次の方法で共有

Lync Server 2013 での内部エッジ インターフェイス用の証明書の設定

  • [アーティクル]

 

トピック最終更新日時: 2013-11-07

大事な

証明書ウィザードを実行するときは、使用する証明書テンプレートの種類に対する適切なアクセス許可が割り当てられているグループのメンバーであるアカウントを使用してログインしていることを確認します。 既定では、Lync Server 2013 証明書要求では Web Server 証明書テンプレートが使用されます。 RTCUniversalServerAdmins グループのメンバーであるアカウントを使用してこのテンプレートを使用して証明書を要求する場合は、そのテンプレートを使用するために必要な登録アクセス許可がグループに割り当てられていることを確認します。

各エッジ サーバーの内部インターフェイスには、1 つの証明書が必要です。 内部インターフェイスの証明書は、内部エンタープライズ証明機関 (CA) またはパブリック CA によって発行できます。 組織に内部 CA が展開されている場合は、内部 CA を使用して内部インターフェイスの証明書を発行することで、パブリック証明書を使用するコストを節約できます。 内部の Windows Server 2008 CA または Windows Server 2008 R2 CA を使用して、これらの証明書を作成できます。

この証明書とその他の証明書の要件の詳細については、「 Lync Server 2013 での外部ユーザー アクセスに関する証明書の要件」を参照してください。

サイトの内部エッジ インターフェイスに証明書を設定するには、このセクションの手順に従って次の操作を行います。

  1. 内部インターフェイスの CA 認定チェーンを各エッジ サーバーにダウンロードします。

  2. 各エッジ サーバーで、内部インターフェイスの CA 認定チェーンをインポートします。

  3. 最初のエッジ サーバーと呼ばれる 1 つのエッジ サーバーで、内部インターフェイスの証明書要求を作成します。

  4. 最初のエッジ サーバーの内部インターフェイスの証明書をインポートします。

  5. このサイトの他のエッジ サーバー (またはこのロード バランサーの背後に展開) に証明書をインポートします。

  6. すべてのエッジ サーバーの内部インターフェイスに証明書を割り当てます。

複数のサイトにエッジ サーバー (複数サイト のエッジ トポロジ) がある場合、または異なるロード バランサーの背後に個別のエッジ サーバー セットがデプロイされている場合は、Edge サーバーを持つサイトごとに、および異なるロード バランサーの背後に配置されたエッジ サーバーのセットごとに、次の手順に従う必要があります。

注意

このセクションの手順は、Windows Server 2008 CA、Windows Server 2008 R2 CA、Windows Server 2012 CA、または Windows Server 2012 R2 CA を使用して各エッジ サーバーの証明書を作成する方法に基づいています。 その他の CA の詳細なガイダンスについては、その CA のドキュメントを参照してください。 既定では、認証されたすべてのユーザーは、証明書を要求するための適切なユーザー権限を持っています。
このセクションの手順は、Edge Server 展開プロセスの一環として、エッジ サーバーで証明書要求を作成することに基づいています。 フロントエンド サーバーを使用して証明書要求を作成できます。 これを行うと、エッジ サーバーの展開を開始する前に、計画と展開プロセスの早い段階で証明書要求を完了できます。 これを行うには、要求する証明書がエクスポート可能な秘密キーで定義されていることを確認する必要があります。
このセクションの手順では、証明書に .cer ファイルと .p7b ファイルを使用する方法について説明します。 別の種類のファイルを使用する場合は、必要に応じてこれらの手順を変更します。

certsrv Web サイトを使用して内部インターフェイスの CA 認定チェーンをダウンロードするには

  1. 内部ネットワーク内の Lync Server 2013 サーバー (エッジ サーバーではなく) に 管理者 グループのメンバーとしてログオンします。

  2. コマンド プロンプトで次のコマンドを実行するには、[ スタート] ボタンをクリックし、[ 実行] をクリックし、次のように入力します。

    https://<name of your Issuing CA Server>/certsrv

    次に例を示します。

    https://ca01.contoso.net/certsrv

    注意

    Windows Server 2008 または Windows Server 2008 R2 エンタープライズ CA を使用している場合は、http ではなく https を使用する必要があります。

  3. 発行元の CA の certsrv Web ページで、[タスクの選択] の [CA 証明書、証明書チェーン、または CRL のダウンロード] をクリックします。

  4. [ CA 証明書、証明書チェーン、または CRL のダウンロード] で、[ CA 証明書チェーンのダウンロード] をクリックします。

  5. [ ファイルのダウンロード ] ダイアログ ボックスで、[ 保存] をクリックします。

  6. .p7b ファイルをサーバー上のハード ディスク ドライブに保存し、各エッジ サーバーのフォルダーにコピーします。

    注意

    .p7b ファイルには、認定パス内にあるすべての証明書が含まれています。 認定パスを表示するには、サーバー証明書を開き、認定パスをクリックします。

MMC を使用して内部インターフェイスの CA 認定チェーンをエクスポートするには

  1. Microsoft Management Console (MMC) を使用して、ドメインに参加している任意のコンピューターから CA ルート証明書をエクスポートできます。 [ スタート] ボタンをクリックし、[ 実行] をクリックして、「 MMC」と入力します。

  2. MMC コンソールで、[ ファイル] をクリックし、[ 追加と削除] をクリックします。

  3. [ スナップインの追加と削除] ダイアログ ボックスの一覧で [ 証明書] を選択し、[ 追加] をクリックします。 メッセージが表示されたら、[ コンピューター アカウント] を選択します。 [コンピューターの選択] ダイアログで、[ローカル コンピューター] を選択します。 [完了] をクリックします。 [OK] をクリックします。

  4. 証明書 (ローカル コンピューター)を展開します。 [信頼されたルート証明機関] を展開し、[証明書] を選択します

  5. 使用している CA によって発行されたルート証明書をクリックします。 証明書を右クリックし、[ すべてのタスク] を選択し、[エクスポート] を選択 します証明書のエクスポート ウィザードが開きます。

  6. 証明書のエクスポート ウィザードで、[次へ] をクリックします。

  7. [ ファイル形式のエクスポート ] ダイアログで、エクスポート先の形式を選択します。 暗号化メッセージ構文 Standard – PKCS #7 証明書 (.P7B)暗号化メッセージ構文 Standard – PKCS #7 証明書 (.P7B)、証明書チェーン (ルート CA 証明書、中間 CA 証明書など) をエクスポートするには、[証明書パスにすべての証明書を含める (可能な場合)] チェック ボックスをオンにします。 [次へ] をクリックします。

  8. ファイル名エントリの [ エクスポートするファイル ] ダイアログで、エクスポートされた証明書のパスとファイル名 (既定の拡張子は .p7b) を入力します。 必要に応じて、[ 参照] をクリックし、エクスポートされた証明書を配置するディレクトリを探し、エクスポートされた証明書の名前を指定します。 [保存] をクリックします。 [次へ] をクリックします。

  9. アクションの概要を確認し、[ 完了] をクリックして証明書のエクスポートを完了します。 エクスポートが正常に完了したら、[OK] をクリックします。

内部インターフェイスの CA 認定チェーンをインポートするには

  1. 各エッジ サーバーで、[スタート] をクリックし、[ファイル名を指定して実行] をクリックし、[開く] ボックスに「mmc」と入力し、[OK] をクリックして Microsoft 管理コンソール (MMC) を開きます

  2. [ ファイル ] メニューの [ スナップインの追加と削除] をクリックし、[ 追加] をクリックします。

  3. [ スタンドアロン スナップインの追加] ボックスで 、[ 証明書] をクリックし、[ 追加] をクリックします。

  4. [証明書スナップイン] ダイアログ ボックスの [コンピューター アカウント] をクリックし、[次へ] をクリックします。

  5. [ コンピューターの選択 ] ダイアログ ボックスで、[ ローカル コンピューター: (このコンソールが実行されているコンピューター)] チェック ボックスがオンになっていることを確認し、[完了] をクリック します

  6. [ 閉じる] をクリックし、[OK] をクリック します

  7. コンソール ツリーで [ 証明書 (ローカル コンピューター)] を展開し、[ 信頼されたルート証明機関] を右クリックし、[ すべてのタスク] をポイントして、[ インポート] をクリックします。

  8. ウィザードの [ インポートするファイル] で、証明書のファイル名 (つまり、前の手順で内部インターフェイスの CA 認定チェーンをダウンロードしたときに指定した名前) を指定します。

  9. 各エッジ サーバーでこの手順を繰り返します。

内部インターフェイスの証明書要求を作成するには

  1. いずれかのエッジ サーバーで展開ウィザードを起動し、[ 手順 3: 証明書の要求、インストール、または割り当て] の横にある [ 実行] をクリックします。

