VPN(SSTP)の導入について、今回で第4回目です。
前回の記事に続いて説明します。
今回は、証明書の発行です。
SSTPで一番難しい場所です。これさえ乗り越えれば、あとは簡単です。発行に失敗したりすると、接続できなくなります。
ちなみに私は、ここで間違えてしまい、3日間考えていました。今日の記事が遅れたのも、そのせいです。
作成する前に、なぜ証明書がいるかと言うことです。それは、SSTPというのは、SSLをベースにしているからです。SSLには、必ず身元を示す証明書が必要になります。SSTPも、同様にこれが必要です。
今回用いる証明書の発行の方法は、独自の証明機関(CA)を立ち上げ、それを使って証明書を作ります。
証明機関は、Windows Server 2008に搭載されている「Active Directory 証明書サービス」を利用して作ります。
証明書サービスを利用するために、Webでの登録に対応させます。この際に、IISのインストールを要求されます。
証明機関には、「エンタープライズ」と「スタンドアロン」の2種類あります。エンタープライズの方が使いやすいのですが、Windows Server 2008 Enterpriseでないと、すべての機能が使えません(エンタープライズでのインストールは、Standardでも可能)。なので、今回は「スタンドアロン」でインストールします。
- 「サーバー マネージャ」を起動する。
- 「役割の追加」を選択する。
- 開始する前にが表示された場合は、そのまま「次へ」を選択する。
- 「Active Directory 証明書サービス」にチェックを入れ、「次へ」を選択する。
- 概要が表示されるので、「次へ」を選択する。
- 「証明機関」と「証明機関 Web 登録」にチェックを入れ、「次へ」を選択する。
IISがインストールされていないとき、追加インストールの必要性を求められるので、「必要な役割サービスを追加」を選択する。 - 「スタンドアロン」を選択して、「次へ」を選択する。
- これ以降は、デフォルト設定で、基本的に「次へ」を選択すればよい。
「ルート CA」を選択して、「次へ」を選択する。 - 「新しい秘密キーを作成する」を選択して、「次へ」を選択する。
- 暗号化の構成は、そのままにして、「次へ」を選択する。
- CA名もデフォルト設定で、「次へ」を選択する。
- 有効期限もデフォルト設定で、「次へ」を選択する。
- データベースの場所を指定して、「次へ」を選択する。
冗長システムがある場合は、そちらにする方がよい。 - IISがインストールされていないときは、Web サーバー (IIS)の概要が表示される。「次へ」を選択する。
- 役割サービスを変更せず、「次へ」を選択する。
- 「インストール」を選択し、インストールする。
- インストール完了
これで、証明機関が完成しました。次に、証明書を発行します。
Web サーバーをSSLに対応させた方が、良いのですが、SSLを使うには証明書がいるので、逆に手間がかかります。(IISでWeb サーバー用の証明書を作れるので、そこまで面倒ではないが、証明書が2つになりコリジョンを起こす可能性がある。)
できる方なら、SSLに対応させても良いです。ただ、その際はHTTPSのポートを443から変更してください。443番ポートは、SSTPでも使用します。
証明書を発行してみます。
- サーバーで、「Internet Explorer」を立ち上げる。
- あらかじめ、「ローカル イントラネット」のセキュリティレベルを「低」に下げておく。
終わったら、必ず元に戻すこと。 - [http://localhost/certsrv/]にアクセスする。
- 「証明書を要求する」を選択する。
- 「証明書の要求の詳細設定」を選択する。
- 「この CA への要求を作成し送信する。」を選択する。
- ActiveXの実行許可を求められるので、「はい」を選択する。
- 「名前」のところに、接続に使用するドメイン名を入力する。ここのドメイン名と接続に使用するドメイン名を一致させなければSSTP接続できない。
- 「証明書の種類」を「サーバー認証証明書」にする。
- 「エクスポート可能なキーとしてマークする」にチェックを入れる。これを忘れると、秘密キーをエクスポートできなくなる。
- 「送信 >」を選択する。
- 証明書を要求しますか?に対して、「はい」を選択する。
- 以上で要求は完了する。ブラウザは、再び使うので、閉じない方が良い。また、要求IDを覚えておくと、次の項で楽になる。
- 発行処理をする。「管理ツール」→「証明機関」を起動する。
- 「サーバ名」→「保留中の要求」を選択する。
- 先ほどの、要求 IDと同じ物を右クリックする。
- 「すべてのタスク」→「発行」を選択する。
- 「発行した証明書」の中に移動していれば、完了。
- 証明書をダウンロードする。ブラウザに戻って、「ホーム」を選択する。
- 「保留中の証明書の要求の状態」を選択する。
- 「サーバー認証証明書 (日時)」を選択する。
- ActiveXの実行許可を求められるので、「はい」を選択する。
- 「この証明書のインストール」を選択する。
- 証明書を追加するかどうかを聞かれるので、「はい」を選択する。
- インストールが完了すれば、発行が完了する。
証明書の発行が完了しました。
しかし、まだこれだけではありません。正しい場所に、証明書を展開しなければいけません。
また次回にします。
コメントする