この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
オンプレミス Microsoft Exchange Server を展開する場合は、この章の手順を実行して、Microsoft Exchange を IM and Presence サービスと Microsoft Outlook 間の予定表統合用に設定します。IM and Presence サービスは、次の Microsoft 展開タイプのそれぞれと統合できます。
Microsoft Exchange の展開 |
Microsoft の設定 |
---|---|
Microsoft Exchange 2007 |
|
Microsoft Exchange 2010、2013、または 2016 |
IM and Presence サービスとの Outlook 予定表統合用に Microsoft Exchange 2007 展開を設定するには、次のタスクを実行します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | Windows のセキュリティ設定の確認 | NTLM 要件などの Windows セキュリティ設定を確認します。 | ||
ステップ 2 | ユーザにローカルでサインインする権限を付与するように Exchange Server を設定します。 |
| ||
ステップ 3 | サーバ レベルでの偽装権限の設定 | 権限は、サーバ、データベース、ユーザ、および連絡先のレベルで付与します。 | ||
ステップ 4 | サービス アカウントの Active Directory サービス拡張権限の設定 | 偽装を実行するサービス アカウント用の権限は、クライアント アクセス サーバ(CAS)上で設定する必要があります。 | ||
ステップ 5 | サービス アカウントおよびユーザ メールボックスへの Send As 権限の付与 | サービス アカウントとユーザ メールボックスに Send As 権限を付与します。 | ||
ステップ 6 | サービス アカウントおよびユーザ メールボックスへの偽装権限の付与 | サービス アカウントとユーザ メールボックスに偽装権限を付与します。 | ||
ステップ 7 | Microsoft Exchange 2007 アカウントの権限の確認 | 権限がメールボックス レベルに伝播することと、指定されたユーザがメールボックスにアクセスして、他のユーザのアカウントを偽装できることを確認します。 | ||
ステップ 8 | Windows Server 2003 を実行する Exchange 2007 の認証の有効化 | Exchange Server で認証を有効にします。 | ||
ステップ 9 | Exchange Server 用の証明書の設定タスク フロー | Microsoft Exchange 展開用の証明書を設定するには、このタスク フローを実行します。 |
ステップ 1 | Exchange View Only Administrator ロールを委任されたサービス アカウントを使用して [Exchange サーバ 2007(Exchange サーバ 2007)] ユーザ インターフェイスにログインします。 |
ステップ 2 | 左ペインの [Security Settings] 下で、 に移動します。 |
ステップ 3 | コンソールの右側のペインで、[ローカル ログオンを許可する(Allow Log On Locally)] をダブルクリックします。 |
ステップ 4 | [ユーザまたはグループを追加する(Add User or Group)] を選択し、作成済みのサービス アカウントに移動して選択します。 |
ステップ 5 | [名前の確認(Check Names)] を選択し、指定されたユーザが正しいことを確認します。 |
ステップ 6 | [OK] をクリックします。 |
ステップ 1 | Exchange View Only Administrator ロールを委任されたサービス アカウントを使用して Exchange サーバ 2007 にログインします。 |
ステップ 2 | [スタート(Start)] を選択します。 |
ステップ 3 | gpmc.msc と入力します。 |
ステップ 4 | [Enter] を選択します。 |
ステップ 5 | Exchange サーバで [ドメイン コントローラ セキュリティの設定(Domain Controller Security Settings)] ウィンドウを開きます。 |
ステップ 6 | 左ペインの [セキュリティ設定(Security Settings)] 下で、 に移動します。 |
ステップ 7 | コンソールの右側のペインで、[ローカル ログオンを許可する(Allow Log On Locally)] をダブルクリックします。 |
ステップ 8 | [これらのポリシーの設定を定義する(Define these policy settings)] チェックボックスがオンになっていることを確認します。 |
ステップ 9 | [ユーザまたはグループの追加(Add User or Group)] を選択し、作成済みのサービス アカウントに移動して選択します。次に、[OK] をクリックします。 |
ステップ 10 | [名前の確認(Check Names)] を選択し、指定されたユーザが正しいことを確認します。次に、[OK] をクリックします。 |
ステップ 11 | [ローカル ログオンを許可する(Allow Log On Locally)] プロパティのダイアログ ボックスで [適用(Apply)] と [OK] をクリックします。 |
ステップ 12 | ユーザ SMTP アドレスが alias@FQDN であることを確認します。そうでない場合は、ユーザ プリンシパル名(UPN)を使用して偽装する必要があります。これは alias@FQDN と定義されます。 |
次の手順のコマンドは、サーバ レベルで偽装権限を許可することができます。また、データベース、ユーザ、および連絡先レベルでも権限を付与することもできます。
はじめる前に
個々の Microsoft Exchange サーバにアクセスするサービス アカウントの権限のみを付与する場合は、
Get-OrganizationConfig
の文字列を下記に置き換えます。
Get-ExchangeServer -Identity ServerName
ServerName は Exchange サーバの名前です。
例
Add-ADPermission -Identity (Get-ExchangeServer -Identity exchangeserver1).DistinguishedName -User (Get-User -Identity user | select-object).identity -ExtendedRights Send-As
ステップ 1 | コマンド ライン入力を行うために Exchange 管理シェル(EMS)を開きます。 |
ステップ 2 | この Add-ADPermission コマンドを実行し、サーバに偽装権限を追加します。
構文 Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity User | select-object).identity -AccessRights GenericAll -InheritanceType Descendents
例 Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity Ex2007 | select-object).identity -AccessRights GenericAll -InheritanceType Descendents |
これらの権限は、クライアント アクセス サーバ(CAS)上で、偽装を実行するサービス アカウントに対して設定する必要があります。
ステップ 1 | Exchange 管理シェル(EMS)を開きます。 |
ステップ 2 | EMS で次の Add-ADPermission コマンドを実行して、指定したサービス アカウント(Exchange 2007 など)のサーバに対する偽装権限を追加します。
構文 Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity User | select-object).identity -ExtendedRight ms-Exch-EPI-Impersonation
例 Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity Ex2007 | select-object).identity -ExtendedRight ms-Exch-EPI-Impersonation |
ステップ 3 | EMS で次の Add-ADPermission コマンドを実行して、サービス アカウントに偽装する各メールボックスへの偽装権限を追加します。
構文 Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity User | select-object).identity -ExtendedRight ms-Exch-EPI-May-Impersonate
例 Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity Ex2007 | select-object).identity -ExtendedRight ms-Exch-EPI-May-Impersonate |
サービス アカウントおよびユーザ メールボックスに Send As 権限を付与するには、次の手順に従ってください。
(注) | この手順を実行するために、Microsoft Exchange 管理コンソール(EMC)を使用することはできません。 |
ステップ 1 | Exchange 管理シェル(EMS)を開きます。 |
ステップ 2 | EMS で次の Add-ADPermission コマンドを実行して、サービス アカウントおよび関連するすべてのユーザ メールボックス ストアに Send As 権限を付与します。
構文 Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity User | select-object).identity -ExtendedRights Send-As
例 Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity Ex2007 | select-object).identity -ExtendedRights Send-As |
サービス アカウントおよびユーザ メールボックスに偽装権限を付与するには、次の手順に従ってください。
(注) | この手順を実行するために、Microsoft Exchange 管理コンソール(EMC)を使用することはできません。 |
ステップ 1 | Exchange 管理シェル(EMS)を開きます。 | ||
ステップ 2 | サービス アカウントの偽装権限に関連付けられているすべてのメールボックス ストアを許可する EMS で次の Add-ADPermission コマンドを実行してください。
構文 Add-ADPermission -Identity (Get-OrganizationConfig) .DistinguishedName -User (Get-User -Identity User | select-object) .identity -ExtendedRights Receive-As 例 Add-ADPermission -Identity (Get-OrganizationConfig) .DistinguishedName -User (Get-User -Identity EX2007 | select-object) .identity -ExtendedRights Receive-As
|
Exchange 2007 アカウントに権限を割り当てた後は、その権限がメールボックスのレベルまで伝播し、選択されたユーザがメールボックスにアクセスしたり別のユーザのアカウントを偽装したりすることが可能なことを確認する必要があります。Exchange 2007 では、権限がメールボックスに伝播されるまでに時間を要します。
ステップ 1 | Exchange Server 2007 の Exchange 管理コンソール(EMC)で、コンソール ツリーの [Active Directory サイトとサービス(Active Directory Sites and Services)] を右クリックします。 | ||
ステップ 2 | [表示(View)] をポイントし、[サービス ノードの表示(Show Services Node)] を選択します。 | ||
ステップ 3 | サービス ノード(Services/MS Exchange/First Organization/Admin Group/Exchange Admin Group/Servers など)を展開します。 | ||
ステップ 4 | クライアント アクセス サーバ(CAS)が、選択したサービス ノードに表示されていることを確認します。 | ||
ステップ 5 | 各 CAS サーバの [プロパティ(Properties)]" "を表示し、[セキュリティ(Security)] タブで以下を確認します。
| ||
ステップ 6 | サービス アカウント(Ex2007 など)にストレージ グループおよびメールボックス ストアに対する Allow impersonationpermission が付与され、個人情報の交換や別のユーザ アカウントでの送受信が可能であることを確認します。 | ||
ステップ 7 | 変更を有効にするために、Exchange サーバの再起動が必要となる場合があります。これはテストによって確認されています。 |
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット情報サービス(Internet Information Services)] を開き、サーバを選択します。 |
ステップ 2 | [Web サイト(Web Sites)] を選択します。 |
ステップ 3 | [デフォルト Web サイト(Default Web Site)] を選択します。 |
ステップ 4 | [EWS] ディレクトリ フォルダを右クリックし、[プロパティ(Properties)] を選択します。 |
ステップ 5 | [ディレクトリ セキュリティ(Directory Security)] タブを選択します。 |
ステップ 6 | [認証およびアクセス コントロール(Authentication and access control)] で、[編集(Edit)] をクリックします。 |
ステップ 7 | [認証方法(Authentication Methods)] で、次のチェックボックスがオフになっていることを確認します。 |
ステップ 8 | [認証方法:認証付きアクセス(Authentication Methods Authenticated Access)] で、次のチェックボックスの両方がオンになっていることを確認します。 |
ステップ 9 | [OK] をクリックします。 |
IM and Presence サービスとの Outlook 予定表統合用に Microsoft Exchange 2010、2013、または 2016 展開を設定するには、次のタスクを実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Windows セキュリティ設定の確認 | Windows 統合認証(NTLM)用の Windows セキュリティ設定を確認します。 |
ステップ 2 | お使いのリリース用の Exchange 権限を設定します。 | 特定のユーザまたはユーザ グループ用の Exchange 偽装権限を設定します。 |
ステップ 3 | お使いのリリース用の権限を確認します。 | 権限がメールボックス レベルに伝播することと、指定されたユーザがメールボックスにアクセスして、他のユーザのアカウントを偽装できることを確認します。 |
ステップ 4 | Windows Server 2008 を実行する Exchange 2010、2013、または 2016 の認証の有効化 | 基本認証と Windows 統合認証のどちらかまたはその両方を Exchange Server の EWS 仮想ディレクトリ(/EWS)で有効にする必要があります。 |
ステップ 5 | Exchange Server 用の証明書の設定タスク フロー | Microsoft Exchange 展開用の証明書を設定するには、このタスク フローを実行します。 |
ステップ 1 | Exchange を実行している Windows ドメイン コントローラおよびサーバで、 を選択します。 | ||
ステップ 2 | に移動します。 | ||
ステップ 3 | [ネットワーク セキュリティ:NTLM SSP ベース(セキュア RPC など)サーバのための最低限のセッション セキュリティ(Network Security: Minimum session security for NTLM SSP based (including secure RPC) servers)] を選択します。 | ||
ステップ 4 | [NTLMv2 セッション セキュリティが必要(Require NTLMv2 session security)] チェックボックスがオフになっていることを確認します。 | ||
