サーバー認証、RDS Web アクセスのシングルサインオン、クライアントに配布する RDP ファイルの署名および SSL 接続のために、各役割サービスに証明書を設定する必要があります。
そのためには、信頼できる発行元から発行された証明書で、サーバーやクライアントが証明書の有効性を検証します。
ここでは RDS サーバーへ証明書をインポートする方法についてまとめます。
リモートデスクトップサービスで使用できる証明書の種類
リモートデスクトップサービスで利用可能な証明書の種類は以下の3つになります。
- エンタープライズ証明書
- 自己証明書
- SSL証明書
それでは一つずつ解説します。
エンタープライズ証明書
リモートデスクトップサービスに使用する証明書として、 Active Directory 証明書サービス(ADCS)よりエンタープライズ CA から発行された証明書を使用する方法があります。
通常の運用環境の場合は、このエンタープライズCAより発行された証明書を使用することが推奨されています。
エンタープライズ CA の証明書は、Active Directory を通じてドメイン内のメンバーの「信頼されたルート証明機関」に自動的に配布されるため、サーバーやクライアントへ手動で追加するといった作業が不要になります。
自己証明書
リモートデスクトップサービスに使用する証明書として、自己署名証明書を利用することもできます。閉塞環境や検証・評価環境の場合に使用することが多いものになります。
こちらはリモートデスクトップサービスの管理画面から作成することができます。証明書の名前は、接続ブローカー/Webアクセスサーバーの名前に合わせて「server01.contoso.com」のように作成します。
こちらはエンタープライズCAで発行された証明書とは異なり、作成した自己署名証明書をユーザーの「信頼されたルート証明機関」に手動でインストールするという追加の手順が必要となります。
SSL証明書
3つ目は、証明書の発行機関から SSL 証明書を購入し、RDSサーバーで使用する方法となります。
信頼されたルート証明機関に既定で入っている情報より妥当性を検証することが可能であり、手動での配布は必要ありません。
リモートデスクトップサービスの証明書のインポート方法
各証明書のインポート方法になります。
エンタープライズ証明書のインポート方法
ADCS のエンタープライズ CA から発行された証明書を使用する場合は、発行済みの証明書がインストールされたサーバーで「証明書」のスナップインを実行して証明書ストアを開き、対象となる証明書を “Personal Information Exchange – PKCS #12(.PFX)” 形式でファイルにエクスポートしておきます。
※エクスポート時に任意のパスワードで保護します。
- 「サーバー マネージャー」のリモートデスクトップサービス > 概要から「展開の構成」メニューから「展開プロパティの編集」を開きます。
- 「証明書」を開き、「RD 接続ブローカー-シングルサインオン」を選択します。
- ADCS のエンタープライズ CA から発行された証明書を使用する場合は、「既存の証明書の選択」をクリックして、「既存の証明書の選択」にて対象となる証明書を指定します。
ここでは事前に準備しておいた証明書ファイル(.pfx)のパスとパスワードを指定して、「接続先コンピューターの信頼されたルート証明機関の証明書ストアを追加することを許可します」をチェックして「OK」ボタンをクリックすると証明書を追加することができます。
自己証明書のインポート方法
- 「サーバー マネージャー」のリモートデスクトップサービス > 概要から「展開の構成」メニューから「展開プロパティの編集」を開きます。
- 「証明書」を開き、「RD 接続ブローカー-シングルサインオン」を選択します。
- 自身(RDSサーバー)で発行する自己署名証明書を利用する場合は、「新しい証明書の作成」ボタンをクリックして、「新しい証明書の作成」ダイアログボックスを開き、「証明書の名前」にサーバーのFQDNを入力し、証明書の保護パスワードを設定します。自己署名証明書の場合は手動で配布する必要があるため、配布用の証明書ファイルの保存先のパスを指定します。
- 最後に「接続先コンピューターの信頼されたルート証明機関の証明書ストアに証明書を追加することを許可します」をチェックして「OK」ボタンをクリックします。
- 「展開プロパティ」の「証明書の管理」ページに戻ると、「RD 接続ブローカ – シングルサインオン」の状態が「適用の準備完了」に変わるので、「適用」ボタンをクリックし、状態が「成功」になることを確認します。
- 「RD 接続ブローカー – 公開中」および「RD Web アクセス」に対しても同様に証明書のインポートを行います。※同じ証明書を使用します。
自己署名証明書をクライアントに配布する
自己署名証明書を使用するように構成した場合、エンタープライズ CA から発行された証明書とは違い、ドメインメンバーへの配布が行われていないため、クライアントから RD Web アクセスのサイトにアクセスすると、”この Web サイトのセキュリティ証明書には問題があります。”と証明書エラーが表示されます。
※Rdwebアクセスからのシングル サインオンによるリモートデスクトップ接続や、WebフィードによるWindows8およびWindows7クライアントの構成も失敗します。
この問題を解消するために、自己署名証明書の作成時に保存した証明書ファイルを使用して、クライアントコンピューターおよびユーザーの証明書ストアの「信頼されたルート証明機関」に自己署名証明書をインストールする必要があります。