証明書を管理する (FAST Search Server 2010 for SharePoint)

FAST Search Server 2010
 

適用先: FAST Search Server 2010

トピックの最終更新日: 2016-11-29

FAST Search Server 2010 for SharePoint では、認証や暗号化の目的で証明書が使用されます。複数のサーバーで構成される FAST Search Server 2010 for SharePoint 展開内のサーバー同士が通信するときと、FAST Search Server 2010 for SharePoint と Microsoft SharePoint Server の間で通信が行われるときに証明書が必要となります。

FAST Search Server 2010 for SharePoint 展開内の各サーバーが持つ可能性のある証明書は次の 3 つで、それぞれ役割が異なります。これらの証明書は、別々に構成し、その置き換えも別々に行う必要があります。

  • 汎用 FAST Search 証明書 (内部通信、管理サービス、およびデータ供給の目的で Microsoft SharePoint Server から使用)

  • HTTPS クエリ トラフィック用のサーバー固有の証明書 (HTTPS クエリ トラフィックが有効にされたクエリ サーバーでのみ使用)

  • クレーム証明書 (クエリ サーバーでのみ使用)

なお、「汎用 FAST Search 証明書」に挙げられた要件をすべて満たせば、最初の 2 つの証明書を 1 つの証明書にまとめることもできます。ただし、証明書が有効期限を迎えたり失効した場合は、この 2 つの証明書のそれぞれを置き換えるために所定の構成手順を実行する必要があります。

このセクションの内容

初めてインストールされたとき、FAST Search Server 2010 for SharePoint は自己署名証明書を生成します。この自己署名証明書は、有効期限が構成日より起算して 1 年で、しかもテスト環境で使用することしか想定されていません。この証明書には以下の制約があります。

  • 自己署名証明書は、失効させることができないので、セキュリティに限界があります。秘密キーが漏洩した場合、なりすまし攻撃や改ざん攻撃を受けるおそれがあります。

  • 自己署名証明書では HTTPS を使ったクエリを有効にできません。

  • 自己署名証明書では HTTPS を使った管理サービスを有効にできません。

特に高い水準のセキュリティを実現する場合には FAST Search Server 2010 for SharePoint で公開キー基盤 (PKI) を利用します。FAST Search Server 2010 for SharePoint 展開内の各サーバーで一般の証明機関 (CA) 発行のそれぞれ別の証明書を使用してください。

各サーバーの証明書には次の要件が適用されます。

  • Subject Name (サブジェクト名) フィールドまたは Subject Alternative Name (SAN: サブジェクトの別名) フィールドに証明書の発行先であるサーバーの完全修飾ドメイン名 (FQDN) を書くこと。これは HTTPS を使ったクエリと HTTPS を使った管理サービスをサポートするために必須です。

  • Microsoft SharePoint Server に発行される証明書と FAST Search Server 2010 for SharePoint 展開内の各サーバーに発行される証明書で発行者を同一にすること。

  • FAST Search Server 2010 for SharePoint ユーザーが証明書の秘密キーにアクセスできること。

FAST Search Server 2010 for SharePoint 配布パッケージに含まれている Windows PowerShell スクリプトを展開内の各サーバーで実行して既定の自己署名証明書を置き換える必要があります。このスクリプトには次に示す 2 つの異なる目的があります。