ステップ 5 | [NTLMv2 セッション セキュリティが必要(Require NTLMv2 session security)] チェックボックスがオンになっている場合は、次の手順を完了します。 | ||
ステップ 6 | 新しいセキュリティ設定を適用するには、Exchange を実行している Windowsドメイン コントローラとサーバをリブートします。
|
特定のユーザまたはユーザ グループに Exchange の偽装権限を設定するには、Microsoft Exchange 管理シェル(EMS)を使用して次の手順を実行します。
これらは、Exchange サーバ 2010 向けのコマンドと設定です。Exchange Server 2013 を使用している場合は、Exchange 2013 または 2016 の特定のユーザまたはグループの Exchange 偽装権限の設定のステップに従います。
ステップ 1 | Active Directory でアカウントを作成します。 | ||||||||||||||||||
ステップ 2 | コマンド ライン入力を行うために EMS を開きます。 | ||||||||||||||||||
ステップ 3 | EMS で New-ManagementRoleAssignment コマンドを実行し、他のユーザ アカウントを偽装する権限を指定する既存のドメイン サービス アカウント(Ex2010 など)に付与します。
構文 New-ManagementRoleAssignment -Name:_suImpersonateRoleAsg -Role:ApplicationImpersonation -User:user@domain
例 New-ManagementRoleAssignment -Name:_suImpersonateRoleAsg -Role:ApplicationImpersonation -User:Ex2010@contoso.com
| ||||||||||||||||||
ステップ 4 | この New-ManagementRoleAssignment コマンドを実行し、偽装権限が適用される範囲を定義します。この例では、指定された Exchange サーバのすべてのアカウントを偽装する権限が、Ex2010 アカウントに付与されます。
構文 New-ManagementScope -Name:_suImpersonateScope -ServerList:server_name
例 New-ManagementScope -Name:_suImpersonateScope -ServerList:nw066b-227
| ||||||||||||||||||
ステップ 5 | New-ThrottlingPolicy コマンドを実行し、下の表の推奨値を使用して新しいスロットリング ポリシーを作成します。
構文 New-ThrottlingPolicy -Name:Policy_Name -EwsMaxConcurrency:100 -EwsPercentTimeInAD:50 -EwsPercentTimeInCAS:90 -EwsPercentTimeInMailboxRPC:60 -EwsMaxSubscriptions:NULL -EwsFastSearchTimeoutInSeconds:60 -EwsFindCountLimit:1000
例 New-ThrottlingPolicy -Name:IM_and_Presence_ThrottlingPolicy -EwsMaxConcurrency:100 -EwsPercentTimeInAD:50 -EwsPercentTimeInCAS:90 -EwsPercentTimeInMailboxRPC:60 -EwsMaxSubscriptions:NULL -EwsFastSearchTimeoutInSeconds:60 -EwsFindCountLimit:1000
注:サポートされる Exchange SP1 でのみ使用可能です。 | ||||||||||||||||||
ステップ 6 | Set-ThrottlingPolicyAssociation コマンドを実行し、新しいスロットリング ポリシーと手順 2 で使用されたサービス アカウントを関連付けます。
構文 Set-ThrottlingPolicyAssociation -Identity Username -ThrottlingPolicy Policy_Name
例 Set-ThrottlingPolicyAssociation -Identity Ex2010 -ThrottlingPolicy IM_and_Presence_ThrottlingPolicy |
特定のユーザまたはユーザ グループに Exchange の偽装権限を設定するには、Microsoft Exchange 管理シェル(EMS)を使用して次の手順を実行します。
Exchange Server 2013 または 2016 のコマンドと設定を以下に示します。Exchange Server 2010 を使用している場合は、Exchange 2010 の特定のユーザまたはグループの Exchange 偽装権限の設定のステップに従います。
ステップ 1 | Active Directory でアカウントを作成します。 | ||||||||||||||
ステップ 2 | コマンド ライン入力を行うために EMS を開きます。 | ||||||||||||||
ステップ 3 | EMS で New-ManagementRoleAssignment コマンドを実行し、指定された既存のドメイン サービス アカウント(Ex2013 など)に他のユーザ アカウントを偽装する権限を付与します。 構文 New-ManagementRoleAssignment -Name:_suImpersonateRoleAsg -Role:ApplicationImpersonation -User:user@domain 例 New-ManagementRoleAssignment -Name:_suImpersonateRoleAsg -Role:ApplicationImpersonation -User:Ex2013@contoso.com | ||||||||||||||
ステップ 4 | この New-ManagementRoleAssignment コマンドを実行し、偽装権限が適用される範囲を定義します。この例では、指定された Exchange Server のすべてのアカウントを偽装する権限が、Ex2013 アカウントに付与されます。 構文 New-ManagementScope -Name:_suImpersonateScope -ServerList:server_name 例 New-ManagementScope -Name:_suImpersonateScope -ServerList:nw066b-227 | ||||||||||||||
ステップ 5 | New-ThrottlingPolicy コマンドを実行し、下の表で定義された推奨値を使用して新しいスロットリング ポリシーを作成します。 構文 New-ThrottlingPolicy -Name:Policy_Name -EwsMaxConcurrency:100 -EwsMaxSubscriptions:NULL -EwsCutoffBalance 3000000 -EwsMaxBurst 300000 –EwsRechargeRate 900000 例 New-ThrottlingPolicy –Name IMP_ThrottlingPolicy -EwsMaxConcurrency 100 -EwsMaxSubscriptions unlimited –EwsCutoffBalance 3000000 -EwsMaxBurst 300000 –EwsRechargeRate 900000
注:サポートされる Exchange SP1 でのみ使用可能です。 | ||||||||||||||
ステップ 6 | Set-ThrottlingPolicyAssociation コマンドを実行し、新しいスロットリング ポリシーと手順 2 で使用されたサービス アカウントを関連付けます。 構文 Set-ThrottlingPolicyAssociation -Identity Username -ThrottlingPolicy Policy_Name 例 Set-ThrottlingPolicyAssociation -Identity ex2013 -ThrottlingPolicy IMP_ThrottlingPolicy |
Exchange 2010 アカウントに権限を割り当てた後で、その権限がメールボックスのレベルまで伝播し、選択されたユーザがメールボックスにアクセスしたり別のユーザのアカウントを偽装したりできることを確認する必要があります。Exchange 2010 では、権限がメールボックスに伝播されるまでに時間を要します。
これらは、Exchange サーバ 2010 向けのコマンドです。Exchange Server 2013 を使用している場合は、Microsoft Exchange 2013 または 2016 アカウントの権限の確認のステップに従います。
ステップ 1 | Active Directory サーバで、偽装アカウントが存在することを確認します。 | ||||||||||||||||||
ステップ 2 | コマンド ライン入力を行うために Exchange 管理シェル(EMS)を開きます。 | ||||||||||||||||||
ステップ 3 | Exchange サーバで、サービス アカウントに必要な次の偽装権限が付与されていることを確認します。 | ||||||||||||||||||
ステップ 4 | サービス アカウントに適用される管理の範囲が正しいことを確認します。 | ||||||||||||||||||
ステップ 5 | EMS で次のコマンドを実行して、ThrottlingPolicy パラメータが下の表で定義されている内容と一致することを確認します。
Get-ThrottlingPolicy -Identity Policy_Name | findstr ^EWS
|
Exchange 2013 または 2016 アカウントに権限を割り当てた後で、その権限がメールボックスのレベルまで伝播し、指定されたユーザがメールボックスにアクセスしたり別のユーザのアカウントを偽装したりできることを確認する必要があります。権限がメールボックスに伝播されるまでに時間を要します。
(注) | Exchange Server 2010 を使用している場合は、Microsoft Exchange 2010 アカウントでの権限の確認のステップに従います。 |
ステップ 1 | Active Directory サーバで、偽装アカウントが存在することを確認します。 | ||||||||||||||
ステップ 2 | コマンド ライン入力を行うために Exchange 管理シェル(EMS)を開きます。 | ||||||||||||||
ステップ 3 | Exchange サーバで、サービス アカウントに必要な次の偽装権限が付与されていることを確認します。 | ||||||||||||||
ステップ 4 | サービス アカウントに適用される管理の範囲が正しいことを確認します。 | ||||||||||||||
ステップ 5 | EMS で次のコマンドを実行して、ThrottlingPolicy パラメータが下の表で定義されている内容と一致することを確認します。 Get-ThrottlingPolicy -Identity IMP_ThrottlingPolicy | Format-List | findstr ^Ews
| ||||||||||||||
ステップ 6 | ThrottlingPolicy が Exchange アカウントに関連付けられていることを確認します。 Get-ThrottlingPolicyAssociation -Identity ex2013 |
