[MECM/SCCM]HTTPSに再構築しなくても大丈夫!既存サーバーに拡張HTTPを設定する方法

MECM(SCCM)
[MECM/SCCM]拡張HTTPを有効に設定する方法

MECMバージョン2103以降では、Microsoftが推奨する「HTTPS構成」、もしくは「拡張HTTP構成」でサイトを選択して構成することが必須となりました。

通信規則にはHTTPSを採用するのが一般的ですが、HTTPSは既存環境で設定し直すことが不可能です。しかし、拡張HTTPであれば、MECMサーバーを再構築せずに設定することが可能です。

この記事では、既存MECMサーバーにサイトシステムの拡張HTTPを有効に設定する方法を紹介します。

拡張HTTPを使うのはどんな時なのか

?
拡張HTTPは、通信規則にHTTPSを使うことができない環境でその代用として導入します。

HTTPSはMECMにPKI証明書を実装する必要があり、環境によってはPKI証明書の管理にオーバーヘッドがかかり、導入が厳しい場合があります。その代わりとして、PKI証明書を実装せず、特定のサイトシステムに対して自己署名証明書を発行する「拡張HTTP」を使います。

また、拡張HTTPには、MECMサーバーを再構築する必要が無いメリットや、クライアントがネットワークアクセスアカウントや、クライアントPKI証明書、Windows認証を必要とせずに、配布ポイントからコンテンツへ安全にアクセスできるというメリットもあります。

既存のMECMサーバーをHTTPSに設定することはできません。新しく再構築する必要があります。

拡張HTTPを設定する方法

拡張HTTPを有効にする

MECMコンソールで拡張HTTPを有効に設定します。

①MECMコンソール>管理>サイトの構成>サイトに移動します。

▼②MECMサーバーのプライマリサイト(画像ではazsblogプライマリサイト)を選択し、プロパティを開きます。
1

③プロパティの「通信セキュリティ」タブを選択します。

▼④「HTTPSまたはHTTP」を選択し、「HTTPサイトシステムにはConfiguration Managerによって生成された証明書を使用する」にチェックを入れます。
2

⑤「適用」後、「OK」をクリックして設定完了です。

この設定は中央管理サイトのSMSプロバイダーロールのみに適用されます。階層内のすべてのサイトに適用されるグローバル設定ではありません。

拡張HTTPが正常に設定されたか確認する方法

拡張HTTPが有効に設定されると、ルートSMS発行証明書によって自己署名証明書「SMSロールSSL証明書」が発行されます。

MECMサーバーのグループポリシーやIISなどに「SMSロールSSL証明書」が確認できたら、拡張HTTPが正常に適用されています。

管理ポイントがサイトから新しい証明書を受信して「SMSロールSSL証明書」を構成するまで最大で30分かかります。

▼証明書を検証する方法の詳細についてはこちらを参照して下さい。

MECMコンソール

▼管理>概要>セキュリティ>証明書に移動すると、「SMS Issuing」(SMSロールSSL証明書)が確認できます。

MECMコンソール

MECMサーバーのグループポリシー

MECMサーバーのグループポリシーに拡張HTTPが適用されているかを確認します。

▼①「Win+R」で「ファイルを指定して実行」を開き、「certlm.msc」を貼りつけて実行します。(Microsoft管理コンソールが開きます。)
ファイルを指定して実行

▼②証明書-ローカルコンピューター>個人>証明書に移動して、発行者が「SMS Issuing」の証明書(SMSロールSSL証明書)が確認できたら拡張HTTPが有効になっています。
Microsoft管理ツール

サイトサーバー(IISマネージャー)

サイトサーバーに拡張HTTPが適用されているか確認します。

①IISマネージャーを開き、MECMサーバーのプライマリサイト>サイト>Default Web Siteへ移動します。

▼②Default Web Siteホームの「操作」メニューの「サイトの編集」の下にある「バインド」をクリックします。
IIS

③サイトバインドが表示されます。「https」を選択し、「編集」をクリックします。
サイトバインド

③「SSL証明書」に「MS Role SSL Certificate」(SMSロールSSL証明書)が表示されていることが確認できたら拡張HTTPが有効になっています。
サイトバインドの編集

SMSロールSSL証明書

クライアントPCのグループポリシー

MECMの管理下に置かれたクライアントPCのグループポリシーに拡張HTTPが適用されているか確認します。

▼①「Win+R」で「ファイルを指定して実行」を開き、「certlm.msc」を貼りつけて実行します。(Microsoft管理コンソールが開きます。)
ファイルを指定して実行

②証明書-ローカルコンピューター>SMS>証明書に移動します。

▼③フレンドリ名が「SMS Encryption Certificate」(SMS暗号化証明書)と「SMS Signing Certificate」(SMS署名証明書)の2つの証明書が確認できたら拡張HTTPが有効になっています。
クライアントPCの証明書

MECM(SCCM)の再構築、リプレイスもアーザスにお任せ下さい!

この記事では既に構築されたMECMサーバーを拡張HTTPに設定する方法を紹介しました。

アーザスではMECMの運用知識が豊富なスタッフが多数在籍しております。既に設定されたMECMサーバーの設定変更ではなく、HTTPSや拡張HTTP導入のMECMサーバー再構築、リプレイスをご検討されているお客様は是非お気軽にご相談下さい。