• [アーティクル]

Windows Server 2008 のエンタープライズ CA を使用して証明書を取得する方法

 

適用対象: System Center 2012 R2 Operations Manager,System Center 2012 - Operations Manager,System Center 2012 SP1 - Operations Manager

このトピックで、手順を使用すると、Windows Server 2008 R2、またはエンタープライズ ルート Active Directory 証明書のサービス (AD CS) をホストしている Windows Server 2008 R2 SP1 のコンピューターから証明書を取得できます。 CertReq コマンド ライン ユーティリティを使用して要求し、証明書をそのまま使用し、Web インターフェイスを使用して、送信し、証明書を取得します。

AD CS がインストールされている必要があること、HTTPS バインドが作成されたら、およびその関連する証明書がインストールされていると見なされます。 HTTPS バインドを作成する方法については、トピックの「 Windows Server 2008 caに HTTPS バインドを構成する方法です。

System_CAPS_important重要

このトピックの内容は Windows Server 2008 の AD CS; の既定の設定に基づいてください。たとえば、キーの長さとして、CSP では、Microsoft ソフトウェア キー格納プロバイダーを選択し、セキュア ハッシュ アルゴリズム 1 (SHA1) を使用して、2048年に設定します。 企業のセキュリティ ポリシーの要件に照らして、これらの選択を評価します。

エンタープライズ証明機関 (CA) から証明書を取得する高度なプロセスは次のとおりです。

  1. 信頼されたルート (CA) 証明書をダウンロードします。 にする必要があります。

  2. 信頼されたルート (CA) 証明書をインポートします。 にする必要があります。

  3. 証明書テンプレートを作成します。 にする必要があります。

  4. テンプレートを証明書テンプレートのフォルダーに追加します。 にする必要があります。

  5. CertReq コマンド ライン ユーティリティで使用するためのセットアップ情報ファイルを作成します。 にする必要があります。

  6. 要求のファイルを作成します。 にする必要があります。

  7. CA に要求を送信します。 にする必要があります。

  8. 証明書ストアに証明書のインポート にする必要があります。

  9. 証明書を MOMCertImport を使用して Operations Manager にインポートします。 にする必要があります。

信頼されたルート (CA) 証明書をダウンロードします。

信頼されたルート (CA) 証明書をダウンロードするには

  1. 証明書をインストールするコンピューターにログオンします。たとえば、ゲートウェイ サーバーや管理サーバーです。

  2. Internet Explorer を起動し、証明書サービスをホストしているコンピューターに接続たとえば、https://<servername>/certsrv です。

  3. へようこそ] ページで、[ CA 証明書、証明書チェーン、または CRL のダウンロードです。

  4. CA 証明書、証明書チェーン、または CRL のダウンロード ページで、[ エンコード, 、] をクリックして Base 64, 、順にクリック CA 証明書チェーンのダウンロードです。

  5. ファイルのダウンロード ダイアログ ボックスで、] をクリックして 保存 し、証明書を保存する。 たとえば、 Trustedca.p7bです。

  6. ダウンロードが完了したら、Internet Explorer を閉じます。

信頼されたルート (CA) 証明書をインポートします。

信頼されたルート (CA) 証明書をインポートするには

  1. Windows デスクトップで [スタート] をクリックし、[ファイル名を指定して実行] をクリックします。

  2. 実行 ] ダイアログ ボックスで、「 mmc, 、順にクリック OKです。

  3. [コンソール 1] ウィンドウの [ファイル] をクリックし、[スナップインの追加と削除] をクリックします。

  4. スナップインの追加と削除 ダイアログ ボックスで、クリックして 追加です。

  5. スタンドアロン スナップインの追加 ダイアログ ボックスで、をクリックして 証明書, 、順にクリック 追加です。

  6. 証明書スナップイン ダイアログ ボックスで、 コンピューター アカウント, 、順にクリック **[次へ]**です。

  7. コンピューターの選択 ] ダイアログ ボックスしていることを確認するには、 ローカル コンピュータ: (このコンソールを実行しているコンピューター) を選択すると、クリックして **[完了]**です。

  8. スタンドアロン スナップインの追加 ダイアログ ボックスで、クリックして 閉じるです。

  9. スナップインの追加と削除 ダイアログ ボックスで、クリックして **[ok]**です。

  10. コンソール 1 ] ウィンドウで、展開 証明書 (ローカル コンピュータ), 、順に展開 信頼されたルート証明機関, 、順にクリック 証明書です。

  11. 右クリック 証明書, [ すべてのタスク, 、順にクリック インポートです。

  12. 証明書のインポート ウィザードで、次のようにクリックします。 です。

  13. インポートするファイル ページで、[ 参照 をダウンロードした CA の証明書ファイル、たとえば、TrustedCA.p7b は、選択、ファイルの場所を選択して、クリックして 開くです。

  14. インポートするファイル ] ページで、[ すべての証明書を次のストアに配置 いることを確認および 信頼されたルート証明機関 に表示されます、 証明書ストア ボックスをクリックして **[次へ]**です。

  15. 証明書のインポート ウィザードの完了 ページで、[ 完了です。

証明書テンプレートを作成します。

証明書テンプレートを作成するには

  1. Windows デスクトップでは、エンタープライズ CA をホストしているコンピューターで次のようにクリックします。 開始, 、順にポイント プログラム, 、順にポイント 管理 ツール, 、順にクリック 証明機関です。

  2. ナビゲーション ウィンドウで、[CA 名を右クリックして 証明書 テンプレート, 、順にクリック 管理です。

  3. 証明書テンプレート コンソールの結果ウィンドウで、右クリックして IPsec (オフライン要求), 、順にクリック テンプレートの複製です。

  4. テンプレートの複製 ダイアログ ボックスで、 Windows Server 2008 Enterprise Edition, 、順にクリック OKです。

  5. 新しいテンプレートのプロパティ ] ダイアログ ボックスの [、 全般的な ] タブの [、 テンプレート表示名 テキスト ボックスに、このテンプレートの新しい名前を入力するなど、 OperationsManagerCertです。

  6. 要求処理 ] タブで [ プライベート キーを許可する対象となるです。

  7. クリックして、 拡張機能 ] タブで、し、[ 拡張機能は、このテンプレートに含まれる, 、] をクリックして アプリケーション ポリシー, 、順にクリック 編集です。

  8. アプリケーション ポリシー拡張の編集 ] ダイアログ ボックスをオン] をクリックして IP セキュリティ IKE 中間 順にクリック 削除です。

  9. クリックして 追加, 、し、[、 アプリケーション ポリシーの一覧, を一覧からは、複数選択項目を、CTRL キーを押しながらクリックして、 クライアント認証サーバー認証, 、順にクリック **[ok]**です。

  10. アプリケーション ポリシー拡張の編集 ダイアログ ボックスで、クリックして **[ok]**です。

  11. クリックして、 セキュリティ ] タブであることを確認し、 Authenticated Users グループには 読み取り登録 クリックして、アクセス許可 **[ok]**です。

  12. 証明書テンプレート コンソールを閉じます。

テンプレートを証明書テンプレートのフォルダーに追加します。

証明書テンプレートのフォルダーに、テンプレートを追加するには

  1. 証明機関スナップインでエンタープライズ CA をホストしているコンピューター上を右クリックし、 証明書テンプレート フォルダーをポイント 新規, 、順にクリック 発行する証明書テンプレートです。

  2. 証明書テンプレートを有効にする ボックスで、作成されます。 たとえば、[] をクリックする証明書テンプレートを選択する OperationsManagerCert, 、順にクリック **[ok]**です。

CertReq コマンド ライン ユーティリティで使用するためのセットアップ情報ファイルを作成します。

セットアップ情報 (.inf) ファイルを作成するには

  1. を、証明書を要求している Operations Manager の機能をホストするコンピューターで次のようにクリックします。 開始, 、順にクリック 実行です。

  2. 実行 ] ダイアログ ボックスで、「 メモ帳, 順にクリック OKです。

  3. 次の内容を含むテキスト ファイルを作成します。

    [リクエスト]

    Subject ="CN = < コンピューターなど、証明書を作成して、ゲートウェイ サーバー、または管理サーバーの FQDN >"。

    エクスポート可能な = TRUE

    キーの長さ = 2048年

    KeySpec = 1

    KeyUsage = 0xf0 です.