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット情報サービス(Internet Information Services)] を開き、サーバを選択します。 |
ステップ 2 | [Web サイト(Web Sites)] を選択します。 |
ステップ 3 | [デフォルト Web サイト(Default Web Site)] を選択します。 |
ステップ 4 | [EWS] を選択します。 |
ステップ 5 | [IIS] セクションで、[認証(Authentication)] を選択します。 |
ステップ 6 | 次の認証方法が有効になっていることを確認します。 |
ステップ 7 | 適切に設定するには、[操作(Actions)] カラムで有効または無効のリンクを使用します。 |
IM and Presence サービスでは、Microsoft Exchange との予定表のセキュアな統合のために、X.509 証明書を使用します。IM and Presence サービスでは、標準の証明書とともに、SAN およびワイルドカード証明書をサポートしています。
SAN 証明書を使用すると、複数のホスト名と IP アドレスを単一の証明書で保護できるようになります。これを行うには、ホスト名、IP アドレス、またはその両方の一覧を [X509v3 サブジェクトの代替名(X509v3 Subject Alternative Name)] フィールドで指定します。
ワイルドカード証明書を使用すると、ドメインと無制限のサブドメインを提示できるようになります。これを行うには、ドメイン名にアスタリスク(*)を指定します。名前にはワイルドカード文字 * を含めることができます。ワイルドカードは単一のドメイン名コンポーネントに対応します。たとえば、*.a.com は foo.a.com と一致しますが、bar.foo.a.com とは一致しません。
(注) | SAN 証明書については、保護されたホストが [サブジェクトの別名(Subject Alternative Name)] フィールドのホスト名/IP アドレスのフィールド一覧に含まれている必要があります。プレゼンス ゲートウェイの設定時に、[プレゼンス ゲートウェイ(Presence Gateway)] フィールドは [サブジェクトの代替名(Subject Alternative Name)] フィールドに表示されている保護されたホストと完全に一致している必要があります。 ワイルドカードは、標準証明書の場合は [共通名(CN)(Common Name (CN))] フィールドに、SAN 証明書の場合は [サブジェクトの代替名(Subject Alternative Name)] フィールドに使用することができます。 |
Microsoft Exchange 展開用の証明書を設定するには、次のタスクを実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | お使いのバージョンの Windows サーバに認証局(CA)をインストールする。 | 認証局(CA)は Exchange Server 上で動作することもできますが、サードパーティの証明書交換のセキュリティを強化するために、別の Windows サーバを CA として使用することをお勧めします。 |
ステップ 2 | お使いのバージョンの Windows サーバ用の CSR を生成する。 | Exchange の IIS サーバで証明書署名要求(CSR)を作成する必要があります。作成した CSR は CA サーバによってその後署名されます。 |
ステップ 3 | CA サーバ/認証局への CSR の提出 | IIS で Exchange 用に作成されるデフォルトの SSL 証明書には、Exchange サーバの完全修飾ドメイン名(FQDN)を使用し、IM and Presence サービスが信頼している認証局の署名を付けることを推奨します。この手順により、CA が Exchange IIS からの CSR に署名できます。 |
ステップ 4 | 署名付き証明書のダウンロード | 署名付き証明書のコピーをダウンロードします。 |
ステップ 5 | お使いのバージョンの Windows サーバに署名付き証明書をアップロードする。 | ここでは、署名付き CSR を IIS にアップロードする手順を説明します。 |
ステップ 6 | ルート証明書のダウンロード | CA サーバからルート証明書をダウンロードします。 |
ステップ 7 | IM and Presence サービス ノードへのルート証明書のアップロード | IM and Presence サービスにルート証明書をアップロードします。 |
ステップ 1 | の順に選択します。 |
ステップ 2 | [プログラムの追加と削除(Add or Remove Programs)] ウィンドウで、[Windows コンポーネントの追加/削除(Add/Remove Windows Components)] を選択します。 |
ステップ 3 | [Windows コンポーネント(Windows Component)] ウィザードを完了します。 |
ステップ 4 | インターネット 情報サービスを停止するように求められたら [はい(Yes)] をクリックします。 |
ステップ 5 | Active Server Pages(ASP)を有効にするように求められたら [はい(Yes)] をクリックします。 |
ステップ 6 | インストール手順が完了したら [終了(Finish)] をクリックします。
|
Exchange の IIS サーバで証明書署名要求(CSR)を作成する必要があります。作成した CSR は CA サーバによってその後署名されます。証明書の [サブジェクトの別名(Subject Alternative Name (SAN))] フィールドに値が入力されている場合、その値は証明書の共通名(CN)と一致している必要があります。
