2017年8月5日土曜日

WorkgroupサーバーをSCOMエージェントで監視する時に使用する明書テンプレートは?

WorkgroupサーバーをSCOMエージェントで監視する際、証明書を用います。(もしくはSCOMゲートウェイサーバーが必要)
エンタープライズCAを使う場合、証明書テンプレートは複数あるわけで、どれを使うの?となってました。
こちらに関し、情報入手の機会がありましたのでこの場を借りて共有にしておきます。

※証明書に関する管理特権は必要ですから、作業前に確認しましょう。
MMCへのスナップインを追加するなどして、[証明書テンプレート]のコンソールを起動してから、IPSec オフライン要求を基に複製します!


複製したテンプレートは別の名前を付けて、さらにカスタマイズを進めます。
※日本語名称を聞いていますので、そちらで記載していきます。(ただしAzureに構築したAD CSのため、画面は英語版なので悪しからず)

[要求処理]タブを選んで、[秘密キーのエクスポートを許可する]をチェックします。


[拡張機能]タブを選んで、[このテンプレートに含まれる拡張] に表示されている[アプリケーション ポリシー]を選択し、[編集]を押します。
もともと含まれている[IP セキュリティ IKE 中間]を[削除]し、[クライアント認証]と[サーバー認証]を追加します。


[セキュリティ]タブを選んで、[Authenticated Users]グループに[登録]のアクセス許可を追加、[OK]ボタンを押して、証明書テンプレートのカスタマイズ完了。
※Windows Server 2016では、[Authenticated Users]グループに[読み取り]のアクセス許可はありました。[Authenticated Users]グループに[読み取り]のアクセス許可がない場合はこちらも追加をお忘れなく。


この証明書テンプレートは、公開しておかないと使えません。
[証明機関]のコンソールを起動して、ツリーにある[証明書テンプレート]を右クリック、[新規作成]→[発行する証明書テンプレート]から選んで発行しておきましょう。

証明書テンプレートが発行できたら、
System Center 2012 R2 Operations Manager カスタマイズ実践編 ステップ バイ ステップ評価ガイド
にならい、証明書チェーンのインストール後に、上記で作成した証明書テンプレートを使いSCOMおよび監視対象のWorkgroupサーバーにインポートする証明書を生成します。

以上、参考になれば幸いです。

0 件のコメント:

コメントを投稿