インテル® AMT のリモート構成を行う際に、Setup and Configuration Application (SCA: インテル® SCS や Microsoft* System Center Configuration Manager 2007 の帯域外サービスポイントなど) のサーバーが正当なものであることを保証するために、商用の証明機関から発行されたサーバー証明書を使用します。その証明機関の一つであるスターフィールドの証明書の申請方法が日本における代理店のジェイサート株式会社より公開されました。従来のリモート構成証明書では SCA サーバーの完全修飾ドメイン名 (FQDN) を証明書の共通名 (CN) として証明書を取得し、そのドメイン名部分が一致するクライアントしかリモート構成を行うことができません。
| 証明書の共通名 (例) | 構成できるクライアントの FQDN (例) | 構成できないクライアントの FQDN (例) |
|---|---|---|
| scs.japan.vpro-lab.net | amt-client-01.japan.vpro-lab.net | amt-client-02.sales.japan.vpro-lab.net |
| amt-client-03.asia.vpro-lab.net |
スターフィールドでは上記の証明書以外に、ワイルドカード証明書、マルチドメイン証明書を発行することができます。それぞれの証明書がどのような状況で使用されるかはジェイサート株式会社の install_vpro.pdf を参照してください。
ワイルドカード証明書では、クライアントの FQDN は証明書のサブジェクトの CN の * の前の japan.vpro-lab.net までが一致していればリモート構成することができます。
ワイルドカード証明書は CSR を生成する際にホスト名にあたる部分に '*" (アスタリスク) を入力します (上の例では*.japan.vpro-lab.net)。このワイルドカード証明書を使用すると、従来の証明書ではリモート構成できなかった amt-client-02.sales.japan.vpro-lab.net のようなクライアントもリモート構成できます。
マルチドメイン証明書では、従来の証明書のサブジェクトの CN のドメイン名の一致するクライアントに加えて、証明書のサブジェクトの別名に記録されているドメイン名と一致するドメインのクライアントをリモート構成することができます。
マルチドメイン証明書は CSR 自体は従来の方法で作成しますが、追加したいドメイン名をジェイサートの証明書申請ページで付帯ドメインとして指定します。例えば、サブジェクトの CN が scs.japan.vpro-lab.net で、証明書の付帯ドメインとして sales.japan.vpro-lab.net、vpro-lab.co.jp を指定した場合、amt-client-04.japan.vpro-lab.net、amt-client-05.sales.japan.vpro-lab.net、amt-client-06.vpro-lab.co.jp のクライアントをリモート構成することができます。
証明書の価格は下記のページを参照してください。インテル® AMT のリモート構成で使用する証明書の種類はデラックス SSL になります。スタンダード SSL ではリモート構成をできないのでご注意ください。