証明書署名要求を使って証明書を作成する
証明書署名要求(CSR)には、Active Directory(AD)ドメイン内に下位認証局(CA)を作成するために必要な情報が含まれます。
チームは、アドバンストサーバーアクセスでCSRを作成し、ADドメインを使ってそれに署名する必要があります。署名済みの証明書をアドバンストサーバーアクセスにアップロードして1つまたは複数のAD接続と関連付けることができます。次の手順の一部は、特定のActive Directory環境に応じて異なる場合があります。
開始する前に
- Active Directory証明書サービスをドメインのルートCAとしてインストールします。「認証局をインストールする」をご覧ください。
このタスクを開始する
- アドバンストサーバーアクセスでCSRを作成します。
- アドバンストサーバーアクセスのダッシュボードを開きます。
- ユーザーメニューの[Team Settings(チーム設定)]をクリックします。
- [Passwordless Certificates(パスワードなし証明書)]タブに移動します。
- [Create(作成)]>[Certificate Signing Request(証明書署名要求)]をクリックします。
- [Create Certificate Signing Request(証明書署名要求を作成する)]ウィンドウで証明書の設定を構成します。
- [Create Certificate Signing Request(証明書署名要求を作成する)]をクリックします。
デバイスにCSRがダウンロードされます。このファイルをADドメインコントローラーに移動します。
- AD証明書サービス(CS)サーバーに証明書テンプレートを作成します。
- [Certification Authority(認証局)]を開きます。
- [Certificate Templates(証明書テンプレート)]を右クリックして[Manage(管理)]を選択します。[Certificate Templates Console(証明書テンプレートコンソール)]ウィンドウが表示されます。
- [Subordinate Certification Authority(下位認証局)]を右クリックして[Duplicate Template(テンプレートを複製する)]を選択します。プロパティウィンドウが表示されます。
- [General(一般)]タブの[Template Display Name(テンプレートの表示名)]に「ADPasswordless」と入力します。
- [Extensions(拡張)]タブで[Application Policy(アプリケーションポリシー)]を選択し、[Edit(編集)]をクリックします。[Edit Application Policies Extension(アプリケーションポリシー拡張を編集する)]ウィンドウが表示されます。
- [Add(追加)]をクリックします。[Add Application Policy(アプリケーションポリシーを追加する)]ウィンドウが表示されます。
- [Smart Card Logon(スマートカードログオン)]と[Client Authentication(クライアント認証)]を選択し、[OK]をクリックします。
- [Edit Application Policies Extension(アプリケーションポリシー拡張を編集する)]ウィンドウの[OK]をクリックします。
- 証明書を発行します。
注:次のコマンドは、CSRの名前に合わせて調整してください。- [Certification Authority(認証局)]に戻ります。
- [Certificate Templates(証明書テンプレート)]を右クリックして[New(新規)]>[Certificate Template to Issue(発行する証明書テンプレート)]に移動します。
- [Enable Certificate Templates(証明書テンプレートを有効化する)]ウィンドウで、作成した証明書テンプレートを選択し、[OK]をクリックします。
- 管理者としてコマンドプロンプトを開きます。
- CSRを保存したディレクトリに移動して次のコマンドを実行します:
certreq -attrib "CertificateTemplate:ADPasswordless" -submit "YOUR_TEAM_CSR" "YOUR_SAVED_CERT" - 確認ウィンドウで関連するCAを選択し、[OK]をクリックします。
AD CSサーバーが証明書を発行し、証明書ファイルをBase-64エンコードで保存します。
- 証明書を[Trusted Root Certification Authorities(信頼されたルート認証局)]ストアにインポートします。
- 発行された証明書をダブルクリックします。
- 証明書ウィンドウの[Install Certificate(証明書をインストールする)]をクリックします。
- [Certificate Import Wizard(証明書インポートウィザード)]ウィンドウの[Next(次へ)]をクリックします。
- [Place all certificates in the following store(すべての証明書を次のストアに配置する)]を選択し、[Browse(参照)]をクリックします。
- 参照ウィンドウで[Trusted Root Certification Authorities(信頼されたルート認証局)]を選択し、[OK]をクリックします。
- [Next(次へ)]をクリックします。
- 情報を確認し、[Finish(完了)]をクリックします。
ADが証明書をインポートします。
- 証明書をADにインポートします。
注:次のコマンドは、保存した証明書ファイルの名前に合わせて調整してください。- コマンドプロンプトに戻り、証明書を保存したディレクトリに移動します。
- 次のコマンドを実行して証明書をDS Enterpriseストアにパブリッシュします:
certutil -dspublish -f YOUR_SAVED_CERT NTAuthCA
- 署名済みの証明書をアドバンストサーバーアクセスにアップロードします。
- アドバンストサーバーアクセスダッシュボードの[Passwordless Certificates(パスワードなし証明書)]タブに戻ります。
- 作成した証明書のレコードを確認します。
>[Upload certificate(証明書をアップロード)]をクリックします。
- 証明書アップロードウィンドウの[Browse files(ファイルを参照)]をクリックします。
- ファイルエクスプローラーウィンドウで、発行した証明書ファイルを特定します。
- 証明書アップロードウィンドウの[Upload(アップロード)]をクリックします。
証明書をアップロードすると、アドバンストサーバーアクセスは証明書ファイルの有効性をチェックします。証明書が有効であれば、チームは新しい、または既存のAD接続に証明書を追加できます。チームは、グループポリシーを使ってドメインコントローラーとメンバーサーバーに証明書を配布する必要があります。