既定の自己署名証明書を新しい自己署名証明書に置き換えるには、次の手順を実行します。

  1. ファーム内のすべてのサーバー上の FAST Search Server 2010 for SharePoint を停止させます。

  2. 管理サーバーで次の手順を実行します。

    1. [スタート] メニューの [すべてのプログラム] をクリックします。

    2. [Microsoft FAST Search Server 2010 for SharePoint] をクリックします。

    3. [SharePoint 2010 管理シェル] を右クリックして、[管理者として実行] を選択します。

    4. コマンド プロンプトで、インストール先フォルダーの下の installer\scripts に移動します。

    5. 次のコマンドを入力します。

      .\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
      
    6. 証明書のパスワードを入力します。

  3. 管理サーバーで FAST Search Server 2010 for SharePoint を開始します。

  4. 各非管理サーバーで次の手順を実行します。

    1. [スタート] メニューの [すべてのプログラム] をクリックします。

    2. [Microsoft FAST Search Server 2010 for SharePoint] をクリックします。

    3. [SharePoint 2010 管理シェル] を右クリックして、[管理者として実行] を選択します。

    4. コマンド プロンプトで、インストール先フォルダーの下の installer\scripts に移動します。

    5. 次のコマンドを入力します。

      .\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
      
    6. 管理サーバーで証明書に定義されたパスワードを入力します。

  5. すべての非管理サーバーで FAST Search Server 2010 for SharePoint を開始します。

有効期限 1 年の新しい自己署名証明書が使われるようになります。

FAST Search Server 2010 for SharePoint が Microsoft SharePoint Server のバックエンドとして既に追加してある場合は、「Content Search Service アプリケーションを作成および設定する (FAST Search Server 2010 for SharePoint)」の「SSL 対応通信を構成する」 に示されている証明書に関する手順をやり直す必要があります。

既定の自己署名証明書を証明機関 (CA) 発行の署名証明書に置き換えるには、次の手順を実行します。

  1. ファーム内のすべてのサーバー上の FAST Search Server 2010 for SharePoint を停止させます。

  2. FAST Search Server 2010 for SharePoint ファーム内の各サーバーで次を行います。

    • 新しい証明書が正しくインストールされたことと、その証明書の秘密キーに FAST Search Server 2010 for SharePoint ユーザーがアクセスできることを確認する。

      この証明書は、証明書ストア内の Certificates(Local Computer)\Personal にインストールしておく必要があります。

      この証明書の CA 証明書が Certificates(Local Computer)\Trusted Root Certification Authorities にインストールしておく必要があります。

  3. 管理サーバーで次の手順を実行します。

    1. [スタート] メニューの [すべてのプログラム] をクリックします。

    2. [Microsoft FAST Search Server 2010 for SharePoint] をクリックし、[Microsoft FAST Search Server 2010 for SharePoint shell] をクリックします。

    3. コマンド プロンプトで、インストール先フォルダーの下の installer\scripts に移動します。

    4. 次のコマンドを入力します。

      .\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"
      

      ローカル サーバー上の証明書ストアを開き、該当する証明書を見つければ、証明書の拇印を確認できます。

  4. 管理サーバーで FAST Search Server 2010 for SharePoint を開始します。

  5. 各非管理サーバーで次の手順を実行します。

    1. [スタート] メニューの [すべてのプログラム] をクリックします。

    2. [Microsoft FAST Search Server 2010 for SharePoint] をクリックし、[Microsoft FAST Search Server 2010 for SharePoint shell] をクリックします。

    3. コマンド プロンプトで、インストール先フォルダーの下の installer\scripts に移動します。

    4. 次のコマンドを入力します。

      .\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"
      

      ローカル サーバー上の証明書ストアを開き、該当する証明書を見つければ、証明書の拇印を確認できます。

  6. すべての非管理サーバーで FAST Search Server 2010 for SharePoint を開始します。

Content SSA が実行されている Microsoft SharePoint Server にも、ドキュメントを FAST Search Server 2010 for SharePoint に供給するために同じ CA 発行の署名証明書をインストールする必要があります。

  1. Microsoft SharePoint Server 上で証明書ストア内の Certificates(Local Computer)\Personal に証明書をインストールします。この証明書の CA 証明書は Certificates(Local Computer)\Trusted Root Certification Authorities にインストールしておく必要があります。以下の手順を実行して証明書に適切な権限を設定します。

  2. SecureFASTSearchConnector.ps1 スクリプトを FAST Search Server 2010 for SharePoint 管理サーバーから、FAST Search コネクタの実行されている SharePoint Server 2010 サーバーにコピーします。SecureFASTSearchConnector.ps1 スクリプトは、インストール先フォルダーの \installer\scripts\ にあります。

