Certutil を使って Windows デバイスにデバイス証明書を配布する

この記事では、Certutil.exe コマンドライン プログラムを使用して、デバイス チェックに使用されるデバイス証明書を Windows デバイスに配布する方法について説明します。

概要

Certutil.exe コマンドライン プログラムを使用して、ネットワーク上の Windows デバイスに企業の自己署名証明書を配布できます。 これにより、デバイス間でのデバイス証明書の配布が簡素化され、証明書の展開を一元的に管理することで、セキュリティ対策が確実に強化されます。

前提条件

  • Windows コンピュータに対する管理者権限を持っている必要があります

  • 証明書ファイルは秘密鍵を含む PFX (p12) フォーマットでなければなりません

  • 証明書の「発行者」は、Cato管理画面にアップロードされた署名証明書と一致している必要があります

  • 証明書をデバイスの証明書マネージャーにインストールする必要があります

  • 鍵を保護するためのパスワードを知っている必要があります (証明書をインストールするために必要)

  • 証明書の最大許容サイズは 2048 バイトです。 このサイズを超える証明書は無視されます

デバイス証明書のインストール

Windows デバイスに証明書をインストールする方法はいくつかあります。 次の例は、Certutil コマンドライン プログラムを使用して証明書をインストールする方法を示しています。

Certutil を使用して証明書をインポートするには:

  1. 管理者(昇格した)としてコマンドプロンプトを開き、certutil.exe を使用します:

    certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

  2. このコマンドを実行すると、p12 ファイルのパスワードの入力を求められます。

  3. 証明書ファイルのパスワードを入力します。 または、-p オプションと共にコマンドラインにパスワードを渡すことができます。

    次のコマンドは、パスワードを指定した certutil の例です:

    certutil -csp KSP -p &lt;secret&gt; -importpfx My <path-to-p12-file> NoExport

注意:

  • NoExport オプションは秘密鍵のエクスポートを禁止します

  • KSP は Microsoft Software Key Storage Provider の別名です

  • -csp オプションは、秘密鍵の保存場所を指定するために使用されます。 オプションですが、明示的にプロバイダーをデフォルトとして指定することをお勧めします

証明書インストールの確認

certutil を使用して証明書がデバイスに正常にインストールされたことを確認できます:

certutil -store My

このコマンドはマシン証明書情報を一覧表示します。 証明書が正常にインストールされると、このリストに表示されます。

これで、デバイス証明書を使用してCato Cloudに接続できます。

クライアントがCato Cloudに接続されると、最後に使用されたデバイス証明書がレジストリに保存され、将来の接続で使用されます。 これは接続時間を短縮するのに役立ちます。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント