Dynamics CRM 2013 クレームベース認証およびインターネットに接続する展開 (IFD) 構成について Part 2

Article
02/18/2016

みなさん、こんにちは。

Microsoft Dynamics CRM 2013 におけるクレームベース認証およびインターネットに接続する展開 (IFD)
構成の手順の第二回目です。

今回は第一回目で作成した検証用の証明書のエクスポート・インポートおよび HTTPS バインディング
設定、DNS 設定といった、接続設定のための前段階の内容をご紹介します。

前回の内容は以下からご参照ください。

Dynamics CRM 2013 クレームベース認証およびインターネットに接続する展開 (IFD) 構成について Part 1

セクション 3 : 証明書のエクスポートおよびインポート

セクション 3.1 証明書のエクスポート

この作業は CRM サーバー (本ブログではサーバー名 : crm2013jpn) で行います。

前回のブログ記事にて作成した証明書は信頼されていないため、CRM (Web) サーバーに接続する際に
セキュリティの警告メッセージが表示されることがあります。

これを表示させないようにするためには、作成した証明書を各コンピューターにインストールする必要が
あります。

そのため、作成した SSL 証明書のエクスポートを行う作業が必要となります。

また、Microsoft Dynamics CRM Web サイトの CRMAppPool アカウントには、クレームベース認証を
構成するときに指定される暗号証明書の秘密キーに対する読み取り権限が必要となります。

証明書 Microsoft 管理コンソール (MMC) スナップインを使用して、ローカルコンピューターアカウント
の個人用ストアにある暗号証明書に対する権限を編集します。

1. Microsoft 管理コンソール (MMC) を起動します。「検索」から「mmc」と入力します。

2. 「スナップインの追加と削除」をクリックします。

3. [証明書] を選択し、[追加] をクリックします。

4. [コンピュータアカウント] を選択し、[次へ] をクリックします。

<<注意>> 初期値は [ユーザーアカウント] となってますので、間違えないようにしてください。

5. 「ローカルコンピューター : (このコンソールを実行しているコンピューター)」が選択されている
ことを確認し、[完了] をクリックします。

6. MMC に証明書 (ローカルコンピューター) が追加されたことを確認し、[OK] をクリックします。

7. MMC の [コンソールルート] - [証明書 (ローカルコンピューター)] - [個人] - [証明書] を展開します。

8. 前回作成した証明書 (*.contoso.com) を選択し、操作＞すべてのタスク＞秘密キーの管理を選択します。

9. CRMAPPPool アカウント (本ブログでは crma@contoso.com) および、Network Service アカウントを
追加します。

10. CRMAppPool アカウントの権限を、「読み取り」に設定 (フルコントロールのチェックを外す)
して、[OK] をクリックします。

11. 証明書のエクスポートを行います。操作＞すべてのタスク＞エクスポートを選択します。

12. [次へ] をクリックします。

13. [はい、秘密キーをエクスポートします] が選択されていることを確認し、[次へ] をクリックします。

14. Personal Information Exhcnage - PKCS #12 (.PFX) を選択します。エクスポートするのは
作成した証明書のみであるため、「証明のパスにある証明書を可能であればすべて含む」の
チェックを外して [次へ] をクリックします。

15. 証明書のセキュリティを保護するため、他のコンピューターでインポートを行う際に必要となる
パスワードの設定を行います。

「パスワード」にチェックし、パスワードの入力を行い [次へ] をクリックします。

16. パスワードの保存場所およびファイル名を指定して [次へ] をクリックします。

17. [完了] をクリックし、証明書が正常にエクスポートされたことを確認します。

セクション 3.2 証明書のインポート

この作業は DC サーバー (本ブログではサーバー名 : dcexch2010) で行います。

1. 証明書のエクスポートの手順 1 ～ 6 と同様に MMC にて証明書スナップインを追加します。

信頼されたルート証明機関を展開して証明書を選択し、操作＞すべてのタスク＞インポートを
選択します。

証明書スナップインの追加の際に「コンピュータアカウント」を選択することを忘れないでください。

2. [次へ] をクリックします。

3. インポートする証明書を指定し、[次へ]をクリックします。

エクスポートの手順では CRM サーバー (サーバー名 : crm2013jpn) の C:\crmhttps.pfx に証明書を
保存しましたので、下記手順では \\crm2013jpn\c$\crmhttps.pfx を指定しています。
構成するサーバー環境に合わせて変更してください。

