Lync Server 2013 での自動検出用の証明書の構成Configuring certificates for Autodiscover in Lync Server 2013

 

トピックの最終更新日: 2012-12-12Topic Last Modified: 2012-12-12

ディレクタープール、フロントエンドプール、およびリバースプロキシの証明書には、Lync クライアントとのセキュリティで保護された接続をサポートするために、追加のサブジェクトの別名エントリが必要です。The certificates for your Director pool, Front End pool, and reverse proxy require additional subject alternative name entries to support secure connections with Lync clients.

注意

Get-CsCertificate コマンドレットを使用して、現在割り当てられている証明書に関する情報を表示できます。You can use the Get-CsCertificate cmdlet to view information about the currently assigned certificates. ただし既定の表示では、証明書のプロパティは切り詰められ、SubjectAlternativeNames プロパティのすべての値が表示されるわけではありません。However, the default view truncates the properties of the certificate and does not display all values in the SubjectAlternativeNames property. Get-CsCertificateRequest-CsCertificate、および Set-CsCertificate コマンドレットを使用すると、情報の表示や、証明書の要求および割り当てを行うことができます。You can use the Get-CsCertificate , Request-CsCertificate and the Set-CsCertificate cmdlets to view some information and to request and assign certificates. ただし、現在の証明書のサブジェクトの別名 (SAN) のプロパティが何かわからない場合は、お勧めしません。However, it’s not the best method to use if you are unsure of the properties of the subject alternative names (SAN) on the current certificate. 証明書とすべてのプロパティメンバーを表示するには、 Microsoft 管理コンソール (MMC) の証明書スナップインを使用するか、Lync Server 展開ウィザードを使用することをお勧めします。To view the certificate and all property members, it is suggested to use the Certificates snap-in the Microsoft Management Console (MMC) or to use the Lync Server Deployment Wizard. Lync Server 展開ウィザードでは、証明書ウィザードを使用して証明書のプロパティを表示できます。In the Lync Server Deployment Wizard, you can use the Certificate Wizard to view the certificate properties. Lync Server 管理シェルと Microsoft 管理コンソール (MMC) を使用して証明書を表示、要求、および割り当てる手順については、以下の手順で詳細に説明します。The procedures for viewing, requesting and assigning a certificate using the Lync Server Management Shell and the Microsoft Management Console (MMC) are detailed in the following procedures. Lync Server 展開ウィザードを使用するには、オプションのディレクターまたはディレクタープールを展開している場合は、「 Lync server 2013 でディレクターの証明書を構成する」を参照してください。To use the Lync Server Deployment Wizard, see details here if you have deployed the optional Director or Director pool: Configure certificates for the Director in Lync Server 2013. フロントエンドサーバーまたはフロントエンドプールについては、詳細を参照してください。 Lync Server 2013 のサーバーの証明書を構成します。For the Front End Server or Front End pool, see the details here: Configure certificates for servers in Lync Server 2013.
この手順の最初のステップは準備ステップで、現在の証明書が果たす役割を確認します。The initial steps in this procedure are preparation steps, to orient you as to what role the current certificates play. 既定では、証明書に lyncdiscover は含まれていません。 <microsoft.rtc.management.xds.sipdomain > または lyncdiscoverinternal。 <>以前に Mobility service をインストールしたか、または事前に証明書を準備していない場合は、内部ドメイン名エントリ。By default, the certificates will not have a lyncdiscover.<sipdomain> or lyncdiscoverinternal.<internal domain name> entry unless you have previously installed Mobility Services or have prepared your certificates in advance. この手順では、例として、SIP ドメイン名に「contoso.com」、内部ドメイン名に「contoso.net」を使用します。This procedure uses the example SIP domain name ‘contoso.com’ and the example internal domain name ‘contoso.net’.
Lync Server 2013 および Lync Server 2010 の既定の証明書の構成では、(web サービスを除くすべての目的で) 目的の既定の単一の証明書 (' Default ') を使用して、WebServicesExternal と Webservices Internal を指定します。The default certificate configuration for Lync Server 2013 and Lync Server 2010 is to use a single certificate (named ‘Default’) with the purposes Default (for all purposes except for the web services), WebServicesExternal and WebServicesInternal. 任意の構成では、用途ごとに個別の証明書を使用します。An optional configuration is to use separate certificates for each purpose. 証明書は、Lync Server 管理シェルおよび Windows PowerShell コマンドレットを使用して管理することも、Lync Server 展開ウィザードで証明書ウィザードを使用して管理することもできます。Certificates can be managed by using the Lync Server Management Shell and Windows PowerShell cmdlets, or by using the Certificate Wizard in the Lync Server Deployment Wizard.

