されていることを確認します。
cmsetup2

配布ポイントで使用する証明書の変更

インストールが終わったら、続いて配布ポイントで使用する証明書を変更します。
配布ポイントでは、デフォルトで使われる証明書が自己署名証明書になっています。そのため、サーバーに自動的にインストールされるクライアント証明書を配布ポイントに実装する必要があります。

1.サイトサーバーでmmcを起動し、スナップインとして証明書(コンピューター)を追加します。
[証明書]-[個人]-[証明書]をクリックし、ConfigMgr Web Server Certificate証明書テンプレートから発行された証明書を右クリックして、エクスポートします。エクスポート形式はデフォルトで結構です。
また、エクスポートするときに、パスワードの入力を求められるので、ここで入力したパスワードは覚えておきましょう。
image

2.Configuration Managerコンソールを起動し、[管理]-[サイトの構成]-[サーバーとサイトシステムの役割]から[配布ポイント]のプロパティを開きます。
image

3.[証明書をインポートする]を選択して、1.の手順でエクスポートした証明書ファイルのパスとパスワード(1.の手順で設定したパスワード)を入力して、OKをクリックします。
image

ここまでの設定で出来上がりです。

レジストリ設定の変更

本当だったら、ここまでの設定で出来上がりなのでしょうが、私の環境ではうまく動作しないケースがありました。
そこで、いろいろ調べていたら、レジストリのHKEY_LOCAL_MACHINESOFTWAREMicrosoftSMSDPにある、httpportとMPPortをそれぞれ443にしなさいとの情報を得て、設定してみたら、うまく動作するようになりました。

■Error PXE-E53 – RequestMPKeyInformation: Send() failed
http://www.windows-noob.com/forums/index.php?/topic/6245-error-pxe-e53-requestmpkeyinformation-send-failed/

image

以上です。
いくつもの苦労が待ち受けていますが、苦労の先には、果実が待ち受けているはず??

スポンサーリンク
  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメント

  1. いつも参考にさせていただいています。

    紹介頂いた手順で構成したところ、ドメイン環境のクライアントは問題なく接続出来たのですが、ワークグループの端末はCRLの確認を無効化してあげないと接続ができませんでした。参考にお伝えさせて頂きます。

    http://ebi.dyndns.biz/windowsadmin/2013/02/19/sccm-2012%E3%81%A7%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E7%AB%AF%E6%9C%AB%E3%82%92https%E6%8E%A5%E7%B6%9A%E3%81%A7%E7%AE%A1%E7%90%86%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95/

    • sophiakunii より:

      Ebisudaさん、ご連絡ありがとうございます。
      ご指摘の通り、ワークグループ端末ではCRLの確認ができない(CDPにアクセスできない)のでしょうね。

      みなさん、ワークグループ端末では要注意ですよ!

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*