Request-CsCertificate
トピックの最終更新日: 2012-04-23
Microsoft Lync Server 2010 を実行するサーバーとサーバーの役割で使用する証明書を要求することができます。また、既存の証明書要求のステータスをチェックしたり、必要な場合にはそれらの要求のいずれか (またはすべて) を取り消すことができます。
構文
Request-CsCertificate -New <SwitchParameter> -Type <CertType[]> [-AllSipDomain <SwitchParameter>] [-CA <String>] [-CaAccount <String>] [-CaPassword <String>] [-City <String>] [-ClientEKU <$true | $false>] [-ComputerFqdn <Fqdn>] [-Confirm [<SwitchParameter>]] [-Country <String>] [-DomainName <String>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GlobalCatalog <Fqdn>] [-GlobalSettingsDomainController <Fqdn>] [-KeyAlg <RSA | ECDH_P256 | ECDH_P384 | ECDH_P521>] [-KeySize <Int32>] [-Organization <String>] [-OU <String>] [-Output <String>] [-PrivateKeyExportable <$true | $false>] [-Report <String>] [-State <String>] [-Template <String>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -List <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Retrieve <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
Request-CsCertificate -Clear <SwitchParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Report <String>] [-RequestId <Int32>] [-WhatIf [<SwitchParameter>]]
解説
Lync Server 2010 は、サーバーとサーバーの役割がそれぞれの ID を検証できるようにするために、証明書を使用します。たとえば、エッジ サーバー は、証明書を使用して、通信しているコンピューターが実際に フロントエンド サーバー であることを確認します。また、逆の場合も同様です。 Lync Server を完全に実装するには、適切な証明書が適切なサーバーの役割に割り当てられるようにする必要があります。
Lync Server で使用する証明書を要求する方法の 1 つは、Request-CsCertificate コマンドレットを呼び出すことです。 他の標準 Windows ツールを使用して Lync Server で使用する証明書を要求することも可能ですが、Request-CsCertificate を使用することには、このコマンドレットによって証明機関 (CA) に接続する前にトポロジーを分析できるという大きな利点があります。 Request-CsCertificate は、その分析結果に基づいて、適切なサブジェクト名フィールドとサブジェクト代替名フィールドを持つ証明書を自動的に要求します。
Request-CsCertificate は、特に Lync Server で使用する証明書を要求するように設計されています。 多目的の証明書管理ツールとして設計されているわけではありません。
新しい証明書を要求することに加えて、保留中の証明書要求が Request-CsCertificate を使用して作成されたものでれば、このコマンドレットを使用してそれらの要求を確認することができます。 Request-CsCertificate は、保留中の証明書要求がそのコマンドレットを使用して作成されたものである限り、それらの要求を削除するときにも使用できます。
失効した要求がある場合、証明書要求を取得しようとすると、エラー メッセージが表示される場合があります。現在、Request-CsCertificate では、次の種類の要求のみサポートしています。 発行済み、拒否、保留中。 失効した要求のために問題が発生した場合は、次のようなコマンドを使用して失効した要求をクリアします (ここで、224 は失効した証明書要求の RequestID です)。
Request-CsCertificate –Clear –RequestID 224
その後で、証明書要求を取得できるようになります。
このコマンドレットを実行できるメンバー。 Request-CsCertificate コマンドレットをローカルで実行するためには、ローカル管理者であり、指定の証明機関に対する権限を持っている必要があります。 このコマンドレットが割り当てられているすべての役割ベースのアクセス制御 (RBAC) の役割の一覧 (自身が作成したカスタムの RBAC の役割を含む) を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Request-CsCertificate"}
パラメーター
| パラメーター | 必須 | 型 | 説明 |
|---|---|---|---|
Type |
必須 |
文字列 |
要求する証明書のタイプ。 次のようなタイプの証明書があります (これらに限定されるわけではありません)。 AccessEdgeExternal AudioVideoAuthentication DataEdgeExternal Default External Internal iPhoneAPNService iPadAPNService MPNService PICWebService (Microsoft Lync Online 2010 のみ) ProvisionService (Microsoft Lync Online 2010 のみ) WebServicesExternal WebServicesInternal WsFedTokenTransfer たとえば、次の構文によって新しい Default 証明書を要求します。 -Type Default。 次のように、証明書の種類をコンマで区切ることにより、1 つのコマンドで複数の種類を指定できます。 -Type Internal,External,Default |
