Lync Server 2013 でのリバース HTTP プロキシ用の証明書の要求と構成
トピック最終更新日: 2014-02-14
Microsoft Forefront Threat Management Gateway 2010 または IIS ARR を実行しているサーバーに、Microsoft Lync Server 2013 を実行している内部サーバーにサーバー証明書を発行した CA インフラストラクチャのルート証明機関 (CA) 証明書をインストールする必要があります。
また、リバース プロキシ サーバーにパブリック Web サーバー証明書をインストールする必要があります。 この証明書のサブジェクトの別名には、リモート アクセスが有効なユーザーが所属する各プールの公開された外部完全修飾ドメイン名 (FQDN) と、そのエッジ インフラストラクチャ内で使用されるすべてのディレクターまたはディレクター プールの外部 FQDN が含まれている必要があります。 サブジェクトの別名には、会議の単純な URL、ダイヤルインの単純な URL も含まれている必要があります。また、モバイル アプリケーションを展開し、自動検出を使用する予定の場合は、次の表に示すように外部の自動検出サービス URL も含める必要があります。
値 | 例 | |
---|---|---|
サブジェクト名 |
プールの FQDN |
webext.contoso.com |
サブジェクトの別名 |
プールの FQDN |
webext.contoso.com 大事な サブジェクト名は、サブジェクトの別名にも含まれている必要があります。 |
サブジェクトの別名 |
オプションの Director Web Services (Director がデプロイされている場合) |
webdirext.contoso.com |
サブジェクトの別名 |
会議のシンプルな URL 注意 会議の単純な URL はすべて、サブジェクトの別名にする必要があります。 各 SIP ドメインには、アクティブな会議のシンプルな URL が少なくとも 1 つ必要です。 |
meet.contoso.com |
サブジェクトの別名 |
ダイヤルインの簡易 URL |
dialin.contoso.com |
サブジェクトの別名 |
Office Web Apps サーバー |
officewebapps01.contoso.com |
サブジェクトの別名 |
外部自動検出サービス URL |
lyncdiscover.contoso.com 注意 Microsoft Exchange Serverも使用している場合は、Exchange 自動検出 URL と Web サービス URL のリバース プロキシ規則も構成する必要があります。 |
注意
内部展開が複数の Standard Edition サーバーまたはフロントエンド プールで構成されている場合は、外部 Web ファーム FQDN ごとに Web 発行規則を構成する必要があり、それぞれに証明書と Web リスナーが必要であるか、サブジェクトの別名にすべてのプールで使用される名前が含まれている証明書を取得する必要があります。 を Web リスナーに割り当て、複数の Web 公開ルール間で共有します。
証明書要求を作成する
リバース プロキシで証明書要求を作成します。 別のコンピューターで要求を作成しますが、秘密キーを使用して署名された証明書をエクスポートし、パブリック証明機関から受信したらリバース プロキシにインポートする必要があります。
注意
証明書要求または証明書署名要求 (CSR) は、要求するコンピューターの公開キーを検証して署名するための信頼された公開証明機関 (CA) への要求です。 証明書が生成されると、公開キーと秘密キーが作成されます。 公開キーのみが共有され、署名されます。 名前が示すように、公開キーは任意のパブリック要求で使用できるようになります。 公開キーは、情報を安全に交換し、コンピューターの ID を検証する必要があるクライアント、サーバー、その他の要求元が使用します。 秘密キーはセキュリティで保護され、その公開キーで暗号化されたメッセージの暗号化を解除するためにキー ペアを作成したコンピューターによってのみ使用されます。 秘密キーは、他の目的で使用できます。 リバース プロキシの目的では、データ暗号化が主に使用されます。 第 2 に、証明書キー レベルでの証明書認証は別の用途であり、要求元がコンピューターの公開キーを持っていること、または公開キーを持っているコンピューターが実際に要求するコンピューターであることを検証することのみに限定されます。
ヒント
エッジ サーバー証明書とリバース プロキシ証明書を同時に計画する場合は、2 つの証明書要件の間に大きな類似性があることに注意してください。 エッジ サーバー証明書を構成して要求する場合は、エッジ サーバーとリバース プロキシサブジェクトの別名を組み合わせます。 証明書と秘密キーをエクスポートし、エクスポートしたファイルをリバース プロキシにコピーし、証明書とキーのペアをインポートし、今後の手順で必要に応じて割り当てる場合は、リバース プロキシに同じ証明書を使用できます。 Lync Server 2013 のエッジ サーバー証明書のエッジ サーバー計画の証明書要件と、Lync Server 2013 のリバース プロキシ証明書の概要 - リバース プロキシに関するセクションを参照してください。 エクスポート可能な秘密キーを使用して証明書を作成していることを確認します。 プールされたエッジ サーバーでは、エクスポート可能な秘密キーを使用して証明書と証明書の要求を作成する必要があるため、これは通常の方法であり、エッジ サーバーの Lync Server 展開ウィザードの証明書ウィザードで 秘密キーをエクスポート可能にする フラグを設定できます。 公開証明機関から証明書要求を受信したら、証明書と秘密キーをエクスポートします。 秘密キーを使用して証明書を作成およびエクスポートする方法の詳細については、「 Lync Server 2013 の外部エッジ インターフェイスの証明書を設定 する」の「プール内のエッジ サーバーの秘密キーを使用して証明書をエクスポートするには」セクションを参照してください。 証明書の拡張子は 、.pfx 型である必要があります。
証明書と秘密キーが割り当てられるコンピューターで証明書署名要求を生成するには、次の操作を行います。
証明書署名要求の作成
Microsoft Management Console (MMC) を開き、証明書スナップインを追加して[ コンピューター]、[ 個人用] の順に展開します。 Microsoft Management Console (MMC) で証明書コンソールを作成する方法の詳細については、以下を参照してください https://go.microsoft.com/fwlink/?LinkId=282616。
[証明書] を右クリックし、[すべてのタスク] をクリックし、[高度な操作] をクリックして、[カスタム要求の作成] をクリックします。
[ 証明書の登録] ページで、[ 次へ] をクリックします。
[カスタム要求] の [証明書登録ポリシーの選択] ページで、[登録ポリシーなしで続行] を選択します。 [次へ] をクリックします。
[カスタム要求] ページの [テンプレート] で [レガシ キー] を選択します (テンプレートなし)。 証明書プロバイダーから指示がない限り、既定の拡張機能を抑制するはオフのままにし、PKCS #10 で [要求形式] を選択します。 [次へ] をクリックします。
[ 証明書情報 ] ページで[ 詳細]、[ プロパティ] の順にクリックします。
[フレンドリ名] フィールドの [全般] タブの [証明書のプロパティ] ページで、この証明書の名前を入力します。 必要に応じて、[ 説明 ] フィールドに説明を入力します。 フレンドリ名と説明は、通常、 Lync Server のリバース プロキシ リスナーなど、証明書の目的を識別するために管理者によって使用されます。
[件名] タブを選択します。[種類] の [サブジェクト名] で、[サブジェクト名の種類] の [共通名] を選択します。 [値] に、リバース プロキシに使用するサブジェクト名を入力し、[追加] をクリックします。 このトピックの表に示す例では、サブジェクト名が webext.contoso.com され、サブジェクト名の [値] フィールドに入力されます。
[別名] の [サブジェクト] タブで、[種類] のドロップダウンから [DNS] を選択します。 証明書に必要な定義済みのサブジェクト代替名ごとに、完全修飾ドメイン名を入力し、[ 追加] をクリックします。 たとえば、テーブルには、meet.contoso.com、dialin.contoso.com、lyncdiscover.contoso.com の 3 つのサブジェクト代替名があります。 [ 値] フィールドに「meet.contoso.com」と入力し、[ 追加] をクリックします。 定義する必要があるサブジェクトの別名ごとに繰り返します。
[ 証明書のプロパティ ] ページで、[ 拡張機能 ] タブをクリックします。このページでは、 キーの使用法 で暗号化キーの目的を定義し、拡張キー使用法 (アプリケーション ポリシー) で拡張キーの使用を定義します。
[ キー使用法 ] 矢印をクリックして、[ 使用可能なオプション] を表示します。 [使用可能なオプション] で [ デジタル署名] をクリックし、[ 追加] をクリックします。 [ キー暗号化] をクリックし、[ 追加] をクリックします。 [ これらのキー使用法を重要にする ] チェック ボックスがオフになっている場合は、チェック ボックスをオンにします。
[ 拡張キー使用法 (アプリケーション ポリシー)] 矢印をクリックして、[ 使用可能なオプション] を表示します。 [使用可能なオプション] で [ サーバー認証] をクリックし、[ 追加] をクリックします。 [ クライアント認証] をクリックし、[ 追加] をクリックします。 [ 拡張キー使用法を重要にする ] チェック ボックスがオンになっている場合は、チェック ボックスをオフにします。 [キー使用法] チェック ボックス (オンにする必要があります) とは異なり、[拡張キー使用法] チェック ボックスがオンになっていないことを確認する必要があります。
[ 証明書のプロパティ ] ページで、[ 秘密キー ] タブをクリックします。[ キー オプション ] 矢印をクリックします。 [キー サイズ] で、ドロップダウンから 2048 を選択します。 この証明書の対象となるリバース プロキシ以外のコンピューターでこのキー ペアと CSR を生成する場合は、[ 秘密キーをエクスポート可能にする] を選択します。
セキュリティ に関する注意: 証明書と秘密キーをファーム内の各コンピューターにコピーするため、一般に、ファームに複数のリバース プロキシがある場合は、[秘密キーを エクスポート可能にする ] を選択することをお勧めします。 エクスポート可能な秘密キーを許可する場合は、証明書とそれが生成されるコンピューターに注意を払う必要があります。 秘密キーが侵害された場合、証明書は役に立たなくなります。また、コンピューターまたはコンピューターを外部アクセスやその他のセキュリティの脆弱性にさらす可能性があります。 [ 秘密キー ] タブで、[ キーの種類 ] 矢印をクリックします。 Exchange オプションを選択します。
[ OK] を クリックして、設定した 証明書のプロパティ を保存します。
[ 証明書の登録] ページで、[ 次へ] をクリックします。
[ オフライン要求を保存する場所 ] ページで、証明書署名要求を保存するための ファイル名 と ファイル形式 を入力するように求められます。
[ ファイル名] 入力フィールドに、要求のパスとファイル名を入力するか、[ 参照 ] をクリックしてファイルの場所を選択し、要求のファイル名を入力します。
[ファイル形式] で、[Base 64] または [バイナリ] をクリックします。 証明書のベンダーから指示がない限り、 Base 64 を選択します。
前の手順で保存した要求ファイルを見つけます。 パブリック証明機関に提出します。
大事な
Microsoft は、ユニファイド コミュニケーションの目的の要件を満たすパブリック CA を特定しました。 リストは、次のサポート情報記事で管理されています。 https://go.microsoft.com/fwlink/?LinkId=282625