Share via

  • [アーティクル]

外部エッジ インターフェイスの証明書の設定

 

トピックの最終更新日: 2012-10-17

important重要:
証明書ウィザードを実行する場合、使用する証明書テンプレートの種類に対して適切なアクセス許可が割り当てられたグループのメンバーであるアカウントを使用してログインしていることを確認してください。既定では、Lync Server 証明書要求では、Web サーバー証明書テンプレートが使用されます。RTCUniversalServerAdmins グループのメンバーであるアカウントおよびこのテンプレートを使用して証明書を要求する場合、そのテンプレートを使用するために必要な登録アクセス許可がそのグループに割り当てられていることを確認してください。

各エッジ サーバーでは、境界ネットワークとインターネット間のインターフェイスでパブリック証明書が必要です。また、証明書のサブジェクトの別名にアクセス エッジ サービスと Web 会議エッジ サービスの完全修飾ドメイン名 (FQDN) の外部名が含まれている必要があります。

この証明書およびその他の証明書の要件の詳細については、「外部ユーザー アクセスに対する証明書要件」を参照してください。

統合コミュニケーション証明書の特定の要件を満たす証明書を提供し、Microsoft と提携して証明書を Lync Server 証明書ウィザードで使用できるようにするパブリック証明機関 (CA) の一覧については、マイクロソフト サポート技術情報の記事 929395「Exchange Server と Communications Server 用の統合コミュニケーション証明書パートナー」(https://support.microsoft.com/kb/929395/ja-jp) を参照してください。

外部インターフェイスの証明書を構成するには

1 つのサイトの外部エッジ インターフェイスに証明書を設定するには、このセクションの手順を使用して次の操作を行います。

  • エッジ サーバーの外部インターフェイスの証明書要求を作成します。

  • 要求をパブリック CA に送信します。

  • 各エッジ サーバーの外部インターフェイス用の証明書をインポートします。

  • 各エッジ サーバーの外部インターフェイスに証明書を割り当てます。

  • 展開に複数のエッジ サーバーが含まれる場合は、証明書とその秘密キーをエクスポートして他のエッジ サーバーにコピーします。 次に、各エッジ サーバーにインポートし、前に説明した手順に従って割り当てます。各エッジ サーバーでこの手順を繰り返します。

パブリック証明機関 (CA) 発行のパブリック証明書を直接要求できます (パブリック CA の Web サイトからなど)。 このセクションの手順では、大部分の証明書タスクに証明書ウィザードを使用しています。 パブリック CA 発行の証明書を直接要求するときは、要求に応じて各手順を変更し、証明書を転送、インポートして、証明書チェーンもインポートする必要があります。

外部 CA 発行の証明書を要求するときは、指定する資格情報にその CA 発行の証明書を要求する権限が設定されている必要があります。 各 CA には、証明書の要求、発行、管理、および読み込みを許可する資格情報 (特定のユーザーやグループの名前) を定義しているセキュリティ ポリシーがあります。

証明書に Microsoft 管理コンソール (MMC) を使用して証明書チェーンと証明書をインポートするときは、それらをコンピューターの証明書ストアにインポートする必要があります。 ユーザーまたはサービスの証明書ストアにインポートするときは、Lync Server 証明書ウィザードで証明書を割り当てることはできません。

エッジ サーバーの外部インターフェイスの証明書要求を作成するには

  1. エッジ サーバーの展開ウィザードで、[ステップ 3: 証明書の要求、インストール、または割り当て] の横にある [再実行] をクリックします。

    note注:
    組織で AOL とのパブリック インスタント メッセージング (IM) 接続をサポートする必要がある場合、Lync Server 展開ウィザードを使用して証明書を要求することはできません。代わりに、このトピックの後半で説明している「AOL とのパブリック IM 接続をサポートするために、エッジ サーバーの外部インターフェイス用に証明書要求を作成するには」の手順を実行します。
    プール内の 1 つの場所に複数のエッジ サーバーが展開されている場合、いずれかのエッジ サーバー上で Lync Server 証明書ウィザードを実行できます。

  2. [利用可能な証明書タスク] ページで、[新しい証明書要求を作成する] をクリックします。

  3. [証明書の要求] ページで、[外部エッジの証明書] をクリックします。

  4. [要求を後で送信または今すぐ送信] ページで、[要求を準備して後で送信する] チェック ボックスをオンにします。

  5. [証明書要求ファイル名] ページで、要求を保存するファイルの完全なパスと名前を入力します (c:\cert_exernal_edge.cer など)。

  6. [代替証明書テンプレートの指定] ページで、既定の WebServer テンプレート以外のテンプレートを使用するには、[選択した証明機関に別の証明書テンプレートを使用する] チェック ボックスをオンにします。

