認証局をまだ設定していない場合、Active Directory Certificate Services (AD CS) ロールを Windows Server に追加し、Windows Server がエンタープライズ CA になるように構成する必要があります。

エンタープライズ CA をまだ設定していない場合、この手順に示される設定を使用していることを確認します。

エンタープライズ CA は少なくとも 1 つ必要です。VMware では、フェイルオーバーと負荷分散のために 2 つ用意することを推奨しています。True SSO 用に作成する登録サーバはエンタープライズ CA と通信します。複数のエンタープライズ CA を使用するように登録サーバを構成する場合、登録サーバは使用可能なエンタープライズ CA を交互に使用します。エンタープライズ CA をホストするマシンに登録サーバをインストールする場合、ローカル CA を優先して使用するように登録サーバを構成できます。最高のパフォーマンスを得るには、この構成をお勧めします。

この手順の一部には、読み取り専用証明書の処理の有効化が含まれます。デフォルトで、証明書の処理には、それぞれの証明書要求および発行される証明書のレコードの CA データベースへの格納が含まれています。大量の要求が継続すると、CA データベースの増加率が上昇し、ディスク容量を監視していない場合、使用可能なすべてのディスク容量が消費される可能性があります。読み取り専用証明書の処理を有効にすると、CA データベースの増加率およびデータベース管理タスクを行う頻度を削減することができます。

前提条件

  • Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2016、または Windows Server 2019 仮想マシンを作成します。
  • 仮想マシンが Horizon 7 のデプロイのための Active Directory ドメインの一部であることを確認します。
  • IPv4 環境を使用していることを確認します。この機能は、IPv6 環境では現在サポートされていません。
  • システムに固定 IP アドレスがあることを確認します。

手順

  1. 仮想マシン オペレーティング システムに管理者としてログインし、Server Manager を開始します。
  2. ロールを追加するための設定を選択します。
    オペレーティング システム 選択
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    1. [ロールと機能を追加] を選択します。
    2. [インストール タイプを選択] ページで、[ロールベースまたは機能ベースのインストール] を選択します。
    3. [ターゲット サーバを選択] ページで、サーバを選択します。
    Windows Server 2008 R2
    1. ナビゲーション ツリーで [ロール] を選択します。
    2. [ロールを追加] をクリックして[ロールを追加]ウィザードを起動します。
  3. [サーバーの役割の選択] ページで、[Active Directory 証明書サービス] を選択します。
  4. [役割と機能の追加] ウィザードで、[機能の追加] をクリックし、[管理ツールを含める] チェック ボックスを選択されたままにします。
  5. [機能を選択] ページで、デフォルトを受け入れます。
  6. [役割サービスの選択] ページで、[証明機関] を選択します。
  7. 指示に従ってインストールを終了します。
  8. インストールが完了したら、[インストールの進行状況] ページで [対象サーバーに Active Directory 証明書サービスを構成する] リンクをクリックし、[AD CS の構成] ウィザードを開きます。
  9. [資格情報] ページで [次へ] をクリックし、次の表に示されているとおりに [AD CS の構成] ウィザードのページに入力します。
    オプション アクション
    役割サービス [証明機関] を選択し、[構成] ではなく [次へ] をクリックします。
    セットアップの種類 [エンタープライズ CA] を選択します。
    CA の種類 [ルート CA] または [下位 CA] を選択します。一部の企業では 2 階層 PKI 導入が好まれます。詳細については、http://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspxを参照してください。
    秘密キー [新しい秘密キーを作成する] を選択します。
    CA の暗号化 ハッシュ アルゴリズムには、[SHA1][SHA256][SHA384]、または [SHA512] を選択できます。キーの長さには、[1024][2048][3072]、または [4096] を選択できます。

    少なくとも、SHA256、キーの長さ 2048 を使用することをお勧めします。

    CA 名 デフォルトを受け入れるか名前を変更します。
    有効期間 デフォルトの 5 年間を受け入れます。
    証明書データベース デフォルトを受け入れます。
  10. [確認] ページで [構成] をクリックし、ウィザードで構成の成功が報告されたら、ウィザードを閉じます。
  11. コマンド プロンプトを開き、次のコマンドを入力して、読み取り専用証明書の処理で使用する CA を構成します。
    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS
  12. 次のコマンドを入力して、CA のオフライン CRL(証明書失効リスト)のエラーを無視します。 
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    True SSO が使用するルート証明書は通常オフラインであり、そのため失効チェックが失敗することが予想されるため、このフラグは必要です。
  13. 次のコマンドを入力してサービスを再起動します。 
    sc stop certsvc
sc start certsvc

次のタスク

証明書テンプレートを作成します。True SSO とともに使用する証明書テンプレートの作成を参照してください。