Lync Server 2013 外部エッジ インターフェイスの証明書の設定

  • [アーティクル]

 

トピック最終更新日時: 2012-09-08

大事な

証明書ウィザードを実行するときは、使用する証明書テンプレートの種類に対する適切なアクセス許可が割り当てられているグループのメンバーであるアカウントを使用してログインしていることを確認します。 既定では、Lync Server 証明書要求は Web サーバー証明書テンプレートを使用します。 RTCUniversalServerAdmins グループのメンバーであるアカウントを使用してこのテンプレートを使用して証明書を要求する場合は、そのテンプレートを使用するために必要な登録アクセス許可がグループに割り当てられていることを確認します。

各エッジ サーバーには境界ネットワークとインターネットの間のインターフェイスにパブリック証明書が必要であり、証明書のサブジェクトの別名には、Access Edge サービスと Web 会議エッジ サービスの完全修飾ドメイン名 (FQDN) の外部名を含める必要があります。

この証明書とその他の証明書の要件の詳細については、「 Lync Server 2013 での外部ユーザー アクセスに関する証明書の要件」を参照してください。

ユニファイド コミュニケーション証明書の特定の要件に準拠し、Microsoft と提携して Lync Server 2013 証明書ウィザードと連携している公的証明機関 (CA) の一覧については、Microsoft サポート技術情報の記事929395「Exchange Serverおよび通信サーバー用のユニファイド コミュニケーション証明書パートナー」https://go.microsoft.com/fwlink/p/?linkId=202834を参照してください。

外部インターフェイスでの証明書の構成

サイトの外部エッジ インターフェイスに証明書を設定するには、このセクションの手順に従って、次の操作を行います。

  • エッジ サーバーの外部インターフェイスに対する証明書要求を作成します。

  • パブリック CA に要求を送信します。

  • 各エッジ サーバーの外部インターフェイスの証明書をインポートします。

  • 各エッジ サーバーの外部インターフェイスに証明書を割り当てます。

  • 展開に複数のエッジ サーバーが含まれている場合は、証明書とその秘密キーをエクスポートし、それを他のエッジ サーバーにコピーします。 次に、各エッジ サーバーについて、それをインポートし、前に説明したように割り当てます。 各エッジ サーバーについて、この手順を繰り返します。

パブリック証明機関 (CA) (パブリック CA の Web サイトなど) から直接パブリック証明書を要求できます。 このセクションの手順では、ほとんどの証明書タスクで証明書ウィザードを使用します。 パブリック CA から証明書を直接要求することを選択した場合は、証明書を要求、転送、インポートしたり、証明書チェーンをインポートしたりするために、必要に応じて各手順を変更する必要があります。

外部 CA から証明書を要求する場合、指定された資格情報には、その CA から証明書を要求する権限が必要です。 各 CA には、証明書の要求、発行、管理、または読み取りを許可する資格情報 (つまり、特定のユーザー名とグループ名) を定義するセキュリティ ポリシーがあります。

証明書 Microsoft 管理コンソール (MMC) を使用して証明書チェーンと証明書をインポートする場合は、コンピューターの証明書ストアにインポートする必要があります。 ユーザーまたはサービス証明書ストアにインポートした場合、証明書は Lync Server 2013 証明書ウィザードでは割り当てできません。

エッジ サーバーの外部インターフェイスに対する証明書要求を作成するには

  1. エッジ サーバーの展開ウィザードで、[ 手順 3: 証明書の要求、インストール、または割り当て] の横にある [ 実行] をもう一度クリックします。

    注意

    組織が AOL とのパブリック インスタント メッセージング (IM) 接続をサポートする場合は、Lync Server 展開ウィザードを使用して証明書を要求することはできません。 代わりに、このトピックの後半の「エッジ サーバーの外部インターフェイスに対して証明書要求を作成して AOL とのパブリック IM 接続をサポートするには」の手順を実行します。
    1 つのプール内の 1 つの場所に複数のエッジ サーバーがある場合は、いずれかのエッジ サーバーで Lync Server 2013 証明書ウィザードを実行できます。

  2. [利用可能な証明書タスク] ページで、[新しい証明書要求を作成する] をクリックします。

  3. [ 証明書要求] ページで、[ 外部エッジ証明書] をクリックします。

  4. [ 遅延要求または即時要求] ページで 、[ 今すぐ要求を準備するが、後で送信 する] チェック ボックスをオンにします。

  5. [ 証明書要求ファイル] ページで、要求を保存するファイルの完全なパスとファイル名 (c:\cert_exernal_edge.cer など) を入力します。

  6. [ 代替証明書テンプレートの指定 ] ページで、既定の WebServer テンプレート以外のテンプレートを使用するには、[ 選択した証明機関に代替証明書テンプレートを使用する ] チェック ボックスをオンにします。

  7. [名前とセキュリティの設定] ページで、次の操作を行います。

    • [ フレンドリ名] に、証明書の表示名を入力します。

    • [ ビット長] で、ビット長を指定します (通常、既定値は 2048)。

    • [ 証明書の秘密キーをエクスポート可能としてマーク する] チェック ボックスがオンになっていることを確認します。

  8. [ 組織情報 ] ページで、組織の名前と組織単位 (部署や部署など) を入力します。

  9. [ 地理情報 ] ページで、場所情報を指定します。

  10. [ サブジェクト名/サブジェクトの別名] ページに、ウィザードによって自動的に設定される情報が表示されます。 追加のサブジェクト代替名が必要な場合は、次の 2 つの手順で指定します。

  11. [ サブジェクト代替名 (SAN) の SIP ドメイン設定 ] ページで、ドメイン チェック ボックスをオンにし、sip を追加します。<サブジェクトの別名リストへの sipdomain> エントリ。

  12. [ 追加のサブジェクト代替名の構成 ] ページで、必要な追加のサブジェクト代替名を指定します。

  13. [ 要求の概要] ページで、要求の生成に使用する証明書情報を確認します。

  14. コマンドの実行が完了したら、次の操作を行います。

    • 証明書要求のログを表示するには、[ログの 表示] をクリックします。

    • 証明書要求を完了するには、[ 次へ] をクリックします。

  15. [ 証明書要求ファイル] ページで、次の操作を行います。

    • 生成された証明書署名要求 (CSR) ファイルを表示するには、[ 表示] をクリックします。

    • ウィザードを閉じるには、[完了] をクリックします。

  16. 出力ファイルをパブリック CA に送信できる場所にコピーします。

AOL とのパブリック IM 接続をサポートするエッジ サーバーの外部インターフェイスに対する証明書要求を作成するには

  1. CA で必要なテンプレートを使用できる場合は、Edge Server から次のWindows PowerShell コマンドレットを使用して証明書を要求します。

    Request-CsCertificate -New -Type AccessEdgeExternal  -Output C:\ <certfilename.txt or certfilename.csr>  -ClientEku $true -Template <template name>

    Lync Server 2013 で提供されるテンプレートの既定の証明書名は Web サーバーです。 既定の <テンプレートとは異なるテンプレートを使用する必要がある場合にのみ、テンプレート名> を指定します。

    注意

    組織が AOL とのパブリック IM 接続をサポートする場合は、証明書ウィザードの代わりにWindows PowerShellを使用して、証明書を Access Edge サービスの外部エッジに割り当てることを要求する必要があります。 これは、証明書ウィザードが証明書の要求に使用する Lync Server 2013 Web Server テンプレートが、クライアント EKU 構成をサポートしていないためです。 Windows PowerShellを使用して証明書を作成する前に、CA 管理者はクライアント EKU をサポートする新しいテンプレートを作成してデプロイする必要があります。

パブリック証明機関に要求を送信するには

  1. 出力ファイルを開きます。

  2. 証明書署名要求 (CSR) の内容をコピーして貼り付けます。

  3. メッセージが表示されたら、次のように指定します。

    • サーバー プラットフォームとしての Microsoft。

    • IIS をバージョンとして指定します。

    • 使用の種類として Web サーバー

    • 応答形式として PKCS7

  4. パブリック CA が情報を確認すると、証明書に必要なテキストを含む電子メール メッセージが届きます。

  5. 電子メール メッセージからテキストをコピーし、ローカル コンピューターのテキスト ファイル (.txt) に内容を保存します。

エッジ サーバーの外部インターフェイスの証明書をインポートするには

  1. 証明書要求を作成したのと同じエッジ サーバーに、Administrators グループのメンバーとしてログオンします。

  2. 展開ウィザードの [エッジ サーバーの展開 ] ページの [手順 3: 証明書の要求、インストール、または割り当て] の横にある [ 実行] をもう一度クリックします。

  3. [ 使用可能な証明書タスク ] ページ で、[.p7b、pfx、または .cer ファイルから証明書をインポートする] をクリックします。

  4. [ 証明書のインポート ] ページで、[ 参照 ] をクリックして、エッジ サーバーの外部インターフェイスに対して要求した証明書を見つけて選択します (または、完全なパスとファイル名を入力できます)。 証明書に秘密キーが含まれている場合は、[ 証明書ファイルに証明書の秘密キーが含まれている] を選択し、秘密キーのパスワードを入力します。 [次へ] をクリックします。

  5. [ 証明書の概要のインポート] ページで 、概要を確認し、[ 次へ] をクリックします。

  6. コマンドの実行で、インポートの結果を確認し、必要に応じて [ログの表示] をクリックし、[完了] をクリックして証明書のインポートを完了します。

  7. エッジ サーバー プールを構成する場合は、このトピックの後半の「プール内のエッジ サーバーの秘密キーを使用して証明書をエクスポートするには」の手順で説明されているように、秘密キーを使用して証明書をエクスポートします。 エクスポートした証明書ファイルを他のエッジ サーバーにコピーし、各エッジ サーバーのコンピューター ストアにインポートします。