    注意

    1 つのプール内の 1 つの場所に複数のエッジ サーバーがある場合は、いずれかのエッジ サーバーで証明書ウィザードを実行できます。
    手順 3 を初めて実行すると、ボタンが [再実行] に変わり、タスクが正常に完了したことを示す緑色のチェック マークは、すべての必須証明書が要求、インストール、および割り当てられるまで表示されません。

  2. [利用可能な証明書タスク] ページで、[新しい証明書要求を作成する] をクリックします。

  3. [ 証明書要求] ページで、[ 次へ] をクリックします。

  4. [要求を後で送信または今すぐ送信] ページで、[要求を準備して後で送信する] をクリックします。

  5. [ 証明書要求ファイル] ページで、要求を保存する完全なパスとファイル名 ( c:\cert_internal_edge.cer など) を入力します。

  6. [ 代替証明書テンプレートの指定 ] ページで、既定の WebServer テンプレート以外のテンプレートを使用するには、[ 選択した証明機関に代替証明書テンプレートを使用する ] チェック ボックスをオンにします。

  7. [名前とセキュリティの設定] ページで、次の操作を行います。

    • [フレンドリ名] に、証明書の表示名 (内部エッジなど) を入力します。

    • [ ビット長] で、ビット長を指定します (通常、既定値は 2048)。

      注意

      ビット長が長いほどセキュリティは向上しますが、速度に悪影響を及ぼします。

    • 証明書をエクスポート可能にする必要がある場合は、[ 証明書の秘密キーをエクスポート可能としてマーク する] チェック ボックスをオンにします。

  8. [ 組織情報 ] ページで、組織と組織単位 (OU) の名前 (部署や部署など) を入力します。

  9. [ 地理情報 ] ページで、場所情報を指定します。

  10. [ サブジェクト名/サブジェクトの別名] ページに、ウィザードによって自動的に設定される情報が表示されます。

  11. [ 追加のサブジェクト代替名の構成 ] ページで、必要な追加のサブジェクト代替名を指定します。

  12. [要求の概要] ページで、要求の生成に使用される証明書情報を確認します。

  13. コマンドが完了したら、次の操作を行います。

    • 証明書要求のログを表示するには、[ログの 表示] をクリックします。

    • 証明書要求を完了するには、[ 次へ] をクリックします。

  14. [ 証明書要求ファイル] ページで、次の操作を行います。

    • 生成された証明書署名要求 (CSR) ファイルを表示するには、[ 表示] をクリックします。

    • ウィザードを閉じるには、[完了] をクリックします。

  15. このファイルを CA に送信します (エンタープライズ CA の組織でサポートされている電子メールまたはその他の方法で)、応答ファイルを受信したら、インポートできるように新しい証明書をこのコンピューターにコピーします。

内部インターフェイスの証明書をインポートするには

  1. ローカル管理者グループのメンバーとして証明書要求を作成したエッジ サーバーにログオンします。

  2. 展開ウィザードの [手順 3: 証明書の要求、インストール、または割り当て] の横にある [ 実行] をもう一度クリックします。

    手順 3 を初めて実行すると、ボタンが [実行] に変わりますが、すべての必須証明書が要求、インストール、割り当てられるまで、緑色のチェック マーク (タスクの正常な完了を示す) は表示されません。

  3. [ 使用可能な証明書タスク ] ページ で、[証明書のインポート元] をクリックします。P7b、.pfx、または .cer ファイル

  4. [ 証明書のインポート ] ページで、このエッジ サーバーの内部インターフェイスに対して要求および受信した証明書の完全なパスとファイル名を入力します (または、[ 参照 ] をクリックしてファイルを見つけて選択します)。

  5. 秘密キーを含む証明書をプールの他のメンバーの証明書にインポートする場合は、 証明書ファイルに証明書の秘密キーが含まれている チェック ボックスをオンにし、パスワードを指定します。

プール内のエッジ サーバーの秘密キーを使用して証明書をエクスポートするには

  1. 証明書をインポートしたのと同じエッジ サーバーに管理者グループのメンバーとしてログオンします。

  2. [ スタート] ボタンをクリックし、[ 実行] をクリックして 、「MMC」と入力します。

  3. MMC コンソールで [ ファイル] をクリックし、[ スナップインの追加と削除] をクリックします。

  4. [スナップインの追加と削除] ページで、[ 証明書] をクリックし、[ 追加] をクリックします。

  5. [証明書スナップイン] ダイアログで、[ コンピューター アカウント] を選択します。 [次へ] をクリックします。 [コンピューターの選択] で、[ ローカル コンピューター] (このコンソールが実行されているコンピューター) を選択します。 [完了] をクリックします。 [ OK] を クリックして MMC コンソールの構成を完了します。

  6. 証明書 (ローカル コンピューター) をダブルクリックして、証明書ストアを展開します。 [個人用] をダブルクリックし、[証明書] をダブルクリックします

    大事な

    ローカル コンピューターの証明書個人用ストアに証明書がない場合、インポートされた証明書に関連付けられている秘密キーはありません。 要求とインポートの手順を確認します。 問題が解決しない場合は、証明機関の管理者またはプロバイダーに問い合わせてください。

  7. ローカル コンピューターの証明書個人用ストアで、エクスポートする証明書を右クリックします。 [ すべてのタスク] をクリックし、[エクスポート] をクリック します

  8. 証明書のエクスポート ウィザードで、[ 次へ] をクリックします。 [はい、秘密キーをエクスポートします] を選択します。 [次へ] をクリックします。

    注意

    [ はい] を選択した場合、秘密キーをエクスポート できません。この証明書に関連付けられている秘密キーはエクスポート用にマークされていません。 エクスポートを続行する前に、秘密キーのエクスポートを許可するように証明書がマークされていることを確認して、証明書をもう一度要求する必要があります。 証明機関の管理者またはプロバイダーに問い合わせてください。

  9. [ファイル形式のエクスポート] ダイアログで、[ Personal Information Exchange – PKCS#12] (.PFX) を選択し、次を選択します。

    • 可能であれば、すべての証明書を証明書パスに含める

    • すべての拡張プロパティをエクスポートする

      警告

      エッジ サーバーから証明書をエクスポートするときは、 エクスポートが成功した場合は、[秘密キーの削除] を選択しないでください。 このオプションを選択するには、証明書と秘密キーをこのエッジ サーバーにインポートする必要があります。

    [次へ] をクリックして続行します。

  10. 秘密キーを保護するためにパスワードを割り当てる場合は、秘密キーのパスワードを入力します。 パスワードを再入力して確認します。 [次へ] をクリックします。

  11. エクスポートする証明書のパスとファイル名を入力し、ファイル拡張子に .pfx を指定します。 このパスは、プール内の他のすべてのエッジ サーバーからアクセス可能であるか、リムーバブル メディア (USB フラッシュ ドライブなど) を使用して転送できる必要があります。 [次へ] をクリックします。

  12. [証明書のエクスポート ウィザードの完了] ダイアログで概要を確認します。 [完了] をクリックします。

  13. エクスポートの成功を示すダイアログ ボックスが表示されたら、[OK] をクリックします。

  14. Lync Server 2013 の外部エッジ インターフェイスの証明書をセットアップする手順に従って、エクスポートされた証明書ファイルを他のエッジ サーバーにインポートします。

エッジ サーバーに内部証明書を割り当てるには

  1. 各エッジ サーバーの展開ウィザードで、[ 手順 3: 証明書の要求、インストール、または割り当て] の横にある [実行] をもう一度クリックします。

  2. [ 使用可能な証明書タスク ] ページで、[ 既存の証明書の割り当て] をクリックします。

  3. [証明書の割り当て] ページで、一覧から [エッジ内部] を選択します。

  4. [ 証明書ストア ] ページで、内部エッジ用にインポートした証明書を選択します (前の手順から)。

  5. [ 証明書の割り当ての概要 ] ページで設定を確認し、[ 次へ ] をクリックして証明書を割り当てます。

  6. ウィザードの完了ページで [完了] をクリックします。

  7. この手順を使用して内部エッジ証明書を割り当てた後、各サーバーで証明書スナップインを開き、[ 証明書 (ローカル コンピューター)] を展開し、[ 個人用] を展開して [ 証明書] をクリックし、詳細ウィンドウで内部エッジ証明書が一覧表示されていることを確認します。

  8. 展開に複数のエッジ サーバーが含まれている場合は、各エッジ サーバーに対してこの手順を繰り返します。