外部インターフェイスの証明書の設定
トピックの最終更新日: 2009-01-25
内部インターフェイスの証明書を設定した後、外部インターフェイスの証明書を設定できます。
エッジ サーバーの外部インターフェイスに関する証明書要件については、「外部ユーザー アクセスに対する証明書要件」を参照してください。統合コミュニケーション証明書の特定の要件を満たす証明書を提供し、Microsoft と提携して証明書を Office Communications Server 証明書ウィザードで使用できるようにするパブリック CA の一覧については、次のマイクロソフト サポート技術情報 929395 の記事「Exchange 2007 および Communications Server 2007 の統合コミュニケーション証明書パートナー (機械翻訳)」(https://go.microsoft.com/fwlink/?LinkId=140898.
外部インターフェイスの証明書の構成
各エッジ サーバーの外部インターフェイスに 2 つの証明書をセットアップする必要があります。1 つは、そのサーバーのアクセス エッジ サービス用の証明書で、もう 1 つは、Web 会議エッジ サービス用の証明書です。これを行うには、このセクションの手順をすべて実行します。
ステップ 1: エッジ サーバーの外部インターフェイスの証明書要求を作成します。
ステップ 2: 要求をパブリック証明機関 (CA) に送信します。
ステップ 3: 各エッジ サーバーの外部インターフェイス用の証明書をインポートします。
ステップ 4: 各エッジ サーバーの外部インターフェイスに証明書を割り当てます。
注: 外部 CA 発行の証明書を要求するときは、提供される資格情報に、その CA の発行する証明書を要求する権限が設定されている必要があります。各 CA には、証明書の要求、発行、管理、または読み込みを許可する資格情報 (特定のユーザーやグループの名前) を定義しているセキュリティ ポリシーがあります。
エッジ サーバーの外部インターフェイスの証明書要求を作成するには
エッジ サーバーの展開ウィザードで、[エッジ サーバーの展開] ページの [ステップ 4: エッジ サーバーの証明書の構成] の横にある [実行] をクリックします。
Communications 証明書ウィザードの [ようこそ] ページで、[次へ] をクリックします。
[利用可能なタスク] ページで、[新しい証明書を作成する] をクリックし、[次へ] をクリックします。
[証明書要求の送信方法] ページで、[要求を準備して後で送信する] チェック ボックスをオンにして、[次へ] をクリックします。
[名前およびセキュリティの設定] ページで、証明書のフレンドリ名を入力し、ビット長 (通常は既定値の 1024) を指定します。[証明書をエクスポート可能にする] チェック ボックスをオンにし、[次へ] をクリックします。
[組織情報] ページで、組織の名前と組織単位 (部や課など) を入力し、[次へ] をクリックします。
[サーバーのサブジェクト名] ページで、エッジ サーバーのサブジェクト名とサブジェクト代替名を入力するか、または選択します。
- サブジェクト名は、証明書を構成している外部インターフェイスの外部ファイアウォールで公開されているサーバーの完全修飾ドメイン名 (FQDN) と一致する必要があります。アクセス エッジ サーバーの外部インターフェイスの場合、この証明書のサブジェクト名は sip.<ドメイン> になります。
- 複数のセッション開始プロトコル (SIP) ドメイン名が存在し、[サブジェクト代替名] に表示されない場合は、追加の各 SIP ドメインの名前を「sip.<ドメイン>」として入力します。名前はコンマで区切ります。アクセス エッジ サーバーの構成中に入力したドメインは、このボックスに自動的に追加されます。
注: サブジェクト代替名の場合は、ワイルドカード文字を使用して名前を指定することができます。ワイルドカード文字は、名前の中の 1 つのドメイン レベルとして機能します。たとえば、サブジェクト代替名として *.contoso.com を入力した場合は、a.contoso.com、b.contoso.com などの名前が検証されますが、a.a.contoso.com は検証されません。
ワイルドカード文字を使用した名前指定がサポートされているのは、許可されたパートナー ドメインと検出済みのパートナー ドメインだけです。インスタント メッセージング (IM) プロバイダのフェデレーションではサポートされていません。[次へ] をクリックします。
[地理情報] ページで、場所情報を入力し、[次へ] をクリックします。
[証明書要求ファイル名] ページで、要求を保存するファイルの完全なパスと名前を入力し、[次へ] をクリックします。
[要求の概要] ページで、[次へ] をクリックします。
[証明書ウィザードの完了] ページで、操作が正常に完了したことを確認し、[完了] をクリックします。
出力ファイルを、パブリック CA に送信できる場所にコピーします。
要求をパブリック証明機関に送信するには
出力ファイルを開きます。
証明書の署名要求 (CSR) の内容をコピーし、テキスト ボックスに貼り付けます。最初の部分は次のようになります。
-----BEGIN NEW CERTIFICATE REQUEST-----
終わりの部分は、次のようになります。
-----END NEW CERTIFICATE REQUEST
メッセージが表示されたら、以下を指定します。
- サーバー プラットフォームとして [Microsoft]
- バージョンとして [IIS]
- 用途として [Web サーバー]
- 応答形式として [PKCS7]
これらの情報がパブリック CA によって検証された後、証明書に必要なテキストを含む電子メール メッセージが送られてきます。
電子メール メッセージからテキストをコピーし、ローカル コンピュータ上のテキスト ファイル (.txt) に保存します。
パブリック CA のルート CA チェーンをダウンロードし、各エッジ サーバーのローカル コンピュータのストアにインストールします。
エッジ サーバーの外部インターフェイス用の証明書をインポートするには
Administrators グループのメンバとしてエッジ サーバーにログオンします。
展開ウィザードの [エッジ サーバーの展開] ページで、[ステップ 4: エッジ サーバーの証明書の構成] の横にある [実行] をクリックします。
Communications 証明書ウィザードの [ようこそ] ページで、[次へ] をクリックします。
[利用可能な証明書タスク] ページで、[保留中の要求を処理し証明書をインポートする] をクリックし、[次へ] をクリックします。
エッジ サーバーの外部インターフェイス用に要求した証明書の完全なパスとファイル名を入力し、[次へ] をクリックします。
[完了] をクリックします。
外部インターフェイスに証明書が必要な各エッジ サーバーの展開で、この手順を繰り返します。
エッジ サーバーの外部インターフェイス用の証明書を割り当てるには
展開ウィザードの [エッジ サーバーの展開] ページで、[ステップ 4: エッジ サーバーの証明書の構成] の横にある [実行] をクリックします。
Communications 証明書ウィザードの [ようこそ] ページで、[次へ] をクリックします。
[利用可能な証明書タスク] ページの [既存の証明書を割り当てる] をクリックし、[次へ] をクリックします。
[利用可能な証明書] ページで、対象のエッジ サーバーの外部インターフェイス用に要求した証明書をクリックし、[次へ] をクリックします。
[利用可能な証明書の割り当て] ページで、証明書をインストールする外部インターフェイスをクリックし、[次へ] をクリックします。
設定を確認し、[次へ] をクリックして証明書を割り当てます。
ウィザードの完了ページで [完了] をクリックします。
外部インターフェイスに証明書が必要な各エッジ サーバーの展開で、この手順を繰り返します。