フロント エンド サーバーの証明書の構成
トピックの最終更新日: 2011-10-28
重要: |
---|
証明書ウィザードを実行する場合、使用する証明書テンプレートの種類に対して適切なアクセス許可が割り当てられたグループのメンバーであるアカウントを使用してログインしていることを確認してください。既定では、Lync Server 証明書要求では、Web サーバー証明書テンプレートが使用されます。RTCUniversalServerAdmins グループのメンバーであるアカウントおよびこのテンプレートを使用して証明書を要求する場合、そのテンプレートを使用するために必要な登録アクセス許可がそのグループに割り当てられていることを確認してください。 |
この手順を正常に完了するには、RTCUniversalServerAdmins グループのメンバー ユーザーとしてログオンするか、適切なアクセス許可が委任されているユーザーとしてログオンする必要があります。アクセス許可委任の詳細については、「セットアップのアクセス許可の委任」を参照してください。組織や証明書要求の要件によっては、他のグループ メンバーシップが必要な場合もあります。使用する公開キー基盤 (PKI) の証明機関 (CA) を管理するグループと相談してください。
注: |
---|
Lync Server 2010 では、Lync 2010 Phone Edition に加えて、Windows Vista、Windows Server 2008、Windows Server 2008 R2、および Windows 7 の各オペレーティング システムを実行しているクライアントからの接続についての SHA-256 証明書がサポートされています。SHA-256 を使用する外部アクセスをサポートするには、SHA-256 を使用するパブリック CA が外部証明書を発行する必要があります。 |
各フロントエンド サーバーには最大 3 つの証明書 (既定の証明書、Web 内部証明書、Web 外部証明書) が必要です。 ただし、既定の証明書を要求して、適切なサブジェクトの別名エントリを割り当てることもできます。証明書要件の詳細については、「内部サーバーに対する証明書要件」を参照してください。次の手順を使用して、フロントエンド サーバー の証明書の要求、割り当て、およびインストールを実行します。各フロントエンド サーバーでこの手順を繰り返します。
注: |
---|
既定の構成プロセスで要求される証明書は 1 つだけです。 受信された証明書は、フロント エンド サーバーに割り当てられます。 証明書はフロント エンド サーバーの役割に割り当てられます。フロント エンド サーバーでホストされている Web サービスにも割り当てられます。 |
重要: |
---|
以下の手順では、組織がオフライン要求処理で展開した内部エンタープライズ PKI から証明書を構成する方法を説明します。パブリック CA からの証明書取得の詳細については、「計画」のドキュメントの「内部サーバーに対する証明書要件」を参照してください。 この手順では、フロントエンド サーバーの設定中に、証明書を要求、割り当て、およびインストールする方法についても説明します。 この「展開」のドキュメントの「事前の証明書の要求 (オプション)」セクションに従って、証明書を事前に要求した場合、または組織に展開されている内部エンタープライズ PKI を使用して証明書を取得する必要がない場合には、この手順を適宜変更する必要があります。 |
フロント エンド サーバーの証明書を構成するには
Lync Server 展開ウィザード の [ステップ 3: 証明書の要求、インストール、または割り当て] の横にある [実行] をクリックします。
証明書ウィザードのページで [要求] をクリックします。
[証明書要求] ページで [次へ] をクリックします。
[要求を後で送信または今すぐ送信] ページで、[次へ] をクリックすることで、既定の [要求をすぐにオンライン証明機関に送信する] オプションを承諾できます。このオプションを選択した場合、自動オンライン登録による内部 CA を利用可能にする必要があります。要求延期オプションを選択すると、証明書の要求ファイルを保存するための名前と場所の入力を求められます。証明書の要求は、組織内の CA またはパブリック CA へ送信され、そこで処理される必要があります。要求者は証明書応答をインポートして、適切な証明書の役割に割り当てる必要があります。
[証明機関 (CA) を選択してください] ページで、[環境で検出された一覧から CA を選択する] をクリックして、Active Directory ドメイン サービス (AD DS) で登録された既知の CA を一覧から選択します。 あるいは、[別の証明機関を指定してください] をクリックし、ボックスに別の CA の名前を入力してから、[次へ] をクリックします。
