現象
Windows Server 2008 で、しようとするネットワーク デバイス登録サービス (NDES) を使用して単純な証明書登録プロトコル (SCEP) 証明書を管理します。NDES は、Windows Server 2008 の証明書サービスの一部としてインストールされます。このシナリオでは、次の問題が発生します。
問題 1
デバイス間でパスワードを再利用することはできません。
SCEP プロトコルに基づいて、デバイスを最初に、SCEP サーバーから証明書を要求するときにパスワードを送信する必要があります。SCEP サーバーは、パスワードを検証した後、証明書を発行します。
SCEP サーバーがパスワードを検証した後に証明書を発行する手順は次のとおりです。
-
管理者は、SCEP 管理 Web サイトにログオンし、パスワードを要求します。
-
SCEP サーバーはランダムなパスワードが生成されます、キャッシュに格納、および管理者にパスワードが表示されます。
-
管理者は、デバイスのパスワードを設定します。
-
デバイスは、証明書の最初の要求で、このパスワードを送信します。
注: このパスワードの有効期限は 60 分です。 -
サーバーは、証明書を発行し、キャッシュからパスワードを削除します。パスワードは、その他のデバイスが不要になった使用できます。
問題 2
SCEP の証明書は有効期限後に自動的には、取得にすることはできません。
これら 2 つの問題が発生したため、可能性があります時間がかかる管理者のすべてのデバイスと SCEP の証明書を適用するのにはパスワードを要求します。
解決策
これら 2 つの問題を解決するには、修正プログラム 959193 をインストールします。この修正プログラムには、次の 2 つの機能強化が導入されています。
改善 1
この修正プログラムを適用した後に、デバイス間でパスワードが再利用できます。パスワードを管理する新しいプロセスは次のとおりです。
-
SCEP サーバーは、「1 つのパスワード」モードのレジストリ設定をを確認します。このモードでは、マスター パスワードが作成され、暗号化されたデータを使用してレジストリに格納されています。マスター ・ パスワードを無期限にします。
-
管理者は、SCEP 管理 Web サイトにログオンし、パスワードを要求します。マスター パスワードが配信されます。
-
管理者は、デバイスのパスワードを設定します。パスワードがすべてのデバイスに対して同じであるため、無期限のため、管理者はすべてのデバイスのパスワードを展開するためのスクリプトを簡単に記述できます。
改善 1 を有効にする方法
重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合にレジストリを復元することができます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756の方法をバックアップし、Windows のレジストリを復元するには
この機能を有効にするには、次のレジストリ エントリを作成します。Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
注: NDES をネットワーク サービス アカウントで実行する場合は、次のレジストリ サブキーの下の [ネットワーク サービス] アカウントにフル コントロール アクセス許可を与える必要があります: