True SSO 機能を使用するために必要な要素は、Microsoft 認証局 (CA) です。認証局 (CA) をまだ設定していない場合、Active Directory Certificate Services (AD CS) ロールを Microsoft Windows Server に追加し、Windows Server がエンタープライズ CA になるように構成する必要があります。この手順を実行するには、Service Manager ウィザードを使用します。

Microsoft 認証局 (CA) の標準的な設定手順を以下に示します。このトピックでは、ラボ環境で使用するのに適した簡単なフォームで手順を説明しますが、実際の本稼動システムでは業界のベスト プラクティスに従って認証局 (CA) を設定することをお勧めします。

認証局 (CA) の設定に関する詳細なガイダンスが必要な場合は、標準の Microsoft テクニカル リファレンスである『ステップ バイ ステップ ガイド - Active Directory 証明書サービス』および『ルート認証局のインストール』を参照してください。

注: このプロセスを説明するために、このトピックの具体的な手順は Windows Server 2012 R2 の使用に基づいています。その他の Windows Server システムでも同様の手順に従うことができます。登録サーバをこの CA をホストするシステムと同じシステムにインストールする場合は、登録サーバでサポートされている Windows Server のバージョンのいずれかを使用していることを確認してください。 Horizon Cloud - True SSO - 登録サーバの設定を参照してください。

手順

  1. Server Manager ダッシュボードで、[ロールと機能の追加] をクリックしてウィザードを開き、[次へ] をクリックします。
  2. [インストール タイプの選択] ページで、ロールベースまたは機能ベースのインストールを選択し、[次へ] をクリックします。
  3. [サーバの選択] ページで、デフォルトの設定をそのまま使用して [次へ] をクリックします。
  4. [サーバ ロール] ページで以下を実行します。
    1. [Active Directory 証明書サービス] を選択します。
    2. ダイアログで、[管理ツールを含める] を選択し(該当する場合)、[機能の追加] をクリックします。
    3. [次へ] をクリックします。
  5. [機能] ページで、[次へ] をクリックします。
  6. [認証局 CS] ページで、[次へ] をクリックします。
  7. [ロール サービス] ページで、認証局を選択し、[次へ] をクリックします。
  8. [確認] ページで、[必要に応じて自動的にターゲット サーバを再起動する] を選択し、[インストール] をクリックします。
    インストールの進捗状況が表示されます。インストールが完了すると URL リンクが表示され、新しくインストールした認証局 (CA) をターゲット サーバ上で「Active Directory 証明書サービスの構成」として構成できます。
  9. 構成リンクをクリックして構成ウィザードを起動します。
  10. [認証情報] ページで、エンタープライズ管理者グループからユーザー認証情報を入力し、[次へ] をクリックします。
  11. [ロール サービス] ページで、認証局 (CA) を選択し、[次へ] をクリックします。
  12. [セットアップ タイプ] ページで、[エンタープライズ CA] を選択し、[次へ] をクリックします。
  13. [CA のタイプ] ページで、必要に応じて [ルート CA] または [下位 CA] (この例では [ルート CA])を選択し、[次へ] をクリックします。
  14. [プライベート キー] ページで [新しいプライベート キーを作成する] を選択し、[次へ] をクリックします。
  15. [暗号化] ページに以下の情報を入力します。
    フィールド 説明
    暗号化サービス プロバイダ RSA#Microsoft Software Key Storage Provider
    キーの長さ 4096(または別の任意の長さ)
    ハッシュ アルゴリズム SHA256(または別の任意の SHA アルゴリズム)
  16. [CA 名] ページで、任意の値に変更するか、デフォルトの設定をそのまま使用して [次へ] をクリックします。
  17. [有効期間] ページで、必要な設定を行い [次へ] をクリックします。
  18. [証明書データベース] ページで、[次へ] をクリックします。
  19. [確認] ページで情報を確認し、[設定] をクリックします。
  20. 次のタスクを実行して、構成プロセスを完了します(コマンド プロンプトからすべてのコマンドを実行)。
    1. 非パーシステントの証明書の処理用に認証局 (CA) を構成します。
      certutil –setreg DBFlags 
      +DBFLAGS_ENABLEVOLATILEREQUESTS
    2. オフラインの CRL エラーを無視するように認証局 (CA) を構成します。
      certutil –setreg ca\CRLFlags 
      +CRLF_REVCHECK_IGNORE_OFFLINE
    3. 認証局 (CA) サービスを再起動します。
      net stop certsvc
      net start certsvc
  21. Horizon Cloud - True SSO - CA での証明書テンプレートの設定の手順に従って、CA の証明書テンプレートを設定します。