この操作を正常に行うには、少なくとも Administrators グループ、またはそれと同等の権限を持つグループのメンバーである必要があります。

"クライアント証明書のマッピング認証" 役割サービスを追加するには

  1. サーバー マネージャーを開きます。 [スタート] ボタンをクリックