証明書署名要求を使って証明書を作成する

証明書署名要求(CSR)には、Active Directory(AD)ドメイン内に下位認証局(CA)を作成するために必要な情報が含まれます。

チームは、アドバンストサーバーアクセスでCSRを作成し、ADドメインを使ってそれに署名する必要があります。署名済みの証明書をアドバンストサーバーアクセスにアップロードして1つまたは複数のAD接続と関連付けることができます。次の手順の一部は、特定のActive Directory環境に応じて異なる場合があります。

開始する前に

このタスクを開始する

  1. アドバンストサーバーアクセスでCSRを作成します。
    1. アドバンストサーバーアクセスのダッシュボードを開きます。
    2. ユーザーメニューの[Team Settings(チーム設定)]をクリックします。
    3. Passwordless Certificates(パスワードなし証明書)]タブに移動します。
    4. Create(作成)]>[Certificate Signing Request(証明書署名要求)]をクリックします。
    5. [Create Certificate Signing Request(証明書署名要求を作成する)]ウィンドウで証明書の設定を構成します。
    6. Create Certificate Signing Request(証明書署名要求を作成する)]をクリックします。
      デバイスにCSRがダウンロードされます。このファイルをADドメインコントローラーに移動します。
  2. AD証明書サービス(CS)サーバーに証明書テンプレートを作成します。
    1. Certification Authority(認証局)]を開きます。
    2. Certificate Templates(証明書テンプレート)]を右クリックして[Manage(管理)]を選択します。[Certificate Templates Console(証明書テンプレートコンソール)]ウィンドウが表示されます。
    3. Subordinate Certification Authority(下位認証局)]を右クリックして[Duplicate Template(テンプレートを複製する)]を選択します。プロパティウィンドウが表示されます。
    4. [General(一般)]タブの[Template Display Name(テンプレートの表示名)]に「ADPasswordless」と入力します。
    5. [Extensions(拡張)]タブで[Application Policy(アプリケーションポリシー)]を選択し、[Edit(編集)]をクリックします。[Edit Application Policies Extension(アプリケーションポリシー拡張を編集する)]ウィンドウが表示されます。
    6. Add(追加)]をクリックします。[Add Application Policy(アプリケーションポリシーを追加する)]ウィンドウが表示されます。
    7. Smart Card Logon(スマートカードログオン)]と[Client Authentication(クライアント認証)]を選択し、[OK]をクリックします。
    8. Edit Application Policies Extension(アプリケーションポリシー拡張を編集する)]ウィンドウの[OK]をクリックします。
  3. 証明書を発行します。
    注:次のコマンドは、CSRの名前に合わせて調整してください。
    1. Certification Authority(認証局)]に戻ります。
    2. Certificate Templates(証明書テンプレート)]を右クリックして[New(新規)]>[Certificate Template to Issue(発行する証明書テンプレート)]に移動します。
    3. Enable Certificate Templates(証明書テンプレートを有効化する)]ウィンドウで、作成した証明書テンプレートを選択し、[OK]をクリックします。
    4. 管理者としてコマンドプロンプトを開きます。
    5. CSRを保存したディレクトリに移動して次のコマンドを実行します:
      certreq -attrib "CertificateTemplate:ADPasswordless" -submit "YOUR_TEAM_CSR" "YOUR_SAVED_CERT"
    6. 確認ウィンドウで関連するCAを選択し、[OK]をクリックします。
      AD CSサーバーが証明書を発行し、証明書ファイルをBase-64エンコードで保存します。
  4. 証明書を[Trusted Root Certification Authorities(信頼されたルート認証局)]ストアにインポートします。
    1. 発行された証明書をダブルクリックします。
    2. 証明書ウィンドウの[Install Certificate(証明書をインストールする)]をクリックします。
    3. Certificate Import Wizard(証明書インポートウィザード)]ウィンドウの[Next(次へ)]をクリックします。
    4. Place all certificates in the following store(すべての証明書を次のストアに配置する)]を選択し、[Browse(参照)]をクリックします。
    5. 参照ウィンドウで[Trusted Root Certification Authorities(信頼されたルート認証局)]を選択し、[OK]をクリックします。
    6. [Next(次へ)]をクリックします。
    7. 情報を確認し、[Finish(完了)]をクリックします。
      ADが証明書をインポートします。
  5. 証明書をADにインポートします。
    注:次のコマンドは、保存した証明書ファイルの名前に合わせて調整してください。
    1. コマンドプロンプトに戻り、証明書を保存したディレクトリに移動します。
    2. 次のコマンドを実行して証明書をDS Enterpriseストアにパブリッシュします:
      certutil -dspublish -f YOUR_SAVED_CERT NTAuthCA
  6. 署名済みの証明書をアドバンストサーバーアクセスにアップロードします。
    1. アドバンストサーバーアクセスダッシュボードの[Passwordless Certificates(パスワードなし証明書)]タブに戻ります。
    2. 作成した証明書のレコードを確認します。
    3. ギアアイコン >[Upload certificate(証明書をアップロード)]をクリックします。
    4. 証明書アップロードウィンドウの[Browse files(ファイルを参照)]をクリックします。
    5. ファイルエクスプローラーウィンドウで、発行した証明書ファイルを特定します。
    6. 証明書アップロードウィンドウの[Upload(アップロード)]をクリックします。

証明書をアップロードすると、アドバンストサーバーアクセスは証明書ファイルの有効性をチェックします。証明書が有効であれば、チームは新しい、または既存のAD接続に証明書を追加できます。チームは、グループポリシーを使ってドメインコントローラーとメンバーサーバーに証明書を配布する必要があります。

次の手順