  3. FAST Search コネクタが実行されている SharePoint Server 2010 サーバー上で次の手順を実行します。

    1. [スタート] メニューの [すべてのプログラム] をクリックします。

    2. [Microsoft SharePoint 2010 Products] をクリックします。

    3. [SharePoint 2010 管理シェル] を右クリックし、[管理者として実行] を選択します。

    4. SecureFASTSearchConnector.ps1 スクリプトのコピー先のディレクトリに移動し、そこでスクリプトを実行して必要なパラメーターの値を現在の環境に対応するものに置き換えます。SharePoint Server Search 14 (OSearch14) サービスを実行しているユーザーの細目をドメインおよびユーザー名に反映させてください。

      • 証明書の拇印がわかっている場合は、次のコマンドを入力します。

        .\SecureFASTSearchConnector.ps1 -certThumbprint "certificate thumbprint" -ssaName "name of your content SSA" -username "domain\username"
        
      • 証明書の拇印がわかっていない場合は、次のコマンドを入力します。

        .\SecureFASTSearchConnector.ps1 -ssaName "name of your content SSA" -username "domain\username"
        

        利用可能な証明書の拇印と、その証明書を使うかどうかを確認するプロンプトが表示されます。

        y と入力し、Enter キーを押します。

HTTPS クエリ証明書は、クエリ トラフィックを暗号化するために使用されます。初期セットアップについては、「HTTPS を有効にする (オプション)」を参照してください。

HTTPS クエリ証明書を置き換えるには、各 FAST Search Server 2010 for SharePoint クエリ サーバー上で次の手順を実行します。

  1. 新しいサーバー固有の SSL 証明書を証明書ストアにインポートします。この証明書は、Certificates(Local Computer)\Personal に保存する必要があります。この証明書への完全なアクセス権を FASTSearchAdministrators グループに与えます。

  2. 以前の証明書バインドを baseport+286 から削除します。

    1. [スタート] メニューの [すべてのプログラム] をクリックします。

    2. [Microsoft FAST Search Server 2010 for SharePoint] をクリックします。

    3. [Microsoft FAST Search Server 2010 for SharePoint shell] を右クリックし、[管理者として実行] を選択します。

    4. Windows PowerShell コマンド プロンプトで、以下のコマンドを入力します。

      netsh http delete sslcert ipport=0.0.0.0:<baseport+286>
      

      ここで、

      • <baseport+286> は、実際のポート番号です。

  3. baseport+286 上の新しい証明書を使うようにクエリ サーバーを構成します。

    1. Windows PowerShell コマンド プロンプトで、以下のコマンドを入力します。

      netsh http add sslcert ipport=0.0.0.0:<baseport+286>  appid={a5455c78-6489-4e13-b395-47fbdee0e7e6} certhash=<Cert_Thumprint>
      

      ここで、

      • <Cert_Thumbprint> は、新しい証明書の拇印です。

      • <baseport+286> は、実際のポート番号です。

さらに、新しい証明書が以前の証明書と同じ証明機関 (CA) で署名されたものでなければ、CA 証明書を Microsoft SharePoint Server に追加する必要があります。

Microsoft SharePoint Server 上で次の操作を行います。

  1. Microsoft SharePoint Server で、各 FAST Search Server 2010 for SharePoint クエリ サーバーのために作成した SSL 証明書の信頼関係を有効にします。これを行うには、SSL 証明書の署名機関のパブリック証明書を Microsoft SharePoint Server にインポートします。

    1. [スタート] メニューの [すべてのプログラム] をクリックします。

    2. [Microsoft SharePoint 2010 Products] をクリックします。

    3. [SharePoint 2010 管理シェル] を右クリックし、[管理者として実行] を選択します。

    4. コマンド プロンプトで、以下のコマンドを入力します。

      $trustCert = Get-PfxCertificate '<SSL_CA_Public_Cert>.cert'
      New-SPTrustedRootAuthority "FASTSearchHostQuerySSLCert" -Certificate $trustCert
      
      

      ここで、

      • <SSL_CA_Public_Cert> は、SSL 証明書の署名機関の証明書の名前です。

クレーム証明書は、クレーム ベース認証を提供します。この証明書を置き換えるには、「FAST Search センター サイトを作成する (FAST Search Server 2010 for SharePoint)」の手順を繰り返します。

表示: