SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

ワークグループ環境の TMG 2010 でスタンドアロン アレイを構築 – その 1 証明書の作成 –

leave a comment

ワークグループ環境の TMG のアレイ構成の構築方法が大体わかってきましたのでまとめてみたいと思います。

ワークグループ環境でも [スタンドアロン アレイ] / [エンタープライズ アレイ] を構築することが可能です。
ただし、ドメイン環境と異なり [証明書] が必要となります。

証明書は

  • サーバー認証証明書
  • ルート証明書 (サーバー認証証明書に署名した証明機関の証明書)

の 2 種類が必要となります。

サーバー認証証明書はアレイ マネージャーに、ルート証明書はアレイに参加するメンバーサーバーに導入します。
# ルート証明書はアレイ マネージャーにもインストールする必要があります。

これらの証明書は Active Directory 証明書サービス (AD CS) で作成することができますので、検証には AD CS で
発行された証明書を使うのが楽だと思います。

その 1 として証明書の作成手順をまとめていきたいと思います。
この証明書の作成手順ですが、ワークグループ環境のエンタープライズ アレイでも同様の方法を利用することができます。

[AD CS のインストール]

  • AD CS のインストールは、[サーバー マネージャー] で [Active Directory 証明書サービス] をインストールします。
    image
  • 証明書の要求をするため、[証明機関 Web 登録] の役割を追加して機能をインストールしておきます。
    image
  • 今回はワークグループ環境ですので、[スタンドアロン] のみ選択ができるようになっています。
    image
  • あとは、[ルート CA] として設定し、それ以降の設定はデフォルトのままインストールをします。
    image
    image

これで以下の環境が構築できた状態になっています。
# 実際のサーバー名もこちらの図の内容となっています。
image

インストールが終わったら、[証明機関 Web 登録] でサーバー認証証明書を発行できるように IIS を設定します。

[IIS の設定]

Web ベースで証明書を発行するため、IIS で SSL の設定を行います。
HTTP 経由で証明書発行用のサイトにアクセスすると以下のメッセージが表示され、証明書要求を発行することができません。
image

IIS 7.0 以降は自己署名証明書が簡単に作れるので、この機能を使って SSL が使用できるようにします。

  • まずは、[IIS マネージャー] を実行します。
    image
  • サーバー名を選択し、[サーバー証明書] をダブルクリックします。
    image
  • [自己署名入り証明書の作成] をクリックします。
    # 一番上に表示されている証明書はルート証明書になりますがこちらは使うことができません。
    image 
  • 証明書のフレンドリ名を入力して、[OK] をクリックします。
    image
  • 自己署名証明書が作成されていることが確認できますね。
    image
  • あとは、証明機関 Web 登録で使用しているサイトで SSL を有効にします。
    [Default Web Site] を選択して、[バインド] をクリックします。
    image
  • [追加] をクリックします。
    image
  • 種類で [https] を選択し、[SSL 証明書] で先ほど作成した、自己署名証明書を選択して、[OK] をクリックします。
    image

以上で SSL の設定は完了です。

[https://localhost/certsrv] にアクセスして証明機関 Web 登録にアクセスします。

 

[サーバー認証証明書の作成]

  • 自己署名証明書のため、URL にアクセスするとセキュリティ警告が発生しますが、[このサイトの閲覧を続行する] をクリックして
    サイトを開きます。
    image
  • [証明書を要求する] をクリックします。
    image
  • [証明書の要求の詳細設定] をクリックします。
    image
  • [この CA への要求を作成し送信する。] をクリックします。
    image 
  • メッセージボックスが表示されたら、[はい] をクリックします。
    image
  • 後は証明書に必要な情報を入力します。
    image

    最低限必要なのは [名前] と [証明書の種類] と [エクスポート可能なキーとしてマークする] の 3 つの設定です。
    各項目は以下のように設定します。

    • 名前
      アレイマネージャーとして設定するサーバー名を入力します。
      今回の場合は、[TMG-01] と設定しています。
    • 証明書の種類
      サーバー認証証明書を選択します。
    • エクスポート可能なキーとしてマークする
      チェックを有効にしてエクスポートができるようにします。
  • 入力が終わったら [送信] をクリックします。
  • 証明書を発行するため、[管理ツール] → [証明機関] をクリックします。
    image
  • [保留中の要求] を選択すると先ほど送信した証明書がありますので、[すべてのタスク] → [発行] をクリックします。
    image
  • ブラウザに戻ってトップページの [保留中の証明書の要求の状態] をクリックします。
    image
  • [サーバー認証証明書] をクリックします。
    image
  • [はい] をクリックします。
    image
  • [この証明書のインストール] をクリックします。
    image

これでサーバー内にサーバー認証証明書がインストールされました。
あとは、このサーバー認証証明書とルート証明書をアレイ マネージャー / アレイ メンバーで使用できるようにエクスポートします。

[サーバー認証証明書のエクスポート]

インストールしたサーバー認証証明書は [ユーザー アカウント] の [個人] ストアに格納されています。
この証明書をエクスポートして他のサーバーで使用できるようにします。

  • ファイル名を指定して実行から [mmc] を実行します。
    image
  • [スナップインの追加と削除] で [証明書] を追加します。
    image
  •   [ユーザー アカウント] を選択して、[完了] をクリックします。
    image
  • スナップインを追加して、[OK] をクリックすると、証明書ストアが表示されます。
    先ほどインストールした証明書が [個人] → [証明書] の下にありますので、右クリックして [すべてのタスク] → [エクスポート] を
    クリックします。
    image
  • [次へ] をクリックします。
    image
  • [はい、秘密キーをエクスポートします] を選択して、[次へ] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • パスワードを設定して、[次へ] をクリックします。
    image
  • エクスポートする場所を選択して、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

以上でサーバー認証証明書のエクスポートは完了です。

証明書作成の最後の手順としてルート証明書をエクスポートします。

 

[ルート証明書のエクスポート]

最後の手順はルート証明書のエクスポートです。

  • [管理ツール] → [証明機関] をクリックします。
  • 証明機関を右クリックして、[プロパティ] をクリックします。
    image
  • CA 証明書の [証明書の表示] をクリックします。
    image
  • [詳細] タブの [ファイルにコピー] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • エクスポートする場所を設定し、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

以上で、証明書の作成は完了です。

次はこの証明書を使ってスタンドアロン アレイを構築したいと思います。

Written by masayuki.ozawa

5月 23rd, 2010 at 2:22 pm

Posted in ISA

Leave a Reply

*