Lync Server 2013 でのモビリティに合わせた証明書の変更
トピック最終更新日時: 2014-06-20
Lync 環境とモバイル クライアント間のセキュリティで保護された接続をサポートするには、ディレクター プール、フロントエンド プール、およびリバース プロキシのセキュリティで保護されたソケットレイヤー (SSL) 証明書を、追加のサブジェクト代替名 (SAN) エントリで更新する必要があります。 モビリティに関する証明書の要件の詳細については、「 Lync Server 2013 のモビリティの技術的要件」の「証明書要件」セクションを参照してください。基本的には、追加の SAN エントリを含む証明機関から新しい証明書を取得し、この記事の手順を使用して証明書を追加する必要があります。
もちろん、開始する前に、通常、証明書に既に存在するサブジェクトの別名を把握することをお勧めします。 既に構成されている内容がわからない場合は、多くの方法で確認できます。 Get-CsCertificate および他の PowerShell コマンドを実行してこの情報を表示するオプションがありますが、既定ではデータが切り捨てられるため、必要なすべてのプロパティが表示されない場合があります。 証明書とそのすべてのプロパティを適切に確認するには、Microsoft 管理コンソール (MMC) に移動し、証明書スナップインを読み込みます (以下も参照)、または Lync Server 展開ウィザードを確認するだけです。
前述のように、次の手順では、Lync Server Management Shell と MMC を使用して証明書を更新する手順について説明します。 代わりに、Lync Server 展開ウィザードで証明書ウィザードを使用する場合は、ディレクターまたはディレクター プールの Lync Server 2013 のディレクターの証明書を構成 する (構成していない可能性がある) 場合は、Lync Server 2013 で証明書を構成するを確認できます。 フロントエンド サーバーまたはフロント エンド プールについては、「 Lync Server 2013 のサーバーの証明書を構成する」を参照してください。
最後に注意すべき点の 1 つは、Lync Server 2013 環境に 1 つの既定の証明書がある場合や、Default (Web サービス以外のすべて)、WebServicesExternal、WebServicesInternal 用に個別の証明書を持っていることです。 構成が何であれ、これらの手順は役に立つはずです。
Lync Server Management Shell を使用して新しいサブジェクトの別名で証明書を更新するには
ローカル管理者権限とアクセス許可を持つアカウントを使用して、Lync Server 2013 サーバーにログオンする必要があります。 さらに、手順 12 以降で PowerShell Request-CsCertificate を実行している場合は、アカウントに指定された証明機関 (CA) に対する権限が必要です。
Lync Server 管理シェルを起動する: [スタート] をクリックし、[ すべてのプログラム] をクリックし、[ Microsoft Lync Server 2013] をクリックして、[ Lync Server 管理シェル] をクリックします。
更新された証明書を割り当てる前に、サーバーに割り当てられている証明書と使用の種類を確認する必要があります。 コマンド ラインで次を入力します。
Get-CsCertificate前の手順の出力を確認して、1 つの証明書が複数の用途に割り当てられているかどうか、または使用ごとに異なる証明書が割り当てられているかどうかを確認します。 Use パラメーターを参照して、証明書の使用方法を確認します。 表示される証明書の拇印パラメーターを比較して、同じ証明書に複数の用途があるかどうかを確認します。 拇印パラメーターに注意してください。
証明書を更新します。 コマンド ラインで次を入力します。
Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>たとえば、 Get-CsCertificate コマンドレットに、既定の使用を含む証明書、WebServicesInternal を使用する証明書、および WebServicesExternal を使用する証明書が表示され、コマンド ラインで同じ拇印値が設定されている場合は、次のように入力する必要があります。
Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>大事な:
使用ごとに個別の証明書が割り当てられている場合 (上記で確認した拇印の値は証明書ごとに異なります)、上記の例のように、Set-CsCertificate コマンドレットを複数の種類で実行することは重要です。 この場合は、使用ごとに Set-CsCertificate コマンドレットを個別に実行します。 次に例を示します。
Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>証明書 (または証明書) を表示するには、[ スタート] をクリックし、[ 実行]... をクリックします。 MMC と入力して、Microsoft 管理コンソールを開きます。
MMC メニューの [ ファイル] を選択し、[ スナップインの追加と削除]..、 [証明書] の順に選択します。 [追加] をクリックします。 メッセージが表示されたら、[ コンピューター アカウント] を選択し、[ 次へ] をクリックします。
証明書が配置されているサーバーの場合は、[ ローカル コンピューター] を選択します。 証明書が別のコンピューターにある場合は、[別のコンピューター] を選択し、コンピューターの完全修飾ドメイン名を入力するか、選択するオブジェクト名を入力して [参照] をクリックしてコンピューターの名前を入力します。 [ 名前の確認] をクリックします。 コンピューターの名前が解決されると、下線が付きます。 [ OK] をクリックし、[完了] をクリック します。 [OK] をクリックして選択を確定し、[スナップインの追加と削除] ダイアログを閉じます。
