Cross-Forest Certificate Enrollment設定を実施する
本サービスのCertificate Authorityで証明書を発行できるように、以下の操作でお客様環境のActive Directoryサーバを設定します。
【参考】
本操作は、本サービスと IIJディレクトリサービス for Microsoft を連携している場合は不要です。
【注意】
- 以下の操作は、「Active Directory 証明書サービス」の役割をインストールしていない任意のActive Directoryサーバ上で実行してください。
- 本操作の実施後、6時間以内にお客様ドメインのドメインコントローラ上にドメインコントローラ証明書が自動的に発行されます。しかし、お客様ドメインの設定によってはドメインコントローラ証明書が自動で発行されない場合があります。その場合は、翌営業日以降に弊社の担当営業からお客様に連絡します。連絡があった場合は、「ドメインコントローラ証明書を発行する(自動で発行されない場合のみ)」をご覧ください。
1.上記のActive Directoryサーバに、管理者ユーザでログインします。
2.「スタート」メニューをクリックし、「Windows PowerShell」を右クリックして、「管理者として実行する」を選択します。
「Windows PowerShell」画面が表示されます。
3.以下のコマンドを改行せずに1行で入力し、Enterキーを押します。
コマンド例
| C:\work\iijvdsPKISync.ps1 -source s####.vds.iij.jp -target customer.local |
| 引数 | 内容 |
|---|---|
| C:\work | 共有フォルダからコピーしたファイルの保存先に置き換えます。詳しくは、「ルート証明書をインポートする」をご覧ください |
| #### | 4桁の数値です。記入内容については、『サービス設定シート』の「ドメイン名」をご覧ください |
| customer.local | お客様ドメイン名に置き換えます |
本サービス内のActive Directoryサーバから、お客様環境のActive Directoryサーバに証明書テンプレートの情報が同期されます。
【注意】
スクリプトの実行がシステムで無効になっている旨のエラーが出力される場合は、「Windows PowerShell」画面に「Set-ExecutionPolicy UnRestricted -Scope Process」と入力し、Enterキーを押した後、確認メッセージに「Y」と入力して、再度Enterキーを押します。
4.「スタート」メニューをクリックし、「ファイル名を指定して実行」をクリックします。
「ファイル名を指定して実行」画面が表示されます。
5.以下を入力し、「OK」をクリックします。
| 項目 | 内容 |
|---|---|
| 名前 | certmgr.msc |
「certmgr – [証明書 – 現在のユーザー]」画面が表示されます。
6.画面左側の「個人」を右クリックし、「すべてのタスク」、「新しい証明書の要求」の順に選択します。
「開始する前に」画面が表示されます。
7.「次へ」をクリックします。
「証明書の登録ポリシーの選択」画面が表示されます。
8.「次へ」をクリックします。
「証明書の要求」画面が表示されます。
9.「Active Directory 登録ポリシー」に「Citrix_SmartcardLogon_s####」(####は4桁の数値)のテンプレート名が表示されることを確認し、「キャンセル」をクリックします。
以上で、Cross-Forest Certificate Enrollment設定は終了です。