Windows AzureをSCCM2012の配布ポイントとして利用

System Center 2012, Configuration Manager (SCCM 2012)のSP1からWindows Azureのストレージを配布ポイントして定義し、クラウドからSCCMクライアントデバイスに対してアプリケーションを配布できるようになりました。

ということで、実際に配布ポイントとして利用できるようにするために設定を行ってみたいと思います。

準備するもの

SCCM 2012
Active Directory証明書サービス
・サイトシステムとなっているサーバーに実装されている必要はない
・エンタープライズCAとして実装
Windows Azureのテナント

設定1 Windows Azure用証明テンプレートの作成

Windows Azureに管理証明書を実装するため、証明書をActive Directory証明書サービスから発行します。
証明書を発行するには、専用の証明書テンプレートを作成する必要があるので、はじめに証明書テンプレートを作成します。

管理ツールから[証明機関]を開き、[証明機関]から[証明書テンプレート]を右クリックして、[管理]をクリックします。
[証明書テンプレートコンソール]画面から、既存のテンプレートを複製します。今回は、[コンピューター]証明書テンプレートを複製します。(テンプレートのバージョンは必ずWindows Server 2003を使います)

image

複製すると、新しく作成された証明書テンプレートのプロパティが表示されるので、
以下の設定を行います。
・名前 – Azure用の証明書テンプレートとわかる名前にしておきます。
・秘密キーのエクスポートを許可する – エクスポートしてAzureにインポートする必要があります。
・[サブジェクト名]-[要求に含まれる] – サブジェクト名(証明書の発行先の名前)は明示的に指定できるようにするために必要です。
・サイトサーバーのコンピューターアカウントに対して読み取り・登録のアクセス許可 – サイトサーバーから証明書発行するので、必要なアクセス許可を割り当てます。

azure-dp05

azure-dp02

azure-dp03

azure-dp04

ここまでの設定ができたら、OKをクリックしてテンプレートを保存し、[証明機関]管理ツールに戻って、[証明書テンプレート]を右クリックして[新規作成]-[発行する証明書テンプレート]から前の手順で作成した証明書テンプレートを追加します。

image

設定2 Windows Azure用証明書の作成

前の手順で作成した証明書テンプレートを利用して証明書を発行します。
サイトサーバーからMMCを起動し、スナップインの追加で[証明書]-[コンピューター]を追加します。
スナップインを追加したMMCから、[個人]-[証明書]を右クリックし、[すべてのタスク]-[新しい証明書の要求]をクリックします。

image

ウィザードを進めていくと、証明書テンプレートを選択する画面が表示されるので、前の手順で作成した証明書テンプレートを選択します。このとき、画面に表示されているように、情報が不足しているので、「この証明書を登録するには~」をクリックします。

cm-esc11

サブジェクト名の共通名と、別名のDNSにそれぞれAzureのFQDNを入力します。形式は
*****.<ADドメイン名>です(たとえば、example.comという名前のADドメインでcloudDPという名前の配布ポイントを作成したければ、FQDNはcloudDP.example.comになります)。
(下の図では間違って*****.cloudapp.netのFQDNにしていますが、これは失敗します。ご注意を)
入力できたら、OKで前の画面に戻ります。

image

ウィザードに戻って、登録をクリックすると、証明書が登録されます。
続いて、登録された証明書を右クリックして、[すべてのタスク]-[エクスポート]をクリックします。

image

エクスポート形式は、
・秘密キーをエクスポートしないDER形式
・秘密キーをエクスポートするPFX形式
でそれぞれエクスポートしておきます。

ここまでで、証明書の登録およびエクスポートが完了しました。
長くなってしまったので、続きは次回に。