インポート済みの証明書が Lync/SfB Server で割り当て候補として表示されない。

  • [アーティクル]

Japan Lync/Skype Support の新木です。

Lync/Skype for Business サーバーで証明書を割り当てられない時の確認ポイントについてご案内します。

証明書ストア内に証明書がインポートされているにも関わらず、
証明書の割り当てができない場合は、
証明書に証明書の秘密鍵が保持されていない場合がほとんどです。

unable_assign

図1: 割り当てで証明書が選択できません。

Key_existNon_Key_exist

図2: 秘密鍵がある証明書                   図3: 秘密鍵がない証明書

 

秘密鍵を保持しない状況となる要因としては以下のような理由が考えられます。

・異なるサーバーで証明書発行要求を作成した証明書をインポートした。
・一回証明書をインポートした後、一度証明書ストアから削除し、再度インポートした。
・異なるサーバーで証明書発行要求を作成した証明書をインポートした。
秘密鍵付きの証明書とするためには証明書発行要求を作成したサーバー上で、
証明機関から発行された証明書をインポートする必要があります。
異なるサーバーで証明書発行要求を発行する必要がある場合は、
秘密鍵をエクスポート可能な証明書として発行要求を作成し、
一旦秘密鍵付きの証明書としてインポートした後、
エクスポートして、他のサーバーへインポートする必要があります。

Exportable2

図4: 秘密鍵付きでエクスポートする必要があります。
・一回証明書をインポートした後、一度証明書ストアから削除し、再度インポートした。
証明機関かは発行された証明書そのものには秘密鍵は含まれていません。
合わせて、一度インポートすると、その時点でローカルに保持していた秘密鍵は証明書と統合され、削除されます。
そのため、証明書ストアから証明書を削除し、証明機関から発行された証明書を再度インポートした場合、
秘密鍵を保持しない状況となります。
このような場合は、以下のコマンドを実行することにより、秘密鍵を回復可能です。

- 手順
(1) mmc から [証明書(ローカルコンピューター)] --> [個人] ストアを開きます。
(2) [個人] ストアから、新証明書をダブルクリックで開き、証明書の画面の [詳細] タブを開きます。
(3) 「シリアル番号」を選択し、下のウィンドウに表示された値をコピーしておきます。
(4) 管理者権限のコマンドプロンプトを起動し、以下のコマンドを実行します。

certutil -repairstore my "コピーしたシリアル番号"
例: certutil -repairstore my "11 22 33 44 55 66 77"
※シリアル番号の冒頭のスペースは削除してから実行ください。

certutil

図5: Certutil 実行例

<資料>
Title:Certutil
URL:https://technet.microsoft.com/ja-jp/library/cc732443.aspx

なお、これらの動作は、Lync Server 2010/Lync Server 2013/Skype for Business Server 2015 のいずれであっても同様です。

引き続き、快適な Lync/Skype ライフをお楽しみください。

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。