Cross-Forest Certificate Enrollment設定を解除する
本サービスのCertificate Authorityで証明書を発行するための設定を、以下の操作でお客様環境のActive Directoryサーバから解除します。
【参考】
本操作は、本サービスと IIJディレクトリサービス for Microsoft を連携している場合は不要です。
【注意】
以下の操作は、「Active Directory証明書サービス」の役割をインストールしていない任意のActive Directoryサーバ上で実行してください。
1.上記のActive Directoryサーバに、管理者ユーザでログインします。
2.エクスプローラのアドレスバーに以下を入力し、Enterキーを押します。
| 項目 | 内容 |
|---|---|
| アドレスバー※1 | \\vds-mgr.s####.vds.iij.jp\PKISync |
※1:####は4桁の数値です。入力内容については、『サービス設定シート』の「MGRサーバ」をご覧ください。
共有フォルダが表示されます。
3.共有フォルダ内のすべてのファイルを、お客様環境のActive Directoryサーバの任意のフォルダ配下にコピーします。
【注意】
コピー先のフォルダ名には、以下の文字を使用できません。
- 半角スペース
- 「_(アンダーバー)」、「-(ハイフン)」を除く半角記号
4.「スタート」メニューをクリックし、「Windows PowerShell」を右クリックして、「管理者として実行する」の順に選択します。
「Windows PowerShell」画面が表示されます。
5.以下のコマンドを改行せずに1行で入力し、Enterキーを押します。
コマンド例
| C:\work\iijvdsPKISync.ps1 -source s####.vds.iij.jp -target customer.local -delete |
| 引数 | 内容 |
|---|---|
| C:\work | 共有フォルダからコピーしたファイルの保存先に置き換えます。詳しくは、「ルート証明書をインポートする」をご覧ください |
| #### | 4桁の数値です。記入内容については、『サービス設定シート』の「ドメイン名」をご覧ください |
| customer.local | お客様ドメイン名に置き換えます |
| -delete | Cross-Forest Certificate Enrollment設定を解除するために指定します |
お客様環境のActive Directoryサーバから証明書テンプレートの情報が削除され、「Cross-Forest Certificate Enrollment設定の解除が完了しました。」と表示されます。
【注意】
スクリプトの実行がシステムで無効になっている旨のエラーが出力される場合は、「Windows PowerShell」画面に「Set-ExecutionPolicy UnRestricted -Scope Process」と入力し、Enterキーを押した後、確認メッセージに「Y」と入力して、再度Enterキーを押します。
6.以下のコマンドを改行せずに1行で入力し、Enterキーを押します。
コマンド例
| certutil -viewdelstore "ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=customer,DC=local?cACertificate?base?objectClass=certificationAuthority" |
| 引数に含まれる文字列 | 内容 |
|---|---|
| customer,DC=local | お客様ドメイン名のうち「.」部分を「,DC=」に置き換えた文字列です |
確認画面が表示されます。
7.削除するルート証明書が「s####-VDS-CA##1-CA」であることを確認し、「OK」をクリックします。
####は4桁、##は2桁の数値です。表示内容については、『サービス設定シート』の「ルート証明書ファイル名」をご覧ください。
お客様ドメインのNTAuthCAストアから、弊社サービス側のルート証明書の情報が削除されます。続いて、手順5の操作で証明書テンプレートが削除されたことを確認します。
8.「スタート」メニューをクリックし、「ファイル名を指定して実行」をクリックします。
「ファイル名を指定して実行」画面が表示されます。
9.以下を入力し、「OK」をクリックします。
| 項目 | 内容 |
|---|---|
| 名前 | certmgr.msc |
「certmgr – [証明書 – 現在のユーザー]」画面が開きます。
10.画面左側の「個人」を右クリックし、「すべてのタスク」、「新しい証明書の要求」の順にクリックします。
「開始する前に」画面が表示されます。
11.「次へ」をクリックします。
「証明書の登録ポリシーの選択」画面が表示されます。
12.「次へ」をクリックします。
「利用できない証明書の種類です」画面が表示されます。
13.「Citrix_SmartcardLogon_s####」(####は4桁の数値)のテンプレート名が表示されないことを確認し、「閉じる」をクリックします。
以上で、Cross-Forest Certificate Enrollment設定の解除は終了です。