CA |
省略可能 |
文字列 |
CA を指す完全修飾ドメイン名 (FQDN)。 次に例を示します。 -CA "atl-ca-001.litwareinc.com\myca"。 既知の CA の一覧を表示するには、Windows PowerShell プロンプトで次のように入力して Enter キーを押します。 certutil Certutil によって戻される Config プロパティは、CA の場所を示します。 |
CaAccount |
省略可能 |
文字列 |
format domain_name\user_name を使用して新しい証明書を要求するユーザーのアカウント名。 次に例を示します。 -CaAccount "litwareinc\kenmyer"。 指定しない場合、Request-CsCertificate は、新しい証明書を要求するときにログオン ユーザーの資格情報を使用します。 |
CaPassword |
省略可能 |
文字列 |
新しい証明書を要求するユーザーのパスワード (CaAccount パラメーターを使用して指定)。 |
City |
省略可能 |
文字列 |
証明書が展開される市区町村。 |
Clear |
省略可能 |
スイッチ パラメーター |
指定すると、Request-CsCertificate を使用して作成された保留中の証明書要求がすべて削除されます。 |
ClientEKU |
省略可能 |
ブール値 |
証明書をクライアント認証で使用する場合は、このパラメーターを True に設定します。 この方式の認証は、ユーザーが、AOL のアカウントを持つ人々とインスタント メッセージを交換できるようにする場合に必要になります。 パラメーター名の EKU 部分は、拡張キー使用法の短縮形です。拡張キー使用法フィールドには、その証明書で有効な使用法の一覧が表示されます。 |
ComputerFqdn |
省略可能 |
文字列 |
証明書を要求するコンピューターの FQDN。 指定すると、指定したコンピューターの場所を検出するために、中央管理ストア に接続するよう Request-CsCertificate が強制的に実行されます。 プール証明書を要求する場合でも、証明書を要求する場合は常にコンピューター名を使用する必要があります。 Request-CsCertificate コマンドレットを実行すると、このコマンドレットを使用して取得される証明書のサブジェクト名にプール名が自動的に追加されます。 |
Country |
省略可能 |
文字列 |
証明書が展開される国/地域。 |
DomainName |
省略可能 |
文字列 |
証明書のサブジェクトの別名フィールドに追加する必要のある完全修飾ドメイン名のコンマ区切り一覧。次に例を示します。 -DomainName "atl-cs-001.litwareinc.com, atl-cs-002.litwareinc.com,atl-cs-003.litwareinc.com" |
FriendlyName |
省略可能 |
文字列 |
証明書の識別を容易にするユーザー割り当ての名前。 |
GlobalCatalog |
省略可能 |
文字列 |
ドメイン内のグローバル カタログ サーバーの FQDN。 属するドメイン内のアカウントを使用して、コンピューターで Request-CsCertificate を実行する場合、このパラメーターは不要です。 |
GlobalSettingsDomainController |
省略可能 |
文字列 |
グローバル設定が保存されているドメイン コントローラーの FQDN。グローバル設定が Active Directory ドメイン サービス (AD DS) のシステム コンテナーに保存されている場合は、このパラメーターでルート ドメイン コントローラーを指定する必要があります。 グローバル設定が構成コンテナーに保存されている場合は、すべてのドメイン コントローラーが使用でき、このパラメーターを省略できます。 |
KeyAlg |
省略可能 |
PS リスト修飾子 |
新しい証明書の公開キーと秘密キーを生成するときに使用する暗号化アルゴリズムのタイプを示します。 次のような有効なキー アルゴリズムがあります。 RSA ECDH_P256 ECDH_P384 ECDH_P521 |
KeySize |
省略可能 |
整数 |
証明書で使用する秘密キーのサイズ (ビット単位) を指定します。 キーのサイズが大きいほど安全性が高くなりますが、復号化するためには処理のオーバーヘッドが大きくなります。 有効なキーのサイズは、1024、2048、および 4096 です。たとえば、次のようになります。 -KeySize 2048。 |
List |
省略可能 |
スイッチ パラメーター |
指定すると、Request-CsCertificate を使用して作成された保留中の証明書要求がすべて一覧表示されます。 |
New |
省略可能 |
スイッチ パラメーター |
指定すると、新しい証明書を要求することを示します。 |
Organization |
省略可能 |
文字列 |
新しい証明書を要求している組織の名前。 次に例を示します。 -Organization "Litwareinc"。 |
OU |
省略可能 |
文字列 |
新しい証明書を割り当てるコンピューターの Active Directory 組織単位。 |
Output |
省略可能 |
文字列 |
証明書ファイルへのパス。 オフライン証明書要求を作成する場合、Output パラメーターを使用して、証明書要求へのファイル パスを指定します。たとえば、次のように指定します。 -Output C:\Certificates\NewCertificate.pfx。これにより、処理のために証明機関に電子メールで送付することができる、証明書要求ファイルが作成されます。 |
PrivateKeyExportable |
省略可能 |
ブール値 |
証明書の秘密キーをエクスポート可能にする場合は、このパラメーターを True に設定します。 秘密キーがエクスポート可能な場合は、証明書をコピーして複数のコンピューターで使用することができます。 |
RequestID |
省略可能 |
整数 |
証明書要求に関連付けられた識別番号。 RequestID パラメーターを使用することにより、個々の証明書を一覧表示、取得、またはクリアすることができます。 |
Retrieve |
省略可能 |
スイッチ パラメーター |
指定すると、Request-CsCertificate を使用して作成された保留中の証明書要求すべてを取得し、操作の完了を試み、要求された証明書をインポートします。 |
State |
省略可能 |
文字列 |
証明書が展開される都道府県。 次に例を示します。 -State WA。 |
Template |
省略可能 |
文字列 |
新しい証明書を生成するときに使用する証明書テンプレートを指定します。たとえば-Template "WebServer" のようになります。 要求されたテンプレートは、CA にインストールされている必要があります。 入力する値は、テンプレートの表示名でなく、テンプレート名である必要があります。 |
Force |
省略可能 |
スイッチ パラメーター |
コマンド実行中に発生する可能性のある、致命的ではないすべてのエラー メッセージを表示しないようにします。 |
Report |
省略可能 |
文字列 |
コマンドレット実行時に作成されるログ ファイルのファイル パスを指定できるようにします。 次に例を示します。 -Report "C:\Logs\Certificates.html" |
WhatIf |
省略可能 |
スイッチ パラメーター |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
Confirm |
省略可能 |
スイッチ パラメーター |
コマンドの実行前に確認メッセージを表示します。 |
入力の種類
なし。 Request-CsCertificate は、パイプ処理された入力を受け入れません。
戻り値の種類
なし。 代わりに、Request-CsCertificate は、Microsoft.Rtc.Management.Deployment.CertificateReference オブジェクトのインスタンスの管理に役立ちます。
例
-------------------------- 例 1 ------------------------
Request-CsCertificate -New -Type WebServicesExternal -CA "atl-ca-001.litwareinc.com\myca"
例 1 のコマンドにより、atl-ca-001.litwareinc.com\myca という CA に接続し、新しい WebServicesExternal 証明書を要求する、新しい証明書要求が作成されます。
-------------------------- 例 2 ------------------------
Request-CsCertificate -List
上記のコマンドにより、Request-CsCertificate を使用して作成された保留中の証明書要求すべてが一覧表示されます。
-------------------------- 例 3 ------------------------
Request-CsCertificate -New -Type WebServicesExternal -Output C:\Certificates\WebServicesExternal.cer
例 3 では、Output パラメーターを使用してオフライン証明書要求を作成します。
-------------------------- 例 4 ------------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Standard Edition Certficate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-cs-001.litwareinc.com,atl-ext.litwareinc.com"
上記の例は、Request-CsCertificate の使用方法に関するより詳細 (かつ現実的) な例です。 この例では、Lync Server の Standard Edition で使用する証明書を要求します。
-------------------------- 例 5 ------------------------
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -ComputerFqdn "atl-cs-001.litwareinc.com" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Enterprise Edition Pool Certificate" -Template jcila -PrivateKeyExportable Ttrue -DomainName "pool1.litwareinc.com,pool1int.litwareinc.com,pool1ext.litwareinc.com"
例 5 では、Lync Server の Enterprise Edition で使用するプール証明書を要求します。
-------------------------- 例 6 ------------------------
Request-CsCertificate -New -Type Internal -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "Internal Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com, ap.litwareinc.com"
上記の例では、内部 エッジ サーバー の証明書を要求する方法を示しています。
-------------------------- 例 7 ------------------------
Request-CsCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,AudioVideoAuthentication -ComputerFqdn "atl-edge-001" -CA "atl-ca-001.litwareinc.com\myca" -FriendlyName "External Edge Certificate" -Template jcila -PrivateKeyExportable $True -DomainName "atl-edge-001.litwareinc.com,ap.litwareinc.com,dp.litwareinc.com,atl-edge-001"
例 7 は、例 6 のコマンドの変化形です。ただし、この場合、要求は外部 エッジ サーバー に対するものです。