ローカル証明機関の証明書の要求

  • [アーティクル]

発行: 2009年11月

適用対象: Forefront Threat Management Gateway (TMG)

サーバー証明書が内部用の場合は、ローカル証明機関 (CA) を作成することで、民間証明書を購入する必要がなくなります。

ローカル証明機関をセットアップするには

  1. コントロール パネルを開きます。

  2. [プログラムの追加と削除] をダブルクリックします。

  3. [Windows コンポーネントの追加と削除] をクリックします。

  4. [アプリケーション サーバー] をダブルクリックします。

  5. [インターネット インフォメーション サービス (IIS)] をダブルクリックします。

  6. [WWW (World Wide Web) サービス] をダブルクリックします。

  7. [Active Server Pages] を選択します。

  8. [OK] をクリックして [WWW (World Wide Web) サービス] ダイアログ ボックスを閉じ、[OK] をクリックして [インターネット インフォメーション サービス (IIS)] ダイアログ ボックスを閉じ、[OK] をクリックして [アプリケーション サーバー] ダイアログ ボックスを閉じます。

  9. [証明書サービス] を選択します。コンピューター名とドメイン メンバーシップに関する警告を確認します。続行する場合は警告ダイアログ ボックスで [はい] をクリックし、[Windows コンポーネント] ページで [次へ] をクリックします。

  10. [CA の種類] ページで次のいずれかを選択し、[次へ] をクリックします。

    • [エンタープライズのルート CA]。エンタープライズ ルート CA は、ドメインのメンバーにインストールする必要があります。エンタープライズ ルート CA は、ドメイン コントローラーによって認識された承認済みユーザーからの要求に応じて、証明書を自動的に発行します。

    • [スタンドアロンのルート CA]。スタンドアロン ルート CA を使用するには、管理者が要求された各証明書を発行する必要があります。

  11. [CA 識別情報] ページで CA の共通名を入力し、識別名のサフィックスを確認し、有効期間を選択して [次へ] をクリックします。

  12. [証明書データベースの設定] ページで、既定の設定を確認します。データベースの場所を変更することもできます。[次へ] をクリックします。

  13. [Windows コンポーネント ウィザードの完了] ページで概要を確認し、[完了] をクリックします。

note注意事項:
この手順では、コンピューターが Web ページを介して証明書を取得できるようにするサービスもインストールします。他の方法でコンピューター用の証明書を取得することを希望する場合は、この手順で説明するインターネット インフォメーション サービス (IIS) および Active Server Pages のインストールを実行する必要はありません。

CA の Web サイトへのアクセスを許可するには、その Web サイトを公開する必要があります。この Web サイトへのアクセスを制限するには、すべてのユーザーにサーバー全体を公開する代わりに、この Web サイト上の必要なフォルダーのみを特定の一連のユーザーに公開してください。Web 公開の詳細については、「公開の計画」を参照してください。

サーバー証明書をインストールするには

  1. Internet Explorer を開きます。

  2. メニューの [ツール]、[インターネット オプション] の順に選択します。

  3. [セキュリティ] タブをクリックし、[セキュリティ設定を表示または変更するゾーンを選択してください] で [信頼済みサイト] をクリックします。

  4. [サイト] をクリックし、[信頼済みサイト] ダイアログ ボックスを開きます。

  5. [この Web サイトをゾーンに追加する] に、証明書サーバーの Web サイトの名前 (http://証明機関サーバーの IP アドレス/certsrvname) を指定し、[追加] をクリックします。

  6. [閉じる] をクリックして [信頼済みサイト] ダイアログ ボックスを閉じ、[OK] をクリックして [インターネット オプション] を閉じます。

  7. http://証明機関サーバーの IP アドレス/certsrv に

    アクセスします。

  8. 証明書を要求します。

  9. [証明書の要求の詳細設定] を選択します。

  10. [この CA への要求を作成し送信する] を選択します。

  11. フォームに入力し、[種類] ボックスの一覧の [サーバー認証証明書] を選択します。クライアントの接続試行時にエラー メッセージが表示されないようにするには、次のように、証明書の一般名を公開されたサーバー名と一致させる必要があります。

    • サーバー公開の場合、一般名に、公開するサーバーの完全修飾ドメイン (FQDN) を指定します。

      note注意事項:
      [証明書の要求の詳細設定] ページで使用できるオプションの説明については、Windows Server 2003 Certificate Services Web ページの使用に関する情報 (英語ページの可能性があります) を https://www.microsoft.com で参照してください。

    • Web 公開の場合、Forefront TMG コンピューター上の証明書に対して、外部クライアントから Web サイトにアクセスする際に Web ブラウザーに入力するホスト名 (news.adatum.com など) を指定します。

    • Web 公開の場合、Forefront TMG コンピューターで必要な証明書以外に Web サーバーにサーバー証明書もインストールする場合は、一般名には、Forefront TMG コンピューターが Web 公開ルールを介して HTTP 要求メッセージを Web サーバーに送信するために使用するホスト名を指定する必要があります。この名前は、Web サーバーの IP アドレスに解決可能である必要があり、Web サーバーの FQDN (webserver1.adatum.com など) と同じでもかまいません。

  12. [ローカル コンピューターの証明書ストアに証明書を格納する] を選択し、[送信] をクリックして要求を送信します。表示される警告ダイアログ ボックスを確認し、[はい] をクリックします。

