内部インターフェイス用の証明書の設定

トピックの最終更新日: 2009-01-23

エッジ サーバーと内部サーバー (音声ビデオ会議サーバーおよび仲介サーバーを含む) の間の相互 TLS (MTLS) 通信には証明書が必要です。

証明書要件の詳細については、「外部ユーザー アクセスに対する証明書要件」を参照してください。

内部インターフェイスでの証明書の構成

あるサイトのエッジ サーバーの内部インターフェイスで証明書を設定するには、次のステップを実行します。

• ステップ 1: 内部インターフェイス用の証明機関 (CA) 証明書パスを各エッジ サーバーにダウンロードします。詳細については、「エッジ サーバーの内部証明書の準備」を参照してください。
• ステップ 2: 各エッジ サーバーで、内部インターフェイス用の CA 証明書パスをインポートします。
• ステップ 3: 各エッジ サーバーで、CA が信頼されたルート CA の一覧にあることを確認します。
• ステップ 4: 1 台のエッジ サーバー (最初のエッジ サーバー) で、内部インターフェイス用に証明書要求を作成します。
• ステップ 5: 最初のエッジ サーバーで、内部インターフェイス用の証明書をインポートします。
• ステップ 6: 最初のエッジ サーバーを使用して、証明書をエクスポートします。
• ステップ 7: このサイトの (またはこのロード バランサの背後に展開されている) 他のエッジ サーバーで証明書をインポートします。
• ステップ 8: すべてのエッジ サーバーの内部インターフェイスに証明書を割り当てます。

ステップ 2. ～ 8. の操作手順については、このトピック内で後述します。

エッジ サーバーが展開されている複数のサイト (つまり、複数サイトの統合エッジ トポロジ) がある場合、または別のロード バランサの背後に展開されている別のエッジ サーバーのセットがある場合は、エッジ サーバーがある各サイト、および別のロード バランサの背後に展開されているエッジ サーバーの各セットに対して、ステップ 1. ～ 8. を実行する必要があります。

注:
ここでは、Windows Server 2003 Enterprise CA または Windows Server 2003 R2 CA を使用する手順について説明しています。他の CA を使用する場合の手順については、その CA に関するドキュメントを参照してください。既定では、すべての認証済みユーザーが、証明書の要求に必要な権限を持っています。

内部インターフェイス用の CA 証明書パスをインポートするには

1. 展開した各エッジ サーバーの展開ウィザードで、[エッジ サーバーの展開] ページの [ステップ 4: エッジ サーバーの証明書の構成] の横にある [実行] をクリックします。

2. Communications 証明書ウィザードの [ようこそ] ページで、[次へ] をクリックします。

3. [利用可能な証明書タスク] ページで、[.p7b ファイルから証明書チェーンをインポートする] をクリックし、[次へ] をクリックします。

4. [証明書チェーンのインポート] ページで、.p7b ファイルの完全なパスと名前を入力し、[次へ] をクリックします。

5. [完了] をクリックします。

6. 各エッジ サーバーでこの手順を繰り返します。

信頼されたルート証明機関一覧に CA が含まれていることを確認するには

1. 各エッジ サーバーで、Microsoft 管理コンソール (MMC) を開きます。MMC を開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「mmc」と入力し、[OK] をクリックします。

2. [ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。

3. [スタンドアロン スナップインの追加] ボックスで、[証明書] をクリックし、[追加] をクリックします。

4. [証明書スナップイン] ダイアログ ボックスの [コンピュータ アカウント] をクリックし、[次へ] をクリックします。

5. [コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ: (このコンソールを実行しているコンピュータ)] チェック ボックスがオンになっていることを確認して、[完了] をクリックします。

6. [閉じる] をクリックし、[OK] をクリックします。

7. コンソール ツリーで、[証明書 (ローカル コンピュータ)] を展開し、[信頼されたルート証明機関] を展開して [証明書] をクリックします。

8. 詳細ウィンドウで、CA が、信頼されたルート証明機関の一覧にあることを確認します。

9. 各エッジ サーバーでこの手順を繰り返します。

内部インターフェイスの証明書要求を作成するには

1. 1 台のエッジ サーバーの展開ウィザードで、[エッジ サーバーの展開] ページの [ステップ 4: エッジ サーバーの証明書の構成] の横にある [実行] をクリックします。

2. Communications 証明書ウィザードの [ようこそ] ページで、[次へ] をクリックします。

3. [利用可能な証明書タスク] ページの [新しい証明書を作成する] をクリックし、[次へ] をクリックします。

4. [証明書を要求するコンポーネントの選択] ページで、[エッジ サーバーのプライベート インターフェイス] チェック ボックスをオンにして、[次へ] をクリックします。

5. [証明書要求の送信方法] ページで、[要求を準備して後で送信する] チェック ボックスをオンにして、[次へ] をクリックします。

   注:
   エッジ サーバーからエンタープライズ CA に接続できる場合は、[要求をすぐにオンライン証明機関に送信する] オプションを使用できます。通常は接続できないため、この手順およびこのガイドのその他の証明書要求の手順では、このオプションを使用する方法について説明していません。 また、要求を作成した後、要求は保留中になり、証明書ウィザードでは、保留中の要求を処理するまで別の要求を作成できなくなります。

6. [名前およびセキュリティの設定] ページで、証明書のフレンドリ名を入力し、ビット長 (通常は既定値 1024) を指定します。[証明書をエクスポート可能にする] チェック ボックスがオンになっていることを確認し、[次へ] をクリックします。

7. [組織情報] ページで、組織の名前と組織単位 (部や課など) を入力し、[次へ] をクリックします。

8. [サーバーのサブジェクト名] ページで、エッジ サーバーのサブジェクト名とサブジェクト代替名を入力または選択します。

   サブジェクト名は、証明書を構成している内部インターフェイスのファイアウォール内部で公開されているエッジ サーバーの完全修飾ドメイン名 (FQDN) と一致する必要があります。

   • エッジ サーバーの内部インターフェイスの場合、このサブジェクト名は、内部サーバーがエッジ サーバーへの接続に使用する名前 (通常は、エッジ サーバーの内部インターフェイスの FQDN) と一致する必要があります。
   • ロード バランサを使用している場合、エッジ サーバーのトラフィックは引き続き、サーバーの内部境界の FQDN (サーバー名) を使用します。ただし、エッジ サーバーに仮想 IP アドレスを使用している場合は、証明書が、内部ロード バランサのこのサーバーの役割で使用されている仮想 IP アドレスのサーバー FQDN と一致する必要があります。内部インターフェイスの場合は、通常、サブジェクト名は、エッジ サーバーにマップされ、境界ネットワークに公開されているドメイン ネーム システム (DNS) 名です。

9. エッジ サーバーのコンピュータ名を証明書の代替名の一覧に追加する場合は、[ローカル コンピュータ名をサブジェクト代替名に自動的に追加する] チェック ボックスをオンにします。

10. [次へ] をクリックします。

11. [地理情報] ページで、場所情報を入力し、[次へ] をクリックします。

12. [証明書要求ファイル名] ページで、[ファイル名] ボックスに、要求の保存先の完全なパスとファイル名 (C:\certrequest_AccessEdge.txt など) を入力し、[次へ] をクリックします。

13. [要求の概要] ページで、[次へ] をクリックします。

14. ウィザードの完了ページで、正常に完了したことを確認し、[完了] をクリックします。

15. 電子メールまたはお使いのエンタープライズ CA の組織でサポートされている他の方法で、このファイルを CA に送信し、応答ファイルを受信したら、新しい証明書をこのコンピュータにコピーし、インポートできるようにします。

16. 各エッジ サーバーでこの手順を繰り返します。

内部インターフェイス用の証明書をインポートするには

1. 証明書要求を作成したエッジ サーバーの展開ウィザードで、[エッジ サーバーの展開] ページの [ステップ 4: エッジ サーバーの証明書の構成] の横にある [実行] をクリックします。

2. Communications 証明書ウィザードの [ようこそ] ページで、[次へ] をクリックします。

3. [保留中の証明書要求] ページで、[オフライン証明書要求を処理し証明書をインポートする] をクリックし、[次へ] をクリックします。

4. [保留中の要求を処理] ページの [パスおよびファイル名] ボックスに、このエッジ サーバーの内部インターフェイス用に要求して受信した証明書の完全なパスおよびファイル名を入力し、[次へ] をクリックします。

5. ウィザードの完了ページで、正常に完了したことを確認し、[完了] をクリックします。

(他のエッジ サーバーで使用するために) 証明書をエクスポートするには

1. 証明書を要求してインポートしたエッジ サーバーの展開ウィザードで、[エッジ サーバーの展開] ページの [ステップ 4: エッジ サーバーの証明書の構成] の横にある [実行] をクリックします。

2. Communications 証明書ウィザードの [ようこそ] ページで、[次へ] をクリックします。

3. [利用可能な証明書タスク] ページで、[.pfx ファイルに証明書をエクスポートする] をクリックし、[次へ] をクリックします。

4. [利用可能な証明書] ページの [証明書の選択] で、このエッジ サーバーにインポートした証明書をクリックし、[次へ] をクリックします。

5. [証明書のエクスポート] ページの [パスおよびファイル名] ボックスに、証明書のエクスポート先となるファイルの完全なパスとファイル名を入力し、[次へ] をクリックします。

   可能であれば、証明書パスにあるすべての証明書を含めます。

6. [証明書のエクスポート パスワード] ページの [パスワード] ボックスに、他のエッジ サーバーで証明書のインポートに使用するパスワードを入力し、[次へ] をクリックします。

7. ウィザードの完了ページで、正常に完了したことを確認し、[完了] をクリックします。

8. エクスポートしたファイルを、他のエッジ サーバーからアクセスできる場所またはメディアにコピーします。

他のエッジ サーバーで内部インターフェイス用の証明書をインポートするには

1. このサイトの他の各エッジ サーバーの展開ウィザードで、[エッジ サーバーの展開] ページの [ステップ 4: エッジ サーバーの証明書の構成] の横にある [実行] をクリックします。

2. Communications 証明書ウィザードの [ようこそ] ページで、[次へ] をクリックします。

3. [利用可能な証明書タスク] ページで、[.pfx ファイルから証明書をインポートする] をクリックし、[次へ] をクリックします。

4. [証明書のインポート] ページの [パスおよびファイル名] ボックスに、最初のエッジ サーバーからエクスポートした証明書の完全なパスとファイル名を入力し、[証明書をエクスポート可能にする] チェック ボックスをオフにして、[次へ] をクリックします。

5. [証明書のインポート パスワード] ページの [パスワード] ボックスに、最初のサーバーから証明書をエクスポートするときに入力したパスワードを入力し、[次へ] をクリックします。

6. ウィザードの完了ページで、正常に完了したことを確認し、[完了] をクリックします。

7. 同じ証明書を使用する各エッジ サーバーで、この手順を繰り返します。

エッジ サーバーの内部インターフェイスに証明書を割り当てるには

1. 各エッジ サーバーの展開ウィザードで、[エッジ サーバーの展開] ページの [ステップ 4: エッジ サーバーの証明書の構成] の横にある [実行] をクリックします。

2. Communications 証明書ウィザードの [ようこそ] ページで、[次へ] をクリックします。

3. [利用可能な証明書タスク] ページの [既存の証明書を割り当てる] をクリックし、[次へ] をクリックします。

4. [利用可能な証明書] ページで、このエッジ サーバーの内部インターフェイス用に要求した証明書をクリックし、[次へ] をクリックします。

5. [利用可能な証明書の割り当て] ページで、[エッジ サーバーのプライベート インターフェイス] チェック ボックス (証明書をインストールするサーバー インターフェイス) をオンにして、[次へ] をクリックします。

6. [サーバーの証明書設定を構成します] ページで、設定を確認し、[次へ] をクリックして証明書を割り当てます。

7. ウィザードの完了ページで [完了] をクリックします。

8. この証明書を割り当てた各エッジ サーバーで、この手順を繰り返します。