証明書のプロパティを表示するには、[ 証明書] を展開し、[ 個人用] を展開し、[証明書] を選択 します。 表示する証明書を選択し、証明書を右クリックして [開く] を選択します。
[証明書] ビューで、[詳細] を選択します。 ここから、[ サブジェクト ] を選択して証明書のサブジェクト名を選択し、割り当てられたサブジェクト名と関連付けられたプロパティが表示されます。
割り当てられたサブジェクトの別名を表示するには、[ サブジェクトの別名] を選択します。 割り当てられているサブジェクトの別名がすべてここに表示されます。 ここで見つかったサブジェクトの別名は、既定では DNS 名 の種類です。 次のメンバーが表示されます (すべて、DNS ホスト (A または IPv6 AAAA の場合) レコードで表される完全修飾ドメイン名である必要があります)。
このプールのプール名、またはプールでない場合は 1 つのサーバー名
証明書が割り当てられているサーバー名
単純な URL レコード(通常は会議とダイヤルイン)
Web サービスの内部および Web サービスの外部名 (webpool01.contoso.net、webpool01.contoso.com など) は、トポロジ ビルダーで行われた選択と過剰な Web サービスの選択に基づいています。
既に割り当てられている場合は、lyncdiscover。<sipdomain> と lyncdiscoverinternal。<sipdomain> レコード。
最後の項目は、lyncdiscover と lyncdiscoverinternal SAN エントリがある場合に最も関心のある項目です。
確認する証明書が複数ある場合は、これらの手順を繰り返します。 この情報を取得したら、証明書ビューと MMC を閉じます。
自動検出サービスサブジェクトの別名がなく、Default 型、WebServicesInternal 型、および WebServiceExternal 型に 1 つの既定の証明書を使用している場合は、次の操作を行います。
Lync Server Management Shell コマンド ライン プロンプトで、次のように入力します。
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verbose多くの SIP ドメインがある場合は、新しい AllSipDomain パラメーターを使用できません。 代わりに、DomainName パラメーターを使用する必要があります。 DomainName パラメーターを使用する場合は、lyncdiscoverinternal レコードと lyncdiscover レコードの FQDN を定義する必要があります。 次に例を示します。
Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose証明書を割り当てるには、次のように入力します。
Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>ここで、"拇印" は、新しく発行された証明書に表示される拇印です。
Default、WebServicesInternal、および WebServicesExternal に個別の証明書を使用する場合に内部自動検出 SAN が見つからない場合は、次の操作を行います。
Lync Server Management Shell コマンド ライン プロンプトで、次のように入力します。
Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose多くの SIP ドメインがある場合は、新しい AllSipDomain パラメーターを使用できません。 代わりに、DomainName パラメーターを使用する必要があります。 DomainName パラメーターを使用する場合は、SIP ドメイン FQDN に適切なプレフィックスを使用する必要があります。 次に例を示します。
Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose外部自動検出サブジェクトの別名がない場合は、コマンド ラインで次のように入力します。
Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose多くの SIP ドメインがある場合は、新しい AllSipDomain パラメーターを使用できません。 代わりに、DomainName パラメーターを使用する必要があります。 DomainName パラメーターを使用する場合は、SIP ドメイン FQDN に適切なプレフィックスを使用する必要があります。 次に例を示します。
Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose個々の証明書の種類を割り当てるには、次のように入力します。
Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint> Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>ここで、"拇印" は、新しく発行された個々の証明書に表示される拇印です。
注意
手順 12 と手順 13 は、それらを実行しているアカウントが適切なアクセス許可を持つ証明機関にアクセスできる場合にのみ実行する必要があります。 これらのアクセス許可を持つアカウントでログインできない場合、または証明書にパブリック証明機関またはリモート証明機関を使用している場合は、記事の上部で触れた Lync Server 展開ウィザードを使用して要求する必要があります。