証明書署名要求を使って証明書を作成する

証明書署名要求(CSR)には、Active Directoryドメイン内に下位認証局(CA)を作成するために必要な情報が含まれます。

チームは、Advanced Server AccessでCSRを作成し、Active Directoryドメインを使ってそれに署名する必要があります。署名済みの証明書は、Advanced Server Accessにアップロードして1つまたは複数のActive Directory接続と関連付けることができます。次の手順の一部は、特定のActive Directory環境に応じて異なる場合があります。

はじめに

このタスクを開始する

  1. Advanced Server AccessでCSRを作成します。
    1. Advanced Server Accessのダッシュボードを開きます。
    2. ユーザーメニューの[Team Settings(チーム設定)]をクリックします。
    3. [Passwordless Certificates(パスワードなし証明書)]タブに移動します。
    4. [Create Certificate Signing Request(証明書署名要求を作成する)]をクリックします。
    5. [Create Certificate Signing Request(証明書署名要求を作成する)]ウィンドウで証明書の設定を構成します。
    6. Create Certificate Signing Request(証明書署名要求を作成する)]をクリックします。

      デバイスにCSRがダウンロードされます。このファイルをActive Directoryドメインコントローラーに移動します。

  2. Active Directory証明書サービス(CS)サーバーに証明書テンプレートを作成します。
    1. Certification Authority(認証局)]を開きます。
    2. Certificate Templates(証明書テンプレート)]を右クリックして[Manage(管理)]を選択します。[Certificate Templates Console(証明書テンプレートコンソール)]ウィンドウが表示されます。
    3. Subordinate Certification Authority(下位認証局)]を右クリックして[Duplicate Template(テンプレートを複製する)]を選択します。プロパティウィンドウが表示されます。
    4. [General(一般)]タブの[Template Display Name(テンプレートの表示名)]に「ADPasswordless」と入力します。
    5. [Extensions(拡張)]タブで[Application Policy(アプリケーションポリシー)]を選択し、[編集]をクリックします。[Edit Application Policies Extension(アプリケーションポリシー拡張を編集する)]ウィンドウが表示されます。
    6. Add(追加)]をクリックします。[Add Application Policy(アプリケーションポリシーを追加する)]ウィンドウが表示されます。
    7. Smart Card Logon(スマートカードログオン)]と[Client Authentication(クライアント認証)]を選択し、[OK]をクリックします。
    8. Edit Application Policies Extension(アプリケーションポリシー拡張を編集する)]ウィンドウの[OK]をクリックします。
  3. 証明書を発行します。
    1. [Certification Authority(認証局)]に戻ります。
    2. [Certificate Templates(証明書テンプレート)]を右クリックして[New(新規)][Certificate Template to Issue(発行する証明書テンプレート)]に移動します。
    3. [Enable Certificate Templates(証明書テンプレートを有効化する)]ウィンドウで、作成した証明書テンプレートを選択し、[OK]をクリックします。
    4. 管理者としてコマンドプロンプトを開きます。
    5. CSRを保存したディレクトリに移動して次のコマンドを入力します。

      certreq -attrib "CertificateTemplate:ADPasswordless" -submit "YOUR_TEAM_CSR" "YOUR_SAVED_CERT"

    6. 確認ウィンドウで関連するCAを選択し、[OK]をクリックします。
      Active Directory CSサーバーが証明書を発行し、証明書ファイルをBase-64エンコードで保存します。
  4. 証明書を[Trusted Root Certification Authorities(信頼されたルート認証局)]ストアにインポートします。
    1. 発行された証明書をダブルクリックします。
    2. 証明書ウィンドウの[Install Certificate(証明書をインストールする)]をクリックします。
    3. Certificate Import Wizard(証明書インポートウィザード)]ウィンドウの[Next(次へ)]をクリックします。
    4. Place all certificates in the following store(すべての証明書を次のストアに配置する)]を選択し、[Browse(参照)]をクリックします。
    5. 参照ウィンドウで[Trusted Root Certification Authorities(信頼されたルート認証局)]を選択し、[OK]をクリックします。
    6. [Next(次へ)]をクリックします。
    7. 情報を確認し、[Finish(終了)]をクリックします。

      Active Directoryは証明書をインポートします。

  5. 証明書をActive Directoryにインポートします。
    1. コマンドプロンプトで、証明書を保存したディレクトリに移動します。
    2. 証明書をレジストリに追加します。

      certutil -enterprise -addstore NTAuth SIGNED_CERT.crt

  6. 任意。このステップは、トラブルシューティング用途専用です。

    • NTAuthストアを表示します。

      certutil -enterprise -viewstore NTAuth

    • NTAuthストアから証明書を削除します。

      certutil -enterprise -viewdelstore NTAuth

  7. 署名済みの証明書をAdvanced Server Accessにアップロードします。
    1. Advanced Server Accessダッシュボードの[Passwordless Certificates(パスワードなし証明書)]タブに戻ります。
    2. 作成した証明書のレコードを確認します。
    3. ギアアイコン >[Upload certificate(証明書をアップロード)]をクリックします。
    4. [証明書をアップロード]ウィンドウの[Browse files(ファイルを参照)]をクリックします。
    5. ファイルエクスプローラーウィンドウで、発行した証明書ファイルを特定します。
    6. 証明書アップロードウィンドウの[Upload(アップロード)]をクリックします。

証明書をアップロードすると、Advanced Server Accessは証明書ファイルの有効性をチェックします。証明書が有効であれば、チームは新しい、または既存のActive Directory接続に証明書を追加できます。ただし、チームは、グループポリシーを使って証明書をドメインコントローラーとメンバーサーバーに配布しなければなりません。

次の手順