プール内のエッジ サーバーの秘密キーを使用して証明書をエクスポートするには

  1. 証明書をインポートしたのと同じエッジ サーバーに管理者グループのメンバーとしてログオンします。

  2. [ スタート] ボタンをクリックし、[ 実行] をクリックして 、「MMC」と入力します。

  3. Microsoft Management Console (MMC) コンソールで[ ファイル]、[ スナップインの追加と削除] の順にクリックします。

  4. [ スナップインの追加と削除] で、[ 証明書] をクリックし、[ 追加] をクリックします。

  5. [ 証明書 ] ダイアログ ボックスで、[ コンピューター アカウント] を選択し、[ 次へ] をクリックし、[コンピューターの選択] で [ローカル コンピューター] (このコンソールが実行されているコンピューター)選択し、[ 完了] をクリックし、[ OK] をクリックして MMC コンソールの構成を完了します。

  6. 証明書 (ローカル コンピューター) をダブルクリックして証明書ストアを展開し、[個人用] をダブルクリックして、[証明書] をダブルクリックします。

    大事な

    ローカル コンピューターの証明書個人用ストアに証明書がない場合、インポートされた証明書に関連付けられている秘密キーはありません。 要求とインポートの手順を確認します。 問題が解決しない場合は、証明機関の管理者またはプロバイダーに問い合わせてください。

  7. ローカル コンピューターの証明書個人用ストアで、エクスポートする証明書を右クリックし、[すべてのタスク] をクリックして、[エクスポート] をクリックします。

  8. 証明書のエクスポート ウィザードで、[ 次へ] をクリックし、[はい] を選択 して秘密キーをエクスポートし、[ 次へ] をクリックします。

    注意

    [ はい] を選択した場合、秘密キーをエクスポート できません。この証明書に関連付けられている秘密キーはエクスポート用にマークされていません。 エクスポートを続行する前に、秘密キーのエクスポートを許可するように証明書がマークされていることを確認して、証明書をもう一度要求する必要があります。 証明機関の管理者またはプロバイダーに問い合わせてください。

  9. [ファイル形式のエクスポート] ダイアログで、[ Personal Information Exchange – PKCS#12] (.PFX) を選択し、次を選択します。

    • 可能であれば、すべての証明書を証明書パスに含める

    • すべての拡張プロパティをエクスポートする

      警告

      エッジ サーバーから証明書をエクスポートするときは、 エクスポートが成功した場合は、[秘密キーの削除] を選択しないでください。 このオプションを選択するには、証明書と秘密キーをこのエッジ サーバーにインポートする必要があります。

  10. [次へ] をクリックします。

  11. 秘密キーのパスワードを入力し、もう一度パスワードを入力して確認し、[ 次へ] をクリックします。

  12. エクスポートする証明書のパスとファイル名を入力し、ファイル拡張子に .pfx を指定します。 このパスは、プール内の他のすべてのエッジ サーバーからアクセス可能であるか、リムーバブル メディア (USB フラッシュ ドライブなど) を使用して転送できる必要があります。 [次へ] をクリックします。

  13. 証明書のエクスポート ウィザードの完了の概要を確認し、[完了] をクリックします

  14. エクスポートに成功したダイアログ ボックスで、[ OK] をクリックします。

  15. このトピックの「Edge Server の外部インターフェイスの証明書をインポートするには」の手順に従って、エクスポートされた証明書ファイルを他のエッジ サーバーにインポートします。

エッジ サーバーの外部インターフェイスに証明書を割り当てるには

  1. 各エッジ サーバーの展開ウィザードで、[ 手順 3: 証明書の要求、インストール、または割り当て] の横にある [実行] をもう一度クリックします。

  2. [ 使用可能な証明書タスク ] ページで、[ 既存の証明書の割り当て] をクリックします。

  3. [ 証明書の割り当て] ページで、[ 外部エッジ証明書 ] をクリックし、[ 証明書の使用の詳細設定 ] チェック ボックスをオンにします。

  4. [ 証明書の使用の詳細設定 ] ページで、すべての使用法に証明書を割り当てるには、すべてのチェック ボックスをオンにします。

  5. [ 証明書ストア ] ページで、エッジ サーバーの外部インターフェイスに対して要求およびインポートしたパブリック証明書を選択します。

    注意

    要求した証明書とインポートした証明書が一覧にない場合、トラブルシューティング方法の 1 つは、証明書のサブジェクト名とサブジェクトの別名が証明書のすべての要件を満たしていることを確認することであり、前の手順を使用する代わりに証明書と証明書チェーンを手動でインポートした場合、証明書が正しい証明書ストア (コンピューター証明書ストア、 ユーザーまたはサービス証明書ストアではありません)。

  6. [ 証明書の割り当ての概要 ] ページで設定を確認し、[ 次へ ] をクリックして証明書を割り当てます。

  7. ウィザードの完了ページで [完了] をクリックします。

  8. この手順を使用してエッジ証明書を割り当てた後、各サーバーで証明書スナップインを開き、[ 証明書 (ローカル コンピューター)] を展開し、[ 個人用] を展開して [ 証明書] をクリックし、証明書が一覧表示されていることを詳細ウィンドウで確認します。

  9. 展開に複数のエッジ サーバーが含まれている場合は、各エッジ サーバーに対してこの手順を繰り返します。