インテル® AMT の ACM(Admin Control Mode)での初期設定を支援します
Mogul Technologies の「AMT Certificate Hash Tool」は、インテル® vPro® プラットフォームの基幹技術であるインテル® Active Management Technology(インテル® AMT)の構成モードの1つ、ACM(Admin Control Mode)での初期設定作業を支援するツールです。
効率的に PC を ACM で構成するにはセキュアな環境(デジタル証明書)が必要です
AMT を ACM で構成するための作業は、その強力なリモート管理機能からセキュアな環境で行うことが求められます。1台1台の PC を MEBx(ME BIOS extension)の画面から構成するか、インテル社が規格を規定した市販の AMT 構成用証明書を使用してリモートで構成します。
この証明書はインテル® EMA などのサーバー側に登録しておき、プロビジョニングを行う一連の通信の中で、まずサーバーがクライアント PC の CSME(Converged Security and Management Engine)に対して証明書を送付します。この際受け取った CSME が、その証明書が正しく発行された物かどうか、信頼してよいものかどうかを判断する必要があります。
AMT のファームウェアにはこの証明書の検証のため、主要な「信頼できる第三者認証機関」認証局のルート証明書のハッシュ値が工場出荷時にあらかじめ登録されており、送付された証明書と照合した上で、その証明書が信頼に足るものと判断した場合、プロビジョニング作業を開始します。
AMT 構成用証明書は法人の実在性、サーバーの真正性や SSL 暗号化通信を実現する SSL サーバー証明書の一種で、AMT 専用のユニークな OID を含んでいる、もしくは OU の値が「Intel(R) Client Setup Certificate」となっています。証明書技術のベースになっている PKI の仕組みは公開されていますので、自前で証明機関を構築している場合は証明書を作成することも可能です。ただし、当然ながら AMT のファームウェアには自前の証明機関のルート証明書のハッシュ値は登録されていないため、そのままでは PC は証明書の信頼性を確認できず、プロビジョニングを行う事ができません。
ルート証明書のハッシュ値をユーザーによって追加登録することは可能ですが、各クライアント PC のMEBx(ME BIOS extension)の画面から手入力するなどの作業が必要になります。
また軽量、薄型のノート PC が主流になってきたことで、通信手段が無線 LAN のみ、有線 LAN のコネクタが搭載されていない PC が増えています。このような機種において、無線 LAN 経由で ACM に構成する場合、現在のところその PC 自身は CSME が受信した証明書の DNS サフィックスと同じドメインにいるかどうかの判断をする事ができません。そのため、プロビジョニングの前に CSME に DNS サフィックスを登録しておく必要があります。この情報も先ほどのハッシュ値同様 MEBx の画面で手入力する必要があり、この作業はハッシュ値があらかじめ AMT ファームウェアに登録されている市販の証明書を使用する場合でも必要です。
Mogul AMT Certificate Hash Tool の役割
Mogul AMT Certificate Hash Tool はこれらの作業の手間を圧倒的に低減させるツールです。管理者側でルート証明書やドメインサフィックスを指定して生成した「setup.bin」というファイルを各クライアント PC に読み込ませることで、MEBx 画面での手作業を行う事無く、ルート証明書のハッシュ値やドメインサフィックスを正確に登録する事ができます。
Mogul AMT Certificate Hash Tool をご利用いただくために
下記環境をご用意ください。
- 管理者用 PC
- Mogul AMT Certificate Hash Tool を使用して設定ファイル「setup.bin」を生成するために利用します
- 追加対象となるルート証明書がインストールされている必要があります
- インテル® vPro® プラットフォーム対応 PC である必要はありません
- 設定対象 PC
- インテル® vPro® プラットフォーム(インテル® AMT リリース 7.0以降)対応 PC
- AMTのプロビジョニングを行っていないこと(プロビジョニング済の場合は アンプロビジョニング = 設定の初期化 を行って下さい)
- UEFI(BIOS)Setup 画面上で、AMT が有効になっていること、また USB Key Provisioning が有効になっていること(PC メーカーや機種によってはデフォルトで無効化されていたり、項目の名称が若干異なったりする場合がございます)
- USBメモリー
- FAT32でフォーマットされているもの(FAT や NTFS では利用できません)