4. エクスポートの際に設定したパスワードを入力し、[次へ] をクリックします。

5. 「証明書をすべての次のストアに配置する」が選択されているのを確認し、[次へ] を
クリックします。

6. [完了] をクリックし、証明書が正常にインポートされたことを確認します。

ADFS サーバーにおいても MMC から [証明書] - [個人] および [証明書] - [信頼されたルート証明機関] に
対して手順 1 ～ 6 を実行します。

また、各クライアントにおいても MMC より [証明書] - [信頼されたルート証明機関] に登録して
ください。

セクション 4 : SSL 証明書のバインディング (HTTPS)、および DNS 設定

作成した証明書を Web サイト (ADFS デフォルトサイトおよび CRM Web サイト) にバインドします。

本ブログでは ADFS デフォルトサイトのポートを 443、CRM Web サイトのポートを 444 に設定します。

セクション 4.1 : SSL 証明書のバインディング (HTTPS)

1. この作業は ADFS サーバー (本ブログではサーバー名 : adfs) で行います。

※ ADFS サーバーへの IIS を含めたインストール方法は、Part 3 にて記載予定です。

サーバーマネージャー＞ダッシュボード＞ツール＞インターネットインフォメーションサービス (IIS)
マネージャーを開きます。

サイトから Default Web Site を展開し、操作＞バインドをクリックします。

2. [追加] をクリックします。

3. 「種類」のドロップダウンメニューから https を選択し、「ポート」欄は 443 と入力します。

SSL 証明書メニュー欄は、以前作成した証明書 (*.contoso.com) を選択し、[OK] をクリックします。

4. SSL バインド (https) が追加されたことを確認し、[閉じる] をクリックします。

5. この作業は CRM サーバー (本ブログではサーバー名 : crm2013jpn) で行います。

サーバーマネージャー＞ダッシュボード＞ツール＞インターネットインフォメーションサービス (IIS)
マネージャーを開きます。

サイトから Microsoft Dynamics CRM を展開し、操作＞バインドをクリックします。

6. [追加] をクリックします。

7. 「種類」のドロップダウンメニューから https を選択し、「ポート」欄は 444 を使用します。

SSL 証明書メニューからは作成した「SSL 証明書」を選択し、[OK] をクリックします。

8. SSL バインド (https) が追加されたことを確認し、[閉じる] をクリックします。

セクション 4.2 : DNS 設定

Dynamics CRM サーバーのエンドポイント (接続先) を適切に解釈するために、DNS にエントリーを
作成する必要があります。

下記一覧および手順をご覧いただきエントリーの作成を行ってください。

※本ブログでは ADFS のサーバー名を adfs として構成したため ADFS のエントリーは追加していません。

サーバー名が異なる場合にはエントリーの追加が必要になります。

エイリアス名	参照先 (実サーバー)	説明
Auth	CRM 2013 サーバー	ADFS サーバーが IFD フェデレーションメタデータを取得する際に使用します
Dev	展開 Web サービスサーバー	Dynamics CRM 展開 Web サービスのドメインを指定します。
Internalcrm	CRM 2013サーバー	Dynamics CRM 接続時の内部接続用 URL として使用します。
<CRM 組織名>	CRM 2013 サーバー	Dynamics CRM 接続時の外部接続用 URL として使用します。
ADFS	ADFS サーバー	ADFS サーバーを指定します。