Windows Admin Center 用のSSL証明書を作成する手順を紹介します。

概要

Windows Admin CenterのSSL証明書を作成します。今回はオフィス内のアクセス用のSSL証明書を作成するため、 公開のSSL証明書ではなく組織内のCAを利用したプライベートな証明書を作成する方法を紹介します。

手順

SSL証明書の要求ファイルの作成

SSL証明書の要求ファイルを作成します。下記のテキストファイルを作成します。

[NewRequest]
Subject = "C=(国名),ST=(県名),L=(都市名),O=(組織名),OU=(OU名),CN=(一般名)"
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
HashAlgorithm = sha256
ProviderType = 12
RequestType = CMC
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
[Extensions]
2.5.29.17="{text}"
_continue_ = "dns=aaa.ipentec.com&"
_continue_ = "dns=bbb.ipentec.com&"
_continue_ = "dns=ccc.ipentec.com"

SubjectのCNの一般名にはAdmin CenterをインストールしWebブラウザでアクセスされる際のホスト名を設定します。外部公開しないホストであれば、admin-center.inside.ipentec.com のような内部用のドメイン名、または、sirokuma などのホスト名を記入します。
Google ChromeではSubjectのCNの値が参照されないバージョンもあるため、_countinue_ の”dns” の値にもこの証明書をインストールするサーバーがアクセスされる際のホスト名を指定します。 また、別名でのDNS名でアクセスされる場合も _countinue_ の ”dns” の値に別名のホスト名(dns名)を指定します。DNS名は複数設定できます。

ファイルを作成後下記のコマンドを実行します。

CertReq -New -f (作成した証明書要求のテキストファイル) (証明書要求ファイルの保存先)

今回の例では下記のコマンドになります。

CertReq -New -f .\request.rxt .\CertRequest.req

コマンドを実行すると証明書要求ファイルが作成されます。


証明書要求ファイルは、BASE64でエンコードされたテキストファイルです。

証明書の発行

作成された CertRequest.req を認証局(証明機関)に送って証明書を発行します。証明書発行の手順はこちらの記事を参照してください。

証明書のインストール

発行された証明書をマシンにインストールします。証明書ファイルをダブルクリックします。下図の[証明書]ダイアログが表示されます。ダイアログ下部の[証明書のインストール]ボタンをクリックします。


[証明書のインポート ウィザード]のウィンドウが表示されます。保存場所を選択する画面が表示されます。


今回はサーバー証明書のため、[ローカル コンピューター]のラジオボタンをクリックしてチェックを付けます。チェック後[次へ]ボタンをクリックします。


[証明書ストア]の画面が表示されます。


[証明書をすべて次のストアに配置する]ラジオボタンをクリックしてチェックを付けます。証明書ストアのボックスの右側の[参照]ボタンをクリックします。


[証明書ストアの選択]ダイアログが表示されます。ダイアログのツリービューの[個人]のノードをクリックして選択します。選択後[OK]ボタンをクリックしてダイアログを閉じます。


証明書ストアのボックスに "個人"の値が入力されます。[次へ]ボタンをクリックします。


[証明書のインポート ウィザードの完了]画面が表示されます。[完了]ボタンをクリックします。


証明書のインポートが実行されます。完了すると下図の完了ダイアログが表示されます。

証明書の確認

certlmコマンドを実行、または[コンピューター証明書の管理]を実行します。下図の証明書の管理ウィンドウが表示されます。左側のツリービューで[個人]ノード内の[証明書]ノードをクリックして選択します。右側の証明書一覧リストに先ほどインポートした証明書が追加されていることが確認できます。


右側のエリアで先ほどインポートした証明書の項目をダブルクリックします。下図の[証明書]ウィンドウが表示されます。


証明書の[詳細]タブをクリックします。下図の画面が表示されます。中央のフィールドと値の一覧リストをスクロールし。[拇印]の値をコピーして控えます。

証明書の置き換え

設定画面を開きます。[アプリ]の項目をクリックします。


[アプリと機能]画面が表示されます。右側の下部のアプリの一覧から[Windows Admin Center]の項目をクリックします。


[Windows Admin Center]の項目が選択されると下図の状態になります。[Windows Admin Center]の項目内にある[変更]ボタンをクリックします。


[Windows Admin Cetnter]セットアップダイアログが表示されます。[次へ]ボタンをクリックします。


[インストールの変更、修復、または削除]画面が表示されます。[変更]ボタンをクリックします。


[ゲートウェイのエンドポイントの構成]画面が表示されます。


[ゲートウェイの SSL 証明書の拇印を指定する]のテキストボックスに先ほど控えた新しい証明書の拇印の値を入力します。入力後[変更]ボタンをクリックします。


変更処理が実行されます。


変更が完了すると、セットアップウィザードが完了した旨のメッセージが表示されます。[完了]ボタンをクリックしてウィザードを終了します。

アクセスするクライアントへのCAの証明書の導入

Windows Admin Cetnterにアクセスするマシンへ組織のCAの証明書をインポートします。CAの証明書のインポート手順はこちらの記事を参照してください。

動作の確認

Webブラウザで、Windows Admin Cetnterをインストールしたホストにアクセスします。認証ダイアログが表示されますので、ユーザー名とパスワードを入力して認証します。


Windows Admin Cetnterの画面が表示されます。SSLの証明書エラーが発生しないことが確認できます。