    MachineKeySet = TRUE

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1

    OID=1.3.6.1.5.5.7.3.2

  4. .Inf ファイル名拡張子では、ファイルを保存します。たとえば、RequestConfig.inf です。

  5. メモ帳を閉じます。

要求のファイルを作成します。

エンタープライズ CA で使用する要求ファイルを作成するには

  1. を、証明書を要求している Operations Manager の機能をホストするコンピューターで次のようにクリックします。 開始, 、順にクリック 実行です。

  2. 実行 ] ダイアログ ボックスで、「 cmd, 、順にクリック **[ok]**です。

  3. [コマンド] ウィンドウで次のように入力します。 CertReq – 新しい – f RequestConfig.inf CertRequest.req, 、し、ENTER キーを押します。

  4. メモ帳を使用して、(たとえば、CertRequest.req) の結果として得られるファイルを開くし、このファイルの内容をクリップボードにコピーします。

CA に要求を送信します。

エンタープライズ CA に要求を送信するには

  1. を、証明書を要求している Operations Manager の機能をホストするコンピューターで Internet Explorer を起動し、証明書サービスをホストするコンピュータに接続し、たとえば、https://<servername>/certsrv です。

    [!メモ]

    証明書サービス Web サイトで HTTPS バインドが構成されていない場合は、ブラウザーはの接続に失敗します。 トピックを参照して を Windows Server 2008 CA 用、HTTPS バインドを構成する方法 このガイドでします。

  2. Microsoft Active Directory 証明書サービス開始 画面で、クリックして 証明書を要求です。

  3. 証明書を要求 ページで、[ 高度な証明書の要求です。

  4. 証明書の要求の高度な ページで、[ base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信するか、base 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信します

  5. 証明書の要求または更新要求を送信 ] ページの [、 保存された要求 手順 4. 前の手順でのテキスト ボックスで、CertRequest.req の内容をファイルでコピーして貼り付けます。

  6. 証明書テンプレート OperationsManagerCert などは、作成した証明書テンプレートを選択し、クリックして 送信です。

  7. 証明書の発行 ] ページで、[ Base 64 エンコード, 、順にクリック 証明書のダウンロードです。

  8. ファイル ダウンロード – セキュリティの警告 ダイアログ ボックスで、] をクリックして 保存, 、証明書を保存。 たとえば、NewCertificate.cer として保存します。

  9. Internet Explorer を終了します。

証明書ストアに証明書のインポート

証明書ストアに証明書をインポートするには

  1. を対象には、証明書を構成する Operations Manager の機能をホストするコンピューターで次のようにクリックします。 開始, 、順にクリック 実行です。

  2. 実行 ] ダイアログ ボックスで、「 cmd, 、順にクリック **[ok]**です。

  3. [コマンド] ウィンドウで次のように入力します。 CertReq – NewCertifiate.cer をそのまま使用, 、し、ENTER キーを押します。

証明書を MOMCertImport を使用して Operations Manager にインポートします。

MOMCertImport を使用して Operations Manager に、証明書をインポートするには

  1. Administrators グループのメンバーであるアカウントを使用して、証明書をインストールしたコンピューターにログオンします。

  2. Windows デスクトップで [スタート] をクリックし、[ファイル名を指定して実行] をクリックします。

  3. 実行 ] ダイアログ ボックスで、「 cmd, 、順にクリック **[ok]**です。

  4. コマンド プロンプトでは、次のように入力します。 <drive_letter>: (ここで <drive_letter>、ドライブは、ここで、 Operations Manager インストール メディアが配置されて)、し、ENTER キーを押します。

  5. cd \supporttools\i386, 、し、ENTER キーを押します。

    [!メモ]

    64 ビット コンピューターでは、次のように入力します \supporttools\amd64

  6. 次のように入力します。

    MOMCertImport/SubjectName < 証明書のサブジェクト名 >

  7. Enter キーを押します。