グループ チャット サーバーの証明書の取得
トピックの最終更新日: 2012-03-06
Microsoft Lync Server 2010、グループ チャットをインストールするには、Microsoft Lync Server 2010 内部サーバーによって参照サービス、チャネル サービス、Web サービス、およびコンプライアンス サービスに使用されるものと同じ証明機関 (CA) から発行された証明書が必要です。 特に外部 CA を使用する場合は、Lync Server 2010、グループ チャットを実行する前に、必要な証明書を取得します。
Web サービス IIS 証明書の構成の詳細については、「グループ チャット サーバーの Web サービス IIS 証明書の構成」を参照します。
以下の手順に従って、内部エンタープライズ CA および Windows 証明書サービスを使用して証明書を取得できます。
CA 証明書パスをダウンロードするには
組織のルート CA をオフラインにし、下位の (発行を行う) CA サーバーをオンラインにして、グループ チャット サーバーにサインインします。これを行うには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「http://<発行を行う CA サーバーの名前>/certsrv」と入力し、[OK] をクリックします。
[タスクの選択] ボックスの [CA 証明書、証明書チェーン、または CRL のダウンロード] をクリックします。
[CA 証明書、証明書チェーン、または CRL のダウンロード] で、[CA 証明書チェーンのダウンロード] をクリックします。
[ファイルのダウンロード] ダイアログ ボックスで [保存] をクリックします。
サーバー上のドライブに .p7b ファイルを保存します。この .p7b ファイルを開くと、チェーンには次の 2 つの証明書があります。
<エンタープライズのルート CA の名前> 証明書
<エンタープライズの下位 CA の名前> 証明書
CA 証明書パスをインストールするには
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「mmc」と入力し、[OK] をクリックします。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。
[利用できるスタンドアロン スナップイン] ボックスの一覧で、[証明書] をクリックし、[追加] をクリックします。
[コンピューター アカウント] をクリックし、[次へ] をクリックします。
[コンピューターの選択] ダイアログ ボックスで、[ローカル コンピューター (このコンソールを実行しているコンピューター)] チェック ボックスがオンになっていることを確認し、[完了] をクリックします。
[閉じる] をクリックし、[OK] をクリックします。
証明書スナップインのコンソール ツリーで、[証明書 (ローカル コンピューター)] を展開します。
[信頼されたルート証明機関] を展開します。
[証明書] を右クリックし、[すべてのタスク] をポイントして、[インポート] をクリックします。
インポート ウィザードで、[次へ] をクリックします。
[参照] をクリックして、証明書チェーンを保存した場所に移動します。次に, .p7b ファイルをクリックし、[開く] をクリックします。
[次へ] をクリックします。
既定値の [証明書をすべて次のストアに配置する] をそのまま使用し、[証明書ストア] で [信頼されたルート証明機関] が表示されていることを確認します。
[次へ] をクリックします。
[完了] をクリックします。
証明書を要求するには
Web ブラウザーを開き、「http://<発行を行う CA サーバーの名前>/certsrv」と入力して Enter キーを押します。
[証明書の要求] をクリックします。
[証明書の要求の詳細設定] をクリックします。
[この CA への要求を作成し送信する] をクリックします。
[証明書テンプレート] で、Web サーバー テンプレートを選択します。
.gif "important")
重要:Web サイトを介して証明書を要求する場合、証明書は既定の場所である Current User\Personal\Certificates にインストールされます。証明書は Local Computer\Personal にインポートする必要があります。そのためには、証明書をエクスポートしてから Local Computer\Personal\Certificates にインポートする必要があります。秘密キーをエクスポートできる Web サーバー証明書テンプレートのコピーの作成が必要になる場合もあります。証明書の要求では、秘密キーのエクスポートを可能にするこの Web サーバー テンプレートを使用します。例については、次の手順「エクスポート可能な秘密キーを持つ証明書を作成するには」を参照してください。 [オフライン テンプレート用の識別情報] の [名前] ボックスに、サーバーの完全修飾ドメイン名 (FQDN) を入力します。
[キーのオプション] の [CSP] で、[Microsoft RSA Channel Cryptographic Provider] をクリックします。
[ローカル コンピューターに証明書を格納する] チェック ボックスをオンにします。
[送信] をクリックします。
[潜在するスクリプト違反] ダイアログ ボックスで、[はい] をクリックします。
エクスポート可能な秘密キーを持つ証明書を作成するには
certreq.inf ファイルと Certutil コマンドを使用して、エクスポート可能な秘密キーを持つ証明書を作成します。たとえば、最初に次のような request.inf ファイルを作成します。
[NewRequest] Subject = "CN=server.contoso.com" Exportable = TRUE KeyLength = 1024 KeySpec = 1 KeyUsage = 0xA0 MachineKeySet = True ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = CMC以下の Certutil コマンドを実行します。
certreq -new request.inf certnew.req certreq -submit - attrib "CertificateTemplate:Webserver" certnew.req certnew.cer certreq -retrieve <RequestID> certnew.cer certreq -accept certnew.cer
コンピューターに証明書をインストールするには
[この証明書のインストール] をクリックします。
[潜在するスクリプト違反] ダイアログ ボックスで、[はい] をクリックします。
要求が行われた後、証明書発行要求を手動で承認するには
Domain Admins グループのメンバーとして、エンタープライズの下位 CA サーバーにログオンします。
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「mmc」と入力し、Enter キーを押します。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。
[追加] をクリックします。
[スタンドアロン スナップインの追加] ボックスで、[証明機関] をクリックして、[追加] をクリックします。
[証明機関] で、[ローカル コンピューター (このコンソールを実行しているコンピューター)] をクリックします。
[完了] をクリックします。
[閉じる] をクリックし、[OK] をクリックします。
Microsoft 管理コンソール (MMC) で、[証明機関] を展開し、発行元の証明書サーバーを展開します。
[保留中の要求] をクリックします。
詳細ウィンドウで、要求 ID で識別される要求を右クリックし、[すべてのタスク] をポイントします。次に、[発行] をクリックします。
証明書を要求したサーバーで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
「http://<発行を行う CA サーバーの名前>/certsrv」と入力し、[OK] をクリックします。
[タスクの選択] ボックスで、[保留中の証明書の要求の状態] をクリックします。
[保留中の証明書の要求の状態] で、目的の要求をクリックします。
[この証明書のインストール] をクリックします。
CA から発行された証明書に対して信頼を付与する CA 証明書チェーンが、[コンソール ルート]、[証明書 (ローカル コンピューター)]、[信頼されたルート証明機関]、[証明書] を順に展開した場所にインストールされていることを確認します。 このチェーンには、ルート CA 証明書が含まれます。