アドミン・コントロール・モード(Admin Control Mode)での設定には専用のデジタル証明書が必要になりました
管理対象の PC の前にユーザーがいない無人の状態であっても、電源 ON/OFF に加えて BIOS の設定変更や、起動ディスクのマウントなど、Intel AMT の強力なリモート管理機能をフルに使えるのがアドミン・コントロール・モード(以降 ACM と表記します)、例えばデジタル・サイネージ端末や PoS 端末、学校のコンピューター教室で利用される PC やコールセンター端末などで威力を発揮します。
ACM の概要についてはこちらでご紹介しています
以前、この ACM は弊社の Mogul AMT Configurator などを利用して、もっと簡単にその設定を行うことができたのですが、インテルによる何度かのセキュリティ強化を目的としたアップデートを経て、Intel vPro 専用のデジタル証明書が必要になってしまいました。
この証明書がなかなかのクセモノで、ACM の利用のためのハードルが一気に高くなってしまったのです。
元々は「リモート構成」のために用意されたデジタル証明書でした
Intel AMT を ACM で構成/設定するために必要なデジタル証明書は一般的に「SSLサーバー証明書」と呼ばれるデジタル証明書とほぼ同様の作りになっています。(証明書のある部分に「Intel(R) Client Setup Certificate」という記述を追加するなど、細かな点に追加の要件がありますが、違いは大きくありません。)
SSLサーバー証明書はご存知の方も多いと思いますが、インターネットが商用利用されるためには必須の、「今自身がアクセスしようとしている Web サーバーが、本当に目的の会社、組織の Web サーバーなのか?」を担保するための仕組みで、Web サーバーの真正性を担保したり、SSL による暗号通信を可能にするものです。
おそらくこの仕組みを使わない日は無いというくらいに、インターネットが普及した当初からお馴染みの技術です。
Intel vPro 専用のデジタル証明書 についてはこちらをご参照ください
でもなぜ目の前にある PC の設定にそんなものが必要なのでしょうか・・・?
それは Intel vPro が誕生した当初から存在する「リモート構成」という設定方法の為に用意された仕組みを流用したからなんです。
リモート構成は、その名の通り遠隔地にある PC の AMT を設定するための仕組みで、現在多く使われている Intel EMA(Endpoint Management Assistant)の前身である、Intel SCS(Setup and Configuration Software)という製品を利用して実現していました。
遠隔地にある PC が、インターネットという信頼出来ないネットワークを経由して自身が構成、管理されるサーバーの真正性を確認するには、SSL サーバー証明書の仕組みを用いることが合理的ということで、当時 SSL サーバー証明書を提供する最大のベンダーであった米国ベリサイン社などと連携して、Intel vPro 専用のデジタル証明書を開発、「信頼された第三者認証局」としてデジタル証明書を発行する主要な PKI ベンダーが Intel vPro 専用証明書の発行を行いました。
この証明書の発行要件として、DV(Domain Validation)と呼ばれる、証明書の発行を要求している団体が証明書に記載されるドメインを所有しているのか確認しなければ証明書を発行できないことが決められています。
この基準は、以前のリモート構成、そして現在の Intel EMA の様に、管理対象の PC がインターネットを経由してサーバーと通信し、設定情報をダウンロードする形ならリーズナブルですが、今手許にある PC を設定するには少々的外れな基準と言わざるを得ないのではないでしょうか・・・
サーバー証明書の仕組みを利用するには、信頼の基礎となるものが必要です
SSL サーバー証明書の仕組みを流用すると、証明書を発行する認証局のポリシーにもよりますが、通常1年または2年に一度、証明書を更新しなければなりません。あまり有効期間の長い証明書は、秘密鍵の危殆化(きたいか)など安全性の観点から望ましくないからです。
このことは、ACM による遠隔操作を実現するのに、定期的に「手間」と「お金」がかかることを意味します。
例えば手許に数台ある PC を ACM で設定したいだけなのに、そんな手間とお金が必要になってしまうと困るなぁ・・・ と感じます。
そこで、「自分で証明書を作ろう!」と言うことを考えたくなりますね。
もちろんそれ自体は可能です。PKI は公開技術であり、OpenSSL などを用いて vPro 専用証明書の技術仕様を満たしたものを生成することは可能なのですが、自ら生成した証明書の最大の問題は、他の誰からも信用されていないところです。
デジタル証明書は、その証明書が信頼に足るべきものであることを第三者に提示し、それを第三者が信頼して初めてその役割を果たします。いわゆる自身で作った「オレオレ認証局」が発行した証明書を信頼してくれるのは発行者だけですから、これは難しいことになります。
実は Intel vPro 対応の PC には、「信頼していい認証局のリスト」が出荷時に書き込まれているのです。OS が動作する前の段階で通信する管理サーバーが提示するサーバー証明書が正しいものかどうかを判断する為には、ハードウェアとしての PC そのものに「この認証局が発行(電子署名)した証明書なら信じていいよ」という情報を持っていなければなりません。
「オレオレ認証局」は当然ながらこの信頼していい認証局のリストに入っていませんから、何らかの手段でこのリストの仲間入りをさせてやらなければ、せっかく作成した証明書は vPro 対応 PC に信用してもらえない(= ACM で設定できない)ことになります。
今回ご案内する証明書作成サービスは、ACM の設定が可能な証明書と「信頼できる認証局」更新の仕組みがセットになっています
一般的に情報セキュリティの観点では自己署名のデジタル証明書、いわゆる「オレオレ認証局」が署名した証明書を恒常的に利用することで、エンドユーザーが証明書の有効性を確認しなくなるなどの問題を引き起こす場合もあります。しかしながら今回の用途ではエンドユーザーは介在せず、初期設定時のみローカルで、または EMA サーバーとの通信のみで利用されるため、安全面での問題も起こりづらいと考えます。
今回のデジタル証明書作成サービスは、既に多くのお客さまにご利用いただいている Mogul AMT Configurator II 用と、Intel EMA(Endpoint Management Assistant)用の2種類をご用意し、Intel AMT のファームウェアに認証局のルート証明書のハッシュ値を追加登録するための設定ファイルも合わせてご提供致します。
アドミンコントロールモード用 デジタル証明書作成サービスをご利用いただくために
アドミンコントロールモード用 デジタル証明書作成サービスのご利用には、Mogul AMT Configurator II version 2 をご用意ください。動作環境は下記の通りです。
( Intel EMA をお使いのお客さま用には専用のサービスを別途ご用意しています。)
- インテル® vPro® プラットフォーム対応 PC(インテル® AMT リリース 7.0 以降、18 まで)
さらに以下の条件を満たす事が必要です。- OS : Windows 11 (64bit 版のみ)
- ネットワークやホスト名/ドメイン名の設定が完了していること
- .NET Framework 4.8 以降がインストールされていること
- インテル® AMT関連のドライバー一式(MEI ドライバー, LMS サービスなど)がインストールされていること
※ インテル® AMTのバージョンによってサポートされるWindowsのバージョンが別途規定されています。本製品のサポートもそちらの規定に準じます。
- USBメモリー
- 従来の製品に存在した容量 2GB 以下などの制限はございません
- 同時にご利用になれるのは1ライセンスにつき1つのソフトウェア・コピー(1つのリムーバブルメディア)です
- 複数のコピーを一度にご利用になる場合は、同時使用ライセンスをご導入ください
アドミンコントロールモード用 デジタル証明書のご購入 →
アドミンコントロールモード用 デジタル証明書(Intel EMA 用)のご購入 →