Share via

Microsoft Lync Server 2013 へのサーバー間認証証明書の割り当て

  • [アーティクル]

 

トピックの最終更新日: 2013-10-24

サーバー間認証証明書が Microsoft Lync Server 2013 に既に割り当てられているかどうかを確認するには、Lync Server 2013 管理シェルから次のコマンドを実行します。

Get-CsCertificate -Type OAuthTokenIssuer

証明書情報が返されない場合は、サーバー間認証を使用する前に、トークン発行者証明書を割り当てる必要があります。 一般的な規則として、任意の Lync Server 2013 証明書を OAuthTokenIssuer 証明書として使用できます。たとえば、Lync Server 2013 の既定の証明書を OAuthTokenIssuer 証明書として使用することもできます。 (OAUthTokenIssuer 証明書には、[サブジェクト] フィールドに SIP ドメインの名前を含む任意の Web サーバー証明書を指定することもできます)。サーバー間認証に使用される証明書の主な 2 つの要件は次のとおりです。1)すべてのフロントエンド サーバーで同じ証明書を OAuthTokenIssuer 証明書として構成する必要があります。証明書は 2048 ビット以上である必要があります。

サーバー対サーバーの認証に使用できる証明書がない場合は、新しい証明書をインポートして、その証明書をサーバー対サーバーの認証に使用します。 新しい証明書を要求して取得したら、いずれかのフロントエンド サーバーにログオンし、次のようなWindows PowerShellコマンドを使用してその証明書をインポートして割り当てることができます。

Import-CsCertificate -Identity global -Type OAuthTokenIssuer -Path C:\Certificates\ServerToServerAuth.pfx  -Password "P@ssw0rd"

前のコマンドでは、Path パラメーターは証明書ファイルへの完全なパスを表し、Password パラメーターは証明書に割り当てられたパスワードを表します。 この手順は 1 回だけ実行する必要があります。Lync Server のレプリケーション サービスは、証明書を復号化してすべてのフロント エンド サーバーに展開するスケジュールされた一連のタスクを自動的に作成します。

または、既存の証明書をサーバー間認証証明書として使用することもできます。 (ご注意のとおり、既定の証明書はサーバー間認証証明書として使用できます)。次の一対のWindows PowerShell コマンドは、既定の証明書の拇印プロパティの値を取得し、その値を使用して既定の証明書をサーバー間認証証明書にします。

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x

上記のコマンドでは、取得した証明書がグローバル サーバー間認証証明書として機能するように構成されています。つまり、すべてのフロントエンド サーバーに証明書がレプリケートされ、使用されます。 ここでも、このコマンドは 1 回だけ実行し、フロントエンド サーバーの 1 つでのみ実行する必要があります。 すべてのフロントエンド サーバーで同じ証明書を使用する必要がありますが、各フロントエンド サーバーで OAuthTokenIssuer 証明書を構成しないでください。 代わりに、証明書を 1 回構成してから、Lync Server のレプリケーション サーバーがその証明書を各サーバーにコピーできるようにします。

Set-CsCertificate コマンドレットは、問題の証明書を受け取り、その証明書を現在の OAuthTokenIssuer 証明書として機能するようにすぐに構成します。 (Lync Server 2013 では、現在の証明書と前の証明書という 2 つの種類の証明書のコピーが保持されます)。OAuthTokenIssuer 証明書としてすぐに機能し始めるために新しい証明書が必要な場合は、Set-CsCertificate コマンドレットを使用する必要があります。

Set-CsCertificate コマンドレットを使用して、新しい証明書を "ロール" することもできます。 証明書の "ロール" とは、指定した時点から新しい証明書を現在の OAuthTokenIssuer 証明書にするように構成することを意味します。 たとえば、このコマンドは既定の証明書を取得し、2012 年 7 月 1 日の時点でその証明書を現在の OAuthTokenIssuer 証明書として引き継ぐように構成します。

$x = (Get-CsCertificate -Type Default).Thumbprint
Set-CsCertificate -Identity global -Type OAuthTokenIssuer -Thumbprint $x -EffectiveDate "7/1/2012" -Roll

2012 年 7 月 1 日に、新しい証明書が現在の OAuthTokenIssuer 証明書として構成され、"古い" OAuthTokenIssuer 証明書が前の証明書として構成されます。

Windows PowerShellを使用しない場合は、証明書 MMC コンソールを使用して、1 つのフロントエンド サーバーから証明書をエクスポートし、その同じ証明書を他のすべてのフロント エンド サーバーにインポートすることもできます。 これを行う場合は、証明書とともに秘密キーを必ずエクスポートしてください。

警告

この場合、各フロント エンド サーバーで手順を実行する必要があります。 この方法で証明書をエクスポートおよびインポートする場合、Lync Server 2013 は、その証明書を各フロントエンド サーバーにレプリケートしません。

証明書をすべてのフロントエンド サーバーにインポートした後、その証明書は、Windows PowerShellではなく Lync Server 展開ウィザードを使用して割り当てることができます。 展開ウィザードを使用して証明書を割り当てるには、展開ウィザードがインストールされているコンピューターで以下の手順に従います。

  1. [スタート] ボタン、[すべてのプログラム] の順にクリックし、 Microsoft Lync Server 2013 をクリックして、[ Lync Server 展開ウィザード] をクリックします。

  2. 展開ウィザードで、[ Lync Server システムのインストールまたは更新] をクリックします。

  3. Microsoft Lync Server 2013 ページで、[手順 3: 証明書の要求、インストール、または割り当て] という見出しの下にある [実行] ボタンをクリックします。 (注: このコンピューターに証明書を既にインストールしている場合は、[ 実行 ] ボタンに [ 再実行] というラベルが付けられます)。

  4. 証明書ウィザードで、OAuthTokenIssuer 証明書を選択してから [割り当て] をクリックします。

  5. 証明書の割り当てウィザードの [証明書の割り当て] ページで、[次へ] をクリックします。

  6. [証明書ストア] ページで、サーバー対サーバーの認証に使用する証明書を選択して [次へ] をクリックします。

  7. [証明書の割り当ての概要] ページで、[次へ] をクリックします。

  8. [コマンドを実行しています] ページで、[完了] をクリックします。

  9. 証明書ウィザードと展開ウィザードを閉じます。