Lync Server 管理シェルを使用して新しいサブジェクトの別名を使用して証明書を更新するにはTo update certificates with new subject alternative names using the Lync Server Management Shell

  1. ローカル管理者の権限とアクセス許可を持つアカウントを使用してコンピューターにログオンします。Log on to the computer using an account that has local administrator rights and permissions.

  2. Lync Server 管理シェルを以下の手順で起動します。[スタート]、[すべてのプログラム]、[Microsoft Lync Server 2013]、[Lync Server 管理シェル] の順にクリックします。Start the Lync Server Management Shell: Click Start, click All Programs, click Microsoft Lync Server 2013, and then click Lync Server Management Shell.

  3. サーバーに割り当てられている証明書および用途を確認します。この情報は次の手順で更新した証明書を割り当てるときに必要です。コマンド ラインで、次のように入力します。Find out what certificates have been assigned to the server and for which type of use. You need this information in the next step to assign the updated certificate. At the command line, type:

    Get-CsCertificate
    
  4. 前の手順の出力を調べ、1 つの証明書が複数のユーザーに割り当てられているのか、それとも用途ごとに異なる証明書が割り当てられているのかどうかを確認します。Use パラメーターを調べて証明書の使用方法を確認します。表示された証明書の Thumbprint パラメーターを比較して、同じ証明書に複数の用途が含まれているかどうかを確認します。Look in the output from the previous step to see whether a single certificate is assigned for multiple uses or whether a different certificate is assigned for each use. Look in the Use parameter to find out how a certificate is used. Compare the Thumbprint parameter for the displayed certificates to see if the same certificate has multiple uses.

  5. 証明書を更新します。Update the certificate. コマンド ラインで、次のように入力します。At the command line, type:

    Set-CsCertificate -Type <type of certificate as displayed in the Use parameter> -Thumbprint <unique identifier>
    

    たとえば、Get-CsCertificate コマンドレットを実行して、Use が Default の証明書、Use が WebServicesInternal の証明書、および Use が WebServicesExternal の証明書が表示され、そのすべての Thumbprint 値が同じだった場合は、コマンド ラインで、次のように入力します。For example, if the Get-CsCertificate cmdlet displayed a certificate with Use of Default, another with a Use of WebServicesInternal, and another with a Use of WebServicesExternal, and they all had the same Thumbprint value, at the command line, type:

    Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
    

    重要:Important:

    用途ごとに個別の証明書が割り当てられている (証明書ごとに Thumbprint 値が異なる) 場合、複数の種類を使用して Set-CsCertificate コマンドレットを実行しないでください。If a separate certificate is assigned for each use (the Thumbprint value is different for each certificate), it is important that you do not run the Set-CsCertificate cmdlet with multiple types. この場合、用途ごとに Set-CsCertificate コマンドレットを実行します。In this case, run the Set-CsCertificate cmdlet separately for each use. たとえば、次のようになります。For example:

    Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
    Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
    Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
    
  6. 証明書を表示するには、[スタート]、[ファイル名を指定して実行] を順にクリックし、MMC と入力して Microsoft 管理コンソールを開きます。To view the certificate, click Start, click Run…. Type MMC to open the Microsoft Management Console.

  7. MMC メニューで、[ファイル]、[スナップインの追加と削除] を順に選択して、証明書を選択します。[追加] をクリックします。メッセージが表示されたら、[コンピューター アカウント] を選択し [次へ] をクリックします。From the MMC menu, select File, select Add/Remove snap-in…, select Certificates. Click Add. When prompted, select Computer account, then click Next.