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット インフォメーション サービス(Internet Information Services)] を開きます。 |
ステップ 2 | [ディレクトリ セキュリティ(Directory Security)] タブを選択します。 |
ステップ 3 | [サーバ証明書] を選択します。 |
ステップ 4 | [Webサーバの証明書(Web Server Certificate)] ウィンドウが表示されたら、[次へ(Next)] を選択します。 |
ステップ 5 | [サーバ証明書(Server Certificate)] ウィザードを完了します。 |
Exchange の IIS サーバで証明書署名要求(CSR)を作成する必要があります。作成した CSR は CA サーバによってその後署名されます。
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット情報サービス マネージャ(Internet Information Services (IIS) Manager)] ウィンドウを開きます。 |
ステップ 2 | IIS Manager の左側ペインの [接続(Connections)] 下で、[Exchange サーバ(Exchange Server)] を選択します。 |
ステップ 3 | [サーバ証明書(Server Certificates)] をダブルクリックします。 |
ステップ 4 | IIS Manager の右側ペインの [操作(Actions)] 下で、[証明書要求を作成(Create Certificate Request)] を選択します。 |
ステップ 5 | [証明書要求(Request Certificate)] ウィザードを完了します。 |
IIS で Exchange 用に作成されるデフォルトの SSL 証明書には、Exchange サーバの完全修飾ドメイン名(FQDN)を使用し、IM and Presence サービスが信頼している認証局の署名を付けることを推奨します。この手順により、CA が Exchange IIS からの CSR に署名できます。次の手順を CA サーバで実行し、次の場所にある Exchange サーバの FQDN を設定してください。
ステップ 1 | 証明書要求ファイルを CA サーバにコピーします。 |
ステップ 2 | 次のいずれかの URL にアクセスします。
または |
ステップ 3 | [証明書要求(Request a certificate)] を選択します。 |
ステップ 4 | [高度な証明書要求(Advanced certificate request)] をクリックします。 |
ステップ 5 | [Base-64 で暗号化した CMC または PKCS #10 ファイルを使用して証明書要求を提出(Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file)] または [Base-64 で暗号化した PKCS #7 ファイルを使用した更新要求を提出(Submit a renewal request by using a base-64-encoded PKCS #7 file)] を選択します。 |
ステップ 6 | メモ帳などのテキスト エディタを使用して、作成した CSR を開きます。 |
ステップ 7 | 次の行から、
-----BEGIN CERTIFICATE REQUEST 次の行までの情報をすべてコピーします。 END CERTIFICATE REQUEST----- |
ステップ 8 | CSR の内容を [証明書の要求(Certificate Request)] テキストボックスに貼り付けます。 |
ステップ 9 | (任意)[証明書テンプレート(Certificate Template)] ドロップダウン リストのデフォルト値は [管理者(Administrator)] テンプレートです。このテンプレートでは、サーバの認証に適した有効な署名付き証明書が作成されることもあれば、作成されないこともあります。エンタープライズのルート CA がある場合は、[証明書テンプレート(Certificate Template)] ドロップダウン リストから Web サーバ証明書テンプレートを選択します。[Web サーバ(Web Server)] 証明書テンプレートは表示されないことがあるため、CA 設定をすでに変更している場合、この手順は不要となることがあります。 |
ステップ 10 | [送信(Submit)] をクリックします。 |
ステップ 11 | [管理ツール(Administrative Tools)] ウィンドウで、 を選択して、[認証局(Certification Authority)] ウィンドウを開きます。[認証局(Certificate Authority)] ウィンドウの [保留中の要求(Pending Requests)] の下に、送信したばかりの要求が表示されます。 |
ステップ 12 | 要求を右クリックし、次の操作を実行します。 |
ステップ 13 | [発行済み証明書(Issued certificates)] を選択し、証明書が発行されていることを確認します。 |
ステップ 1 | [管理ツール(Administrative Tools)] から [認証局(Certification Authority)] を開きます。発行した証明書要求が [発行済み要求(Issued Requests)] 領域に表示されます。 |
ステップ 2 | その要求を右クリックし、[開く(Open)] を選択します。 |
ステップ 3 | [詳細(Details)] タブを選択します。 |
ステップ 4 | [ファイルにコピー(Copy to File)] を選択します。 |