  7. [名前およびセキュリティの設定] ページで、次の操作を行います。

    • [フレンドリ名] に、証明書の表示名を入力します。

    • [ビット長] で、ビット長を指定します (通常は既定値の [2048])。

    • [証明書の秘密キーをエクスポート可能にする] チェック ボックスがオンになっていることを確認します。

  8. [組織情報] ページで、組織の名前と組織単位 (部や課など) を入力します。

  9. [地理情報] ページで、場所情報を指定します。

  10. [サブジェクト名/サブジェクト代替名] ページに、ウィザードによって自動的に設定される情報が表示されます。 追加のサブジェクトの別名が必要な場合、次の 2 つの手順で指定します。

  11. [サブジェクト代替名 (SAN) の SIP ドメイン設定] ページで、ドメインのチェック ボックスをオンにして、サブジェクトの別名の一覧に sip.<SIP ドメイン> エントリを追加します。

  12. [追加のサブジェクト代替名の構成] ページで、必要な追加のサブジェクトの別名を指定します。

  13. [要求の概要] ページで、要求を生成するために使用する証明書情報を確認します。

  14. コマンドの実行が終了したら、次の操作を行います。

    • 証明書要求のログを表示するには、[ログの表示] をクリックします。

    • 証明書要求を完了するには、[次へ] をクリックします。

  15. [証明書要求ファイル] ページで、次の操作を行います。

    • 生成した証明書の署名要求 (CSR) ファイルを表示するには、[表示] をクリックします。

    • ウィザードを閉じるには、[完了] をクリックします。

  16. 出力ファイルを、パブリック CA に送信できる場所にコピーします。

AOL とのパブリック IM 接続をサポートするために、エッジ サーバーの外部インターフェイス用に証明書要求を作成するには

  1. 必要なテンプレートが CA で利用できる場合、エッジ サーバーで次の Windows PowerShell コマンドレットを使用して証明書を要求します。

    Request-CsCertificate -New -Type AccessEdgeExternal  -Output C:\ <certfilename.txt or certfilename.csr>  -ClientEku $true -Template <template name>

    Lync Server 2010 で提供されているテンプレートの既定の証明書名は、Web サーバーです。 既定のテンプレートとは異なるテンプレートを使用する必要がある場合は、<テンプレート名> のみ指定します。

    note注:
    組織で AOL とのパブリック インスタント メッセージング (IM) 接続をサポートする必要がある場合、証明書ウィザードの代わりに Windows PowerShell を使用して、アクセス エッジ サービスの外部エッジに割り当てる証明書を要求します。 これは、証明書を要求するために証明書ウィザードが使用する Lync Server 2010 Web サーバー テンプレートが、クライアント EKU 構成をサポートしていないためです。 Windows PowerShell を使用して証明書を作成する前に、CA 管理者はクライアント EKU をサポートする新しいテンプレートを作成して展開する必要があります。

要求をパブリック証明機関に送信するには

  1. 出力ファイルを開きます。

  2. 証明書の署名要求 (CSR) の内容をコピーして貼り付けます。

  3. メッセージが表示されたら、以下を指定します。

    • サーバー プラットフォームとして Microsoft

    • バージョンとして IIS

    • 用途として Web サーバー

    • 応答形式として PKCS7

  4. これらの情報がパブリック CA によって検証された後、証明書に必要なテキストを含む電子メール メッセージが送られてきます。

  5. 電子メール メッセージからテキストをコピーし、ローカル コンピューター上のテキスト ファイル (.txt) に保存します。

エッジ サーバーの外部インターフェイス用の証明書をインポートするには

  1. 証明書要求を作成したのと同じエッジ サーバーに、Administrators グループのメンバーとしてログオンします。

  2. 展開ウィザードの [エッジ サーバーの展開] ページで、[ステップ 3:証明書の要求、インストール、または割り当て] の横にある [再実行] をクリックします。

  3. [利用可能な証明書タスク] ページで、[.p7b、pfx、または .cer ファイルから証明書をインポートする] をクリックします。

  4. [証明書のインポート] ページで [参照] をクリックして、エッジ サーバーの外部インターフェイス用に要求した証明書を見つけて選択します (または、完全なパスとファイル名を入力します)。証明書に秘密キーが含まれる場合は、[証明書ファイルに証明書の秘密キーが含まれる] を選択し、秘密キーのパスワードを入力します。[次へ] をクリックします。

  5. [証明書のインポートの概要] ページで、概要を確認して [次へ] をクリックします。

  6. [コマンドを実行しています] で、インポートの結果を確認し、必要に応じて [ログの表示] をクリックして詳細を表示します。次に、[完了] をクリックして証明書のインポートを完了します。

  7. エッジ サーバー プールを構成している場合は、この後の「プール内のエッジ サーバー用の証明書と秘密キーをエクスポートするには」の手順を実行し、証明書とその秘密キーをエクスポートします。エクスポートした証明書ファイルを他のエッジ サーバーにコピーし、それを各エッジ サーバーのコンピューターのストアにインポートします。

