連載
» 2011年09月01日 00時00分 公開

在宅勤務を実現するリモート・アクセスVPN構築術:最終回 Windows OSで作るVPNサーバ (3/8)

[打越浩幸,デジタルアドバンテージ]

 CAが導入できたら、次はそれを使って実際にサーバ証明書を作成する。そのためにはまずサーバ上でInternet Explorer(IE)を起動し、証明書サービスのWebインターフェイス画面である「http://localhost/certsrv」というページを開く。なおこのとき、IEの「ローカル イントラネット」ゾーンで表示されるので、セキュリティ設定をデフォルトの「中低」から、一番下の「低」に下げておく。これをしないと、証明書の発行などが行えないことがある。

 証明書サービスのページが開いたら、「証明書を要求する」のリンクをクリックする。

証明書サービス画面
サーバ上でInternet Explorerを起動し、「http://localhost/certsrv」というページを開く。するとこのような「ようこそ」画面が表示されるはずである。
 (1)このページを開く。
 (2)作成したCAの名前が表示されている。
 (3)「証明書を要求する」をクリックする。
 (4)IEのゾーン表示。これをダブルクリックするとIEのセキュリティ設定ダイアログが開かれるので、セキュリティ設定を一時的に「低」にしておく。以下のすべての作業終了後は、デフォルトに戻してもよい。

 「証明書を要求する」のリンクをクリックすると、「証明書の要求」画面が表示されるので、一番下のリンクをクリックする。

証明書の要求
ここでは要求する証明書を選択する。
 (1)サーバ証明書を作成したいので、これをクリックする。

 次の画面では、一番上のリンクをクリックして、詳細な要求を設定する。

証明書の要求の詳細設定
要求方法を選択する。
 (1)これをクリックする。

 リンクをクリックすると、IEがセキュリティの警告ダイアログ(「このページのActiveXコントロールは、安全でない可能性があり、……」というメッセージ)が表示されるので、[はい]をクリックして進める。さらに次のような確認ダイアログも表示されるので、これも[はい]を選択して先へ進める。

セキュリティ警告ダイアログ
アクセスの確認ダイアログが表示される。
  (1)これをクリックして先へ進める。

 次の画面では要求する証明書の情報を入力する。要求する証明書の識別情報や種類を選択して先へ進める。

証明書の要求の詳細設定
ここでは、作成する証明書の詳細な情報を入力する。なお、ここでは実験ということでキー・サイズはデフォルトの1024bit長のままにしているが、最近ではセキュリティ強化のために2048bit以上が推奨されている。
 (1)ここには、VPNサーバのFQDN名を入力する。今回の例では「vpn1.example.jp」である。これ以外の名前にすると(実際にアクセスするVPNサーバ以外の名前にすると)、VPNクライアントから接続できなくなるので注意。
 (2)このあたりの情報は任意。
 (3)最低でも国コード(日本ならJP)は入力しておく。
 (4)「サーバー認証証明書」を選択する。
 (5)この「エクスポート可能なキーとしてマークする」をオンにすること。
 (6)これをクリックして作成要求を送信する。

 以上で証明書作成要求は送信されたが、実際に証明書が作成されるまでは1〜2日保留される(この間なら取り消せる)。保留中の作成要求は証明書サービス管理Web画面で確認できるが、今回はすぐに作成させたいので、証明機関管理ツールで保留中の要求をすぐに処理させてみる。

 まず[ファイル名を指定して実行]で「mmc」と入力し、MMC管理コンソールを表示させる。そして[ファイル]メニューの[スナップインの追加と削除]を実行する。すると次のような画面が表示されるので、「証明機関」スナップインを追加する。

証明機関管理コンソールの起動
管理コンソールMMCを起動後、「証明機関」スナップインを追加する。
 (1)これを選択する。
 (2)これをクリックする。すると管理対象を問い合わせるダイアログが表示されるので、デフォルト選択のまま、[完了]ボタンをクリックする。

 上の画面において、左側のペインで「証明機関」を選択して[追加]ボタンをクリックすると、このスナップインで管理する対象を問い合わせるダイアログが表示されるので、デフォルト設定(ローカル・コンピュータ)のまま、設定を完了させる。

 すると次のような証明機関管理コンソールが表示されるはずなので、保留中の要求を処理させる。

保留中の要求の処理
これは証明機関管理コンソール。保留中の証明書の要求を見つけ、すぐに処理(発行)させる。
 (1)証明機関管理コンソールのルート。
 (2)「example-VPNSERVER1-CA」は作成したCA(証明機関)。
 (3)「保留中の要求」を選択する。
 (4)すると、この中に先ほど送信した要求が表示されているはずなので、それを右クリックする。
 (5)これを選択する。
 (6)[発行]を選択すると、要求がすぐに実行される。実行後、「発行した証明書」を確認すると、証明書が作成されているはずである。

 次は処理された証明書をインストールする。そのためにはWebブラウザでまた証明書サービスの管理ページを開く。

保留されている証明書の状態の確認
処理された証明書を取得するには、この証明書サービス管理画面を利用する。
 (1)このリンクをクリックする。

 すると証明書の状態が表示される。

証明書の確認
この画面では、保留中だった証明書の状態が確認できる。
 (1)処理済みのサーバ証明書になっているので、これをクリックする。

 作成された証明書のリンクをクリックして、内容を確認する。インストール可能なサーバ証明書になっているので、そのままインストールさせる。

証明書のインストール
インストール可能な証明書なので、このままインストールさせる。
 (1)これをクリックすると、このサーバに証明書がインストールされる。

 「この証明書のインストール」をクリックして、このサーバに証明書をインストールさせてから、次へ進む。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。