[証明機関のアカウント] ページで、CA に対する証明書要求の要求および処理のために、資格情報の入力を求められます。証明書を要求するためには、ユーザー名とパスワードが必要かどうかを、事前に判断する必要があります。必要な情報は CA 管理者が保有しているので、このステップでは CA 管理者のサポートが必要な場合もあります。別の資格情報の入力が必要な場合は、チェック ボックスをオンにし、テキスト ボックスにユーザー名とパスワードを入力してから、[次へ] をクリックします。
[代替証明書テンプレートの指定] ページで、既定の Web サーバー テンプレートを使用する場合は [次へ] をクリックします。
注: CA の既定の Web サーバー テンプレートの代わりに使用するテンプレートを組織が作成している場合は、チェック ボックスをオンにして、代替のテンプレートの名前を入力します。CA 管理者が定義したテンプレートの名前を入力する必要があります。 [名前およびセキュリティの設定] ページで、証明書と目的を特定できる [フレンドリ名] を指定します。空白のままにした場合、名前は自動的に生成されます。キーの [ビット長] を設定するか、既定の 2048 ビットをそのまま使用します。 証明書と秘密キーを別のシステムに移動またはコピーするする必要があると判断した場合は、[証明書の秘密キーをエクスポート可能にする] をクリックし、[次へ] をクリックします。
注: Lync Server 2010 には、エクスポート可能な秘密キーに対する最小要件があります。その対象の 1 つがプール内のエッジ サーバーで、ここではメディア リレー認証サービスが、プール内の各インスタンスに対する個々の証明書ではなく、証明書のコピーを使用します。 [組織情報] ページで、必要に応じて組織情報を入力してから、[次へ] をクリックします。
[地理情報] ページで、必要に応じて地理情報を入力してから、[次へ] をクリックします。
[サブジェクト名/サブジェクト代替名] ページで、追加するサブジェクトの別名を確認してから、[次へ] をクリックします。
[SIP ドメインの設定] ページで、[SIP ドメイン] をクリックしてから、[次へ] をクリックします。
[追加のサブジェクト代替名の構成] ページで、追加する必須サブジェクトの別名 (今後追加する SIP ドメインで必要になる可能性がある名前を含む) を入力し、[次へ] をクリックします。
[証明書要求の概要] ページで、概要情報を確認します。 情報が正しい場合には、[次へ] をクリックします。 設定を修正または変更する必要がある場合には、[戻る] をクリックし、該当するページで修正または変更します。
[コマンドを実行しています] ページで、[次へ] をクリックします。
[オンライン証明書要求の状態] ページで、戻された情報を確認します。 証明書が発行され、ローカル証明書ストアにインストールされたことを確認する必要があります。 発行およびインストールされた証明書が有効でないとの結果が表示された場合には、CA ルート証明書がサーバーの信頼されたルート CA ストアにインストールされていることを確認します。 信頼されたルート CA 証明書の取得方法については、CA のドキュメントを参照してください。 取得した証明書を表示する必要がある場合には、[証明書の詳細の表示] をクリックします。 既定では [Lync Server 証明書の使用法に証明書を割り当てる] チェック ボックスがオンになっています。 証明書を手動で割り当てる場合には、チェック ボックスをオフにしてから、[終了] をクリックします。
前のページで [Lync Server 証明書の使用法に証明書を割り当てる] チェック ボックスをオフにした場合には、[証明書の割り当て] ページが表示されます。[次へ] をクリックします。
[証明書ストア] ページで、要求した証明書を選択します。 証明書を表示するには、[証明書の詳細の表示] をクリックし、[次へ] をクリックして続行します。
注: [オンライン証明書要求の状態] ページに、証明書が有効でないなど、証明書の問題が表示された場合には、実際の証明書を表示することで、この問題を解決できることがあります。 証明書が有効でない原因としては、2 つの具体的な問題が考えられます。前述の信頼されたルート CA 証明書がないという問題と、証明書に関連付けられている秘密キーがないという問題です。 これらの 2 つの問題を解決するには、CA のドキュメントを参照してください。 [証明書の割り当ての概要] ページに表示された情報から、適切な証明書が割り当てられていることを確認し、[次へ] をクリックします。
[コマンドの実行] ページで、コマンドの出力を確認します。 割り当てプロセスを確認する場合、またはエラーや警告が発行されたかどうかを確認する場合には、[ログの表示] をクリックします。 確認を終了したら、[終了] をクリックします。
[証明書ウィザード] ページで、証明書の [状態] が [割り当て済み] であることを確認してから、[閉じる] をクリックします。