  13. スタンドアロン ルート CA をインストールした場合は、証明機関のコンピューターで次の手順を実行します。これらの手順は、エンタープライズ ルート CA では自動的に実行されます。

    1. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] の順にポイントして、[証明機関] をクリックして、Microsoft 管理コンソール (MMC) の証明機関スナップインを開きます。

    2. [<CA 名>] ノードを展開します (<CA 名> は使用する証明機関の名前です)。

    3. [保留中の要求] ノードをクリックし、要求を右クリックして、[すべてのタスク]、[発行] の順にクリックします。

  14. Forefront TMG コンピューターで、Web ページ http://<証明機関サーバーの IP アドレス>/certsrv に戻り、[保留中の要求のステータスを表示] をクリックします。

  15. 要求をクリックし、[この証明書のインストール] を選択します。

  16. 次の手順を実行して、サーバー証明書が正しくインストールされていることを確認します。

    1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、[名前] ボックスに「mmc」と入力して、[OK] をクリックします。

    2. [コンソール1] ウィンドウで、[ファイル] メニューの [スナップインの追加と削除] をクリックします。

    3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書] を選択して [追加] をクリックします。

    4. [証明書スナップイン] ページで、[コンピューター アカウント] を選択して [次へ] をクリックします。

    5. [コンピューターの選択] ページで、[ローカル コンピューター] を選択して [完了] をクリックします。

    6. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

    7. コンソール ツリーで、[証明書 (ローカル コンピューター)] ノード、[個人] の順に展開し、[証明書] をクリックして、新しいサーバー証明書をダブルクリックします。[全般] タブに、[この証明書に対応する秘密キーを持っています] というメッセージが表示されていることを確認します。[証明のパス] タブに、証明書と証明機関 (CA) との間の階層関係と、[この証明書は問題ありません] というメッセージが表示されていることを確認します。

    8. [コンソール1] ウィンドウを閉じます。

note注意事項:
この手順は、デジタル証明書が必要なコンピューター上で実行します。Web 公開の場合、これには少なくとも Forefront TMG コンピューターが該当しますが、場合によっては Web サーバー コンピューターも含まれることがあります。サーバー公開の場合は、公開するサーバー コンピューターのみが該当します。エンタープライズ ルート CA ではなくスタンドアロン ルート CA をインストールした場合は、証明機関で実行する操作もあります。

Forefront TMG コンピューターでは、CA から取得したサーバー証明書は Forefront TMG コンピューターの個人用証明書ストアに格納する必要があります。この CA のルート証明書は、Forefront TMG コンピューターの [信頼されたルート証明機関] ストアに格納する必要があります。

クライアント コンピューターが、ローカル CA からインストールされたサーバー証明書を信頼するには、そのクライアント コンピューターにこの CA のルート証明書がインストールされている必要があります。ルート証明書が必要な任意のクライアント コンピューター上でこの手順を実行します。ディスクなどのメディアを使用してルート証明書を移動し、クライアント コンピューターにインストールすることもできます。

ルート証明書をインストールするには

  1. Internet Explorer を開きます。

  2. メニューの [ツール]、[インターネット オプション] の順に選択します。

  3. [セキュリティ] タブをクリックし、[レベルのカスタマイズ] をクリックして、[セキュリティの設定] ダイアログ ボックスを開きます。[カスタム設定のリセット] ボックスの値を [中] に設定し、[OK] をクリックして [セキュリティの設定] ダイアログ ボックスを閉じ、[OK] をクリックして [インターネット オプション] ダイアログ ボックスを閉じます。

    note注意事項:
    セキュリティの設定が [高] の場合は、証明書をインストールできません。

  4. http://証明機関サーバーの IP アドレス/certsrv に

    アクセスします。

  5. [CA 証明書、証明書チェーン、または CRL のダウンロード] をクリックします。次に表示されるページで、[証明機関の証明書をダウンロードする] をクリックします。これは、Forefront TMG コンピューターにインストールする必要があるルート CA 証明書です。[ファイルのダウンロード] ダイアログ ボックスで、[開く] をクリックします。

  6. [証明書] ダイアログ ボックスで、[証明書のインストール] をクリックし、証明書のインポート ウィザードを開始します。

  7. [証明書のインポート ウィザードの開始] ページで、[次へ] をクリックします。[証明書ストア] ページで、[証明書をすべて次のストアに配置する] を選択し、[参照] をクリックします。[証明書ストアの選択] ダイアログ ボックスで、[物理ストアを表示する] を選択します。[信頼されたルート証明機関] を展開し、[ローカル コンピューター] を選択して、[OK] をクリックします。[証明書ストア] ページで、[次へ] をクリックします。

  8. [証明書のインポート ウィザードの完了] ページで詳細を確認し、[完了] をクリックします。

  9. 次の手順を実行して、ルート証明書が正しくインストールされたことを確認します。

    1. Microsoft 管理コンソール (MMC) の証明書 (ローカル コンピューター) スナップインを開きます。

    2. [信頼されたルート証明機関] ノードを展開して、[証明書] をクリックし、ルート証明書がインストールされていることを確認します。

    note注意事項:
    MMC の証明書 (ローカル コンピューター) スナップインから、コンピューターに証明書をインストールすることもできます。ただし、この場合、同じドメイン内の証明機関にのみアクセスできます。