Advanced Server Accessのゲートウェイに証明書を追加する

ここでは、Advanced Server AccessのゲートウェイでLDAPオプションとRDPオプションを使用するための証明書の作成方法について説明します。この証明書は、PEM(Base-64)で符号化され、ドメインコンピューターへの証明書の発行に使用されるルート認証局(ルートCA)の公開鍵が指定されている必要があります。このプロセスには、Active Directory(AD)ドメインとゲートウェイの管理者権限が必要です。

さらに、Windowsデバイスにサーバー認証証明書を作成する必要もあります。

この構成は、企業の管理対象証明書がすでにRDPリスナーに存在する場合にのみ適用します。デフォルトでは、この構成は自己署名証明書を使用します。

  1. ルートCAドメイン証明書にアクセスします。
    1. ドメインのルートCAにサインインします。
    2. [Start(スタート)][Administrative Tools(管理ツール)][Certification Authority(認証局)]に移動します。
    3. 左パネルで[Certification Authority(認証局)]を右クリックし、[Properties(プロパティ)]を選択します。プロパティウィンドウが表示されます。
    4. 一般]タブで、[View Certificate(証明書を表示する)]をクリックします。[Certificate(証明書)]ウィンドウが表示されます。
    5. Details(詳細)]タブで、[Copy to file(ファイルにコピーする)]をクリックします。
  2. 証明書をエクスポートします。
    1. Certificate Export Wizard(証明書エクスポートウィザード)]の[Next(次へ)]をクリックします。
    2. [Base-64 encoded X.509]を選択し、[Next(次へ)]をクリックします。
    3. [Browse(参照)]をクリックしてパスを指定し、[Next(次へ)]をクリックします。エクスポートした証明書を簡単に特定できるように、標準の命名構造を使用することをお勧めします。
    4. [Finish(終了)]をクリックします。
  3. エクスポートした証明書を開いて内容をコピーします。
  4. Advanced Server Accessのゲートウェイを構成します。
    1. ゲートウェイにサインインします。
    2. 信頼できる証明書のディレクトリを作成します:
      mkdir -p /etc/sft/trustedcerts
    3. 証明書ファイルを作成します:
      touch /etc/sft/trustedcerts/<domainname>.pem
    4. 作成したファイルを開き、エクスポートしたAD証明書からコピーした内容を貼り付けます。
    5. RDPとLDAPのTrustedCAsDirオプションを構成します。「Advanced Server Accessのゲートウェイを構成する」をご覧ください。
    6. sft-gatewaydサービスを再起動します。

サーバー認証証明書を作成する

マイクロソフトのドキュメントで「Create a Server Authentication certificate」のトピックに記載されている手順に従います。手順は、使用するWindowsのバージョンによって異なる可能性があります。