  8. このコンピューターに証明書がある場合は、[ ローカルコンピューター] を選択します。If the certificate is located on this computer, select Local computer. 証明書が別のコンピューターにある場合は、 別のコンピューターを選択し、コンピューターの完全修飾ドメイン名を入力するか、または [ 参照 ] をクリックして [ 選択するオブジェクト名を入力してください] にコンピューターの名前を入力します。If the certificate is located on another computer, select Another computer, type in the fully qualified domain name of the computer or click Browse In Enter the object name to select, type the name of the computer. [名前の確認] をクリックします。Click Check Names. コンピューターの名前が解決されると、下線が表示されます。When the name of the computer is resolved, it will be underlined. [ OK] をクリックし、[ 完了] をクリックします。Click OK, then click Finish. [ OK ] をクリックして選択を確定し、[スナップインの 追加と削除 ] ダイアログを閉じます。Click OK to commit the selection and close the Add or Remove Snap-ins dialog.

    重要

    コンソールに証明書が表示されない場合は、ユーザーまたはサービスが選択されていないことを確認してください。If the certificate does not show up in the console, ensure that you have not selected User or Service. [コンピューター] を選択する必要があります。または、probper 証明書を見つけることができません。You must select Computer, or you will not be able to locate the probper certificate.

  9. 証明書のプロパティを表示するには、[証明書]、[個人] を順に展開し、[証明書] を選択します。表示する証明書を右クリックし、[開く] を選択します。To view the properties of the certificate, expand Certificates, expand Personal, and select Certificates. Select the certificate to view, right-click on the certificate and select Open.

  10. [証明書] ビューで [詳細] を選択します。ここから、[サブジェクト] を選択して、証明書のサブジェクト名を選択できます。割り当てられているサブジェクト名と関連するプロパティが表示されます。In the Certificate view, select Details. From here, you can select the certificate subject name by selecting Subject and the assigned subject name and associated properties are displayed.

  11. 割り当てられたサブジェクトの別名を表示するには、[ サブジェクトの別名] を選択します。To view the assigned subject alternative names, select Subject Alternative Name. すべての割り当てられたサブジェクトの別名が表示されます。All assigned subject alternative names are displayed. プロパティに含まれるサブジェクトの別名は、既定では DNS 名 の種類になっています。The subject alternative names that are found in the property are of type DNS Name by default. 次のメンバーが表示されます (すべてのメンバーが、DNS ホスト (A または if IPv6 AAAA) レコードで表される完全修飾ドメイン名である必要があります。You should see the following members (all of which should be fully qualified domain names as represented in DNS host (A or, if IPv6 AAAA) records:

    • このプールのプール名。これがプールでない場合は単一のサーバー名Pool name for this pool, or the single server name if this is not a pool

    • 証明書が割り当てられるサーバーの名前Server name that the certificate is assigned to

    • 簡単な URL レコード。通常、会議 (meet) とダイヤルイン (dialin)Simple URL records, typically meet and dialin

    • Web サービス内部および Web サービスの外部名 (たとえば、webpool01.contoso.net、webpool01.contoso.com) は、トポロジビルダーおよび優先度のある web サービスの選択肢に基づいて作成されます。Web services internal and Web services external names (for example, webpool01.contoso.net, webpool01.contoso.com), based on choices made in Topology Builder and over-ridden web services selections.

    • 既に割り当てられている場合は、lyncdiscover。<sipdomain>If already assigned, the lyncdiscover.<sipdomain> lyncdiscoverinternal。<sipdomain>and lyncdiscoverinternal.<sipdomain> レコード.records.

    lyncdiscover および lyncdiscoverinternal SAN エントリが存在する場合、ユーザーが最も関心のある項目は最後の項目です。The last item is what you are most interested in – if there is a lyncdiscover and lyncdiscoverinternal SAN entry.

    この情報を取得したら、証明書ビューと MMC を閉じることができます。Once you have this information, you can close the certificate view and the MMC.