ステップ 5 | [証明書のエクスポート(Certificate Export)] ウィザードが表示されたら、[次へ(Next)] をクリックします。 |
ステップ 6 | [証明書のエクスポート(Certificate Export)] ウィザードを実行します。
|
ステップ 7 | IM and Presence サービスの管理に使用するコンピュータに、cert.cer をコピーするか、FTP で送信します。 |
ここでは、署名付き CSR を IIS にアップロードする手順を説明します。署名付き証明書をアップロードするには、IM and Presence サービスの管理に使用するコンピュータで次の手順を実行します。
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット インフォメーション サービス(Internet Information Services)] を開きます。 |
ステップ 2 | [インターネット情報サービス(Internet Information Services)] ウィンドウで次の手順を実行します。 |
ステップ 3 | [デフォルト Web サイトのプロパティ(Default Web Site Properties)] ウィンドウで、次の手順を実行します。 |
ステップ 4 | [Web サーバ証明書(Web Server Certificate)] ウィザード ウィンドウが表示されたら、[次へ(Next)] をクリックします。 |
ステップ 5 | [Web サーバ証明書(Web Server Certificate)] ウィザードを完了します。
|
証明書が信頼できる証明書ストアにない場合、署名付き CSR は信頼されません。信頼を確立するには、次の操作を実行します。
ここでは、署名付き CSR を IIS にアップロードする手順を説明します。署名付き証明書をアップロードするには、IM and Presence サービスの管理に使用するコンピュータで次の手順を実行します。
ステップ 1 | [管理ツール(Administrative Tools)] から [インターネット情報サービス マネージャ(Internet Information Services (IIS) Manager)] ウィンドウを開きます。 |
ステップ 2 | IIS Manager の左側ペインの [接続(Connections)] 下で、[Exchange サーバ(Exchange Server)] を選択します。 |
ステップ 3 | [サーバ証明書(Server Certificates)] をダブルクリックします。 |
ステップ 4 | IIS Manager の右側ペインの [操作(Actions)] 下で、[証明書要求を完了(Complete Certificate Request)] を選択します。 |
ステップ 5 | [証明書認証局の応答を指定(Specify Certificate Authority Response)] ウィンドウで、次の操作を実行します。 |
ステップ 6 | [インターネット インフォメーション サービス(Internet Information Services)] ウィンドウで、次の手順を実行して証明書をバインドします。 |
ステップ 7 | [サイト バインディング(Site Bindings)] ウィンドウで次の手順を実行します。 |
ステップ 8 | [バインディングの編集(Edit Site Bindings)] ウィンドウで、次の手順を実行します。 |
ステップ 1 | CA サーバにログインし、Web ブラウザを開きます。 |
ステップ 2 | 使用している Windows プラットフォームの種類に応じ、次のいずれかの URL にアクセスします。 |
ステップ 3 | [CA 証明書、証明書チェーン、または CRL のダウンロード(Download a CA certificate, certificate chain, or CRL)] をクリックします。 |
ステップ 4 | [エンコーディング方法(Encoding Method)] で、[Base 64] を選択します。 |
ステップ 5 | [CA 証明書のダウンロード(Download CA Certificate)] をクリックします。 |
ステップ 6 | 証明書(certnew.cer)をローカル ディスクに保存します。 |
ルート証明書のサブジェクトの共通名(CN)がわからない場合は、外部の証明書管理ツールを使用して調べることができます。Windows オペレーティング システムで、拡張子が .cer の証明書ファイルを右クリックし、証明書のプロパティを開きます。
ステップ 1 | [Cisco Unified CM IM and Presence Administration] の証明書インポート ツールを使用して、証明書をアップロードします。
| ||||||
ステップ 2 | 証明書インポート ツールによって、証明書が欠落していることがわかった場合は(通常、Microsoft サーバでは CA 証明書が欠落します)、[Cisco Unified OS Admin Certificate Management] ウィンドウを使用して、手動で CA 証明書をアップロードします。
| ||||||
ステップ 3 | 証明書のインポート ツール(ステップ 1)に戻り、すべてのステータス テストが成功したことを確認します。 | ||||||
ステップ 4 | すべての Exchange 信頼証明書をアップロードしたら、Cisco Presence Engine と SIP プロキシ サービスを再起動します。[Cisco Unified IM and Presence Serviceability] ユーザ インターフェイスにログインします。 の順に選択します。 |
IM and Presence サービスでは、Exchange サーバの信頼証明書をサブジェクトの共通名(CN)あり/なしのどちらでもアップロードできます。