プール内のエッジ サーバー用の証明書と秘密キーをエクスポートするには

  1. 証明書をインポートしたのと同じエッジ サーバーに、Administrators グループのメンバーとしてログオンします。

  2. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「MMC」と入力します。

  3. Microsoft 管理コンソール (MMC) コンソールで、[ファイル] をクリックし、[スナップインの追加と削除] をクリックします。

  4. [スナップインの追加と削除] で、[証明書] をクリックし、[追加] をクリックします。

  5. [証明書スナップイン] ダイアログ ボックスで、[コンピューター アカウント] を選択し、[次へ] をクリックします。[コンピューターの選択] で、[ローカル コンピューター: (このコンソールを実行しているコンピューター)] を選択し、[完了] をクリックします。[OK] をクリックして MMC コンソールの構成を完了します。

  6. [証明書 (ローカル コンピューター)] をダブルクリックして証明書ストアを展開し、[個人] をダブルクリックして、[証明書] をダブルクリックします。

    important重要:
    ローカル コンピューターの個人の証明書ストアに証明書がない場合は、インポートした証明書に秘密キーが関連付けられていません。要求とインポートの手順を再確認してください。問題が解決しない場合は、証明機関の管理者またはプロバイダーに問い合わせてください。

  7. ローカル コンピューターの個人の証明書ストアで、エクスポートする証明書を右クリックし、[すべてのタスク] をクリックして、[エクスポート] をクリックします。

  8. 証明書のエクスポート ウィザードで、[次へ] をクリックし、[はい、秘密キーをエクスポートします] を選択して、[次へ] をクリックします。

    note注:
    [はい、秘密キーをエクスポートします] が無効になっていて選択できない場合、この証明書に関連付けられている秘密キーはエクスポート可能になっていません。エクスポートを続行するには、その前に証明書を再度要求して、証明書の秘密キーをエクスポート可能にする必要があります。証明機関の管理者またはプロバイダーに問い合わせてください。

  9. [エクスポート ファイルの形式] ダイアログ ボックスで、[Personal Information Exchange - PKCS #12 (.PFX)] を選択し、以下の項目をオンにします。

    • 可能であれば、証明書パスにあるすべての証明書を含める

    • すべての拡張プロパティをエクスポートする

      warning警告:
      エッジ サーバーから証明書をエクスポートするとき、[正しくエクスポートされたときは秘密キーを削除する] をオンにしないでください。このオプションをオンにすると、このエッジ サーバーに証明書と秘密キーをインポートすることが必要になります。

  10. [次へ] をクリックします。

  11. 秘密キーのパスワードを入力し、確認のために再度パスワードを入力して、[次へ] をクリックします。

  12. エクスポートする証明書のパスとファイル名を入力し、ファイル拡張子に .pfx を指定します。このパスは、プール内の他のすべてのエッジ サーバーからアクセスできるパスにするか、USB フラッシュ ドライブなどリムーバブル メディアを使用して転送可能にする必要があります。[次へ] をクリックします。

  13. [証明書のエクスポート ウィザードの完了] で概要を確認し、[完了] をクリックします。

  14. エクスポートの成功を示すダイアログ ボックスが表示されたら、[OK] をクリックします。

  15. 前の「エッジ サーバーの外部インターフェイス用の証明書をインポートするには」に記載された手順に従って、エクスポートした証明書ファイルを他のエッジ サーバーにインポートします。

エッジ サーバーの外部インターフェイス用の証明書を割り当てるには

  1. 各エッジ サーバーの展開ウィザードで、[ステップ 3:証明書の要求、インストール、または割り当て] の横にある [再実行] をクリックします。

  2. [利用可能な証明書タスク] ページで、[既存の証明書を割り当てる] をクリックします。

  3. [証明書の割り当て] ページで、[外部エッジ証明書] をクリックし、[証明書の使用法の詳細設定] チェック ボックスをオンにします。

  4. [証明書の使用法の詳細設定] ページで、すべてのチェック ボックスをオンにして、すべての使用法に対して証明書を割り当てます。

  5. [証明書ストア] ページで、対象のエッジ サーバーの外部インターフェイス用に要求してインポートしたパブリック証明書を選択します。

    note注:
    要求してインポートした証明書が一覧に表示されない場合、トラブルシューティング方法の 1 つとして、証明書のサブジェクト名とサブジェクトの別名が証明書のすべての要件を満たしているかどうか確認することが挙げられます。上記の手順を使用せずに証明書と証明書チェーンを手動でインポートした場合は、証明書が正しい証明書ストア (ユーザーまたはサービスの証明書ストアではなく、コンピューターの証明書ストア) にあるかどうかを確認します。

  6. [証明書割り当ての概要] ページで設定を確認し、[次へ] をクリックして証明書を割り当てます。

  7. ウィザードの完了ページで [完了] をクリックします。

  8. このエッジに証明書を割り当てる手順を実行した後で、各サーバーで証明書スナップインを開き、[証明書 (ローカル コンピュータ)][個人] を順に展開して、[証明書] をクリックします。次に、詳細ウィンドウで証明書が一覧にあることを確認します。

  9. 展開に複数のエッジ サーバーが含まれる場合は、各エッジ サーバーでこの手順を繰り返します。