  12. 自動検出サービスの場合は、lyncdiscover を意味します。 >ドメイン名 > と lyncdiscoverinternal。<domain name>If an Autodiscover Service, meaning the lyncdiscover.>domain name> and lyncdiscoverinternal.<domain name> (これが外部証明書か内部証明書であるかに基づいて) サブジェクトの別名が欠落しており、既定の Webservices Internal および WebServiceExternal types に対して単一の既定の証明書を使用している場合は、次の手順を実行します。(based on if this is an external or internal certificate) subject alternative name is missing, and you are using a single Default certificate for the Default, WebServicesInternal and WebServiceExternal types, do the following:

    • Lync Server 管理シェルコマンドラインプロンプトで、次のように入力します。At the Lync Server Management Shell command line prompt, type:

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      多くの SIP ドメインが存在する場合、新しい AllSipDomain パラメーターを使用できません。If you have many SIP domains, you cannot use the new AllSipDomain parameter. 代わりに、DomainName パラメーターを使用する必要があります。Instead, you must use DomainName parameter. DomainName パラメーターを使用する場合は、lyncdiscoverinternal および lyncdiscover レコードの FQDN を定義する必要があります。When you use the DomainName parameter, you must define the FQDN for the lyncdiscoverinternal and lyncdiscover records. たとえば、次のようになります。For example:

      Request-CsCertificate -New -Type Default,WebServicesInternal,WebServicesExternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      
    • 証明書を割り当てるには、次のように入力します。To assign the certificate, type the following:

      Set-CsCertificate -Type Default,WebServicesInternal,WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      「Thumbprint」は、新しく発行された証明書用に表示される拇印です。Where “Thumbprint” is the thumbprint displayed for the newly issued certificate.

  13. Default、WebServicesInternal、および WebServicesExternal で個々の証明書を使用する際に、内部自動検出のサブジェクトの別名が欠落している場合は、次の操作を行います。For a missing internal Autodiscover subject alternative names when using separate certificates for Default, WebServicesInternal, and WebServicesExternal, do the following:

    • Lync Server 管理シェルコマンドラインプロンプトで、次のように入力します。At the Lync Server Management Shell command line prompt, type:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -AllSipDomain -verbose
      

      多くの SIP ドメインが存在する場合、新しい AllSipDomain パラメーターを使用できません。代わりに、DomainName パラメーターを使用する必要があります。DomainName パラメーターを使用する場合は、次のように、SIP ドメインの FQDN 用の適切なプレフィックスを使用する必要があります。If you have many SIP domains, you cannot use the new AllSipDomain parameter. Instead, you must use DomainName parameter. When you use the DomainName parameter, you must use an appropriate prefix for the SIP domain FQDN. For example:

      Request-CsCertificate -New -Type WebServicesInternal -Ca dc\myca -DomainName "LyncdiscoverInternal.contoso.com, LyncdiscoverInternal.contoso.net" -verbose
      
    • 外部自動検出のサブジェクトの別名が欠落している場合、コマンド ラインで、次のように入力しますFor a missing external Autodiscover subject alternative name, at the command line, type:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -AllSipDomain -verbose
      

      多くの SIP ドメインが存在する場合、新しい AllSipDomain パラメーターを使用できません。代わりに、DomainName パラメーターを使用する必要があります。DomainName パラメーターを使用する場合は、次のように、SIP ドメインの FQDN 用の適切なプレフィックスを使用する必要があります。If you have many SIP domains, you cannot use the new AllSipDomain parameter. Instead, you must use DomainName parameter. When you use the DomainName parameter, you must use an appropriate prefix for the SIP domain FQDN. For example:

      Request-CsCertificate -New -Type WebServicesExternal -Ca dc\myca -DomainName "Lyncdiscover.contoso.com, Lyncdiscover.contoso.net" -verbose
      
    • 個々の証明書タイプを割り当てるには、次のように入力します。To assign the individual certificate types, type the following:

      Set-CsCertificate -Type Default -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesInternal -Thumbprint <Certificate Thumbprint>
      Set-CsCertificate -Type WebServicesExternal -Thumbprint <Certificate Thumbprint>
      

      「Thumbprint」は、新しく発行された個々の証明書用に表示される拇印です。Where “Thumbprint” is the thumbprint displayed for the newly issued individual certificates.