Advanced Server Accessゲートウェイに証明書を追加する

注:

販売終了のお知らせ

2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。

Okta Privileged Accessについて詳しくは、よくある質問をご覧ください。

ここでは、Advanced Server AccessゲートウェイでLDAPオプションとRDPオプションを使用するための証明書の作成方法について説明します。この証明書は、PEM（Base-64）で符号化され、ドメインコンピューターへの証明書の発行に使用されるルート認証局（ルートCA）の公開鍵が指定されている必要があります。このプロセスには、Active Directory（AD）ドメインとゲートウェイの管理者権限が必要です。

さらに、Windowsデバイスにサーバー認証証明書を作成する必要もあります。

注:

この構成は、企業の管理対象証明書がすでにRDPリスナーに存在する場合にのみ適用します。デフォルトでは、この構成は自己署名証明書を使用します。

ルートCAドメイン証明書にアクセスします。
1. ドメインのルートCAにサインインします。
2. スタート（Start） > 管理ツール（Administrative Tools） > 認証局（Certification Authority）に移動します。
3. 左パネルで認証局（Certification Authority）を右クリックし、プロパティ（Properties）を選択します。プロパティウィンドウが表示されます。
4. 一般（General）タブで、証明書を表示する（View Certificate）をクリックします。証明書（Certificate）ウィンドウが表示されます。
5. 詳細（Details）タブで、ファイルにコピーする（Copy to file）をクリックします。
証明書をエクスポートします。
1. 証明書エクスポートウィザード（Certificate Export Wizard）の次へ（Next）をクリックします。
2. Base-64 encoded X.509を選択し、次へ（Next）をクリックします。
3. 参照（Browse）をクリックしてパスを指定し、次へ（Next）をクリックします。Oktaエクスポートした証明書を簡単に特定できるように、標準の命名構造を使用することをお勧めします。
4. 終了（Finish）をクリックします。
エクスポートした証明書を開いて内容をコピーします。
Advanced Server Accessゲートウェイを構成します。
1. ゲートウェイにサインインします。
2. 信頼できる証明書のディレクトリを作成します： mkdir -p /etc/sft/trustedcerts
3. 証明書ファイルを作成します。 touch /etc/sft/trustedcerts/<domainname>.pem
4. 作成したファイルを開き、エクスポートしたAD証明書からコピーした内容を貼り付けます。
5. RDPとLDAPのTrustedCAsDirオプションを構成します。「Advanced Server Accessゲートウェイを構成する」を参照してください。
6. sft-gatewaydサービスを再起動します。

サーバー認証証明書を作成する

マイクロソフトのドキュメントで「Create a Server Authentication certificate」のトピックに記載されている手順に従います。手順は、使用するWindowsのバージョンによって異なる可能性があります。