証明書署名要求を使って証明書を作成する

証明書署名要求(CSR)には、Active Directoryドメイン内に下位認証局(CA)を作成するために必要な情報が含まれます。

チームは、Advanced Server AccessでCSRを作成し、Active Directoryドメインを使ってそれに署名する必要があります。署名済みの証明書は、Advanced Server Accessにアップロードして1つまたは複数のActive Directory接続と関連付けることができます。次の手順の一部は、特定のActive Directory環境に応じて異なる場合があります。

開始する前に

Active Directory証明書サービスをドメインのルートCAとしてインストールします。「認証局をインストールする」をご覧ください。

このタスクを開始する

  1. Advanced Server AccessでCSRを作成します。
    1. Advanced Server Accessダッシュボードを開きます。
    2. ユーザーメニューのチーム設定(Team Settings)をクリックします。
    3. パスワードレス証明書(Passwordless Certificates)タブに移動します。
    4. 作成(Create) > 証明書署名要求(Certificate Signing Request)の順にクリックします。
    5. 証明書署名要求を作成する([Create Certificate Signing Request)]ウィンドウで証明書の設定を構成します。
    6. 証明書署名要求を作成する(Create Certificate Signing Request)をクリックします。

      デバイスにCSRがダウンロードされます。このファイルをActive Directoryドメインコントローラーに移動します。

  2. Active Directory証明書サービス(CS)サーバーに証明書テンプレートを作成します。
    1. 認証局(Certification Authority)を開きます。
    2. 証明書テンプレート(Certificate Templates)を右クリックして管理(Manage)を選択します。証明書テンプレートコンソール(Certificate Templates Console)ウィンドウが表示されます。
    3. 下位認証局(Subordinate Certification Authority)を右クリックしてテンプレートを複製する(Duplicate Template)を選択します。プロパティウィンドウが表示されます。
    4. 一般([General)]タブの[Template Display Name(テンプレートの表示名)]にADPasswordlessと入力します。
    5. 拡張([Extensions)]タブでアプリケーションポリシー(Application Policy)を選択し、編集(Edit)をクリックします。アプリケーションポリシー拡張を編集する(Edit Application Policies Extension)ウィンドウが表示されます。
    6. 追加(Add)をクリックします。アプリケーションポリシーを追加する(Add Application Policy)ウィンドウが表示されます。
    7. スマートカードログオン(Smart Card Logon)クライアント認証(Client Authentication)を選択し、OKをクリックします。
    8. アプリケーションポリシー拡張を編集する(Edit Application Policies Extension)ウィンドウのOKをクリックします。
  3. 証明書を発行します。
    1. 認証局(Certification Authority)に戻ります。
    2. 証明書テンプレート(Certificate Templates)を右クリックして新規(New) > 発行する証明書テンプレート(Certificate Template to Issue)に移動します。
    3. 証明書テンプレートを有効化する(Enable Certificate Templates)ウィンドウで、作成した証明書テンプレートを選択し、OKをクリックします。
    4. 管理者としてコマンドプロンプトを開きます。
    5. CSRを保存したディレクトリに移動して次のコマンドを入力します。
      certreq -attrib "CertificateTemplate:ADPasswordless" -submit "YOUR_TEAM_CSR" "YOUR_SAVED_CERT"
    6. 確認ウィンドウで関連するCAを選択し、OKをクリックします。Active Directory CSサーバーが証明書を発行し、証明書ファイルをBase-64エンコードで保存します。
  4. 証明書を信頼されたルート認証局(Trusted Root Certification Authorities)ストアにインポートします。
    1. 発行された証明書をダブルクリックします。
    2. 証明書ウィンドウの証明書をインストールする(Install Certificate)をクリックします。
    3. 証明書インポートウィザード(Certificate Import Wizard)ウィンドウの次へ(Next)をクリックします。
    4. すべての証明書を次のストアに配置する(Place all certificates in the following store)を選択し、参照(Browse)をクリックします。
    5. 参照ウィンドウで信頼されたルート認証局(Trusted Root Certification Authorities)を選択し、OKをクリックします。
    6. 次へ(Next)をクリックします。
    7. 情報を確認し、終了(Finish)をクリックします。

      Active Directoryは証明書をインポートします。

  5. 証明書をActive Directoryにインポートします。
    1. コマンドプロンプトで、証明書を保存したディレクトリに移動します。
    2. 証明書をレジストリに追加します。
      certutil -enterprise -addstore NTAuth SIGNED_CERT.crt

  6. 任意。このステップは、トラブルシューティング用途専用です。

    • NTAuthストアを表示します。

      certutil -enterprise -viewstore NTAuth

    • NTAuthストアから証明書を削除します。

      certutil -enterprise -viewdelstore NTAuth
  7. 署名済みの証明書をAdvanced Server Accessにアップロードします。
    1. Advanced Server Accessダッシュボードのパスワードレス証明書(Passwordless Certificates)タブに戻ります。
    2. 作成した証明書のレコードを確認します。
    3. gear iconをクリックし、証明書をアップロード(Upload certificate)をクリックします。
    4. [証明書をアップロード]ウィンドウのファイルを参照(Browse files)をクリックします。
    5. ファイルエクスプローラーウィンドウで、発行した証明書ファイルを特定します。
    6. 証明書アップロードウィンドウのアップロード(Upload)をクリックします。

証明書をアップロードすると、Advanced Server Accessは証明書ファイルの有効性をチェックします。証明書が有効であれば、チームは新しい、または既存のActive Directory接続に証明書を追加できます。ただし、チームは、グループポリシーを使って証明書をドメインコントローラーとメンバーサーバーに配布しなければなりません。

次の手順