Communicator Web Access の証明書の準備

トピックの最終更新日: 2011-11-17

Communicator Web Access (2007 R2 リリース) では、相互 TLS (MTLS) と Secure Sockets Layer (SSL) の 2 種類のプロトコルを使用して指定された作業を実行します。MTLS は、2 台のコンピューター間のセキュリティで保護された通信を実現するプロトコルです。この場合 MTLS は、Communicator Web Access と Office Communications Server 2007 R2 間の接続を認証するために使用されます。

Secure Sockets Layer (SSL) は、通信中のコンピューターを認証する手段としても、通信を暗号化する手段としても使用されるインターネット プロトコルです。Communicator Web Access では、SSL (および証明書) はクライアントとサーバー間の接続をセキュリティで保護するために使用されます。

Communicator Web Access は 2 種類のプロトコルを使用しますが、通常は 1 つの証明書をインストールするだけで十分です。ほとんどの場合、MTLS でも SSL でも同じ証明書を使用できます (MTLS 証明書は、Communicator Web Access をアクティブ化するときに割り当てられ、SSL 証明書は、仮想サーバーを作成するたびに割り当てられます)。Communicator Web Access サーバーが 1 つしかない場合、証明書が次の基準を満たす場合に限り、1 つの証明書を使用できます。

たとえば、コンピューターの名前が cwaserver.contoso.com で、ユーザーがホスト名 im.contoso.com を使用してこのサーバーにアクセスするとします。この場合、証明書に次の情報が含まれている必要があります。

1 つの Communicator Web Access コンピューターで複数の仮想サーバー (たとえば、im.contoso.com と im.fabrikam.com) をホストできます。この場合は、contoso.com 用と fabrikam.com 用に 1 つずつ 2 つの証明書が必要です。

また、個別の SSL および MTLS 証明書を持つこともできます。たとえば、Communicator Web Access の URL が https://im.contoso.com の場合、SSL 証明書には次の情報が含まれている必要があります。

MTLS 証明書のサブジェクト名には、Communications Web Access コンピューターの完全修飾ドメイン名 (FQDN) の一覧が表示されます。そのコンピューターの完全修飾ドメイン名 (FQDN) が cwaserver.contoso.com の場合、MTLS 証明書には次の情報 (サブジェクト名の別名は不要) が含まれている必要があります。

Communicator Web Access サーバーに割り当てられた証明書と Office Communications Server に割り当てられた証明書は、発行した証明機関 (CA) が同じである必要はありません。このため、パブリック CA が発行した証明書を、外部ユーザーが使用する仮想サーバーに割り当てることができます。詳細については、「Communicator Web Access のサードパーティ証明書の要求」を参照してください。これは、公共のコンピューター (インターネット カフェにあるコンピューターなど) や借用したコンピューターから Communicator Web Access にログオンするユーザーにとって重要です。仮想サーバーがコンピューターで信頼されていない CA が発行した SSL 証明書を使用する場合、ユーザーが Communicator Web Access サインオン画面にアクセスすると、ブロックされているコンテンツのメッセージが表示されます。ユーザーがログオンできた場合でも、インスタント メッセージを送信したり、デスクトップ共有セッションに参加したりすることはできません。この問題の唯一の解決策は、新しい証明書を仮想サーバーに割り当てるか、各クライアントでその仮想サーバーが使用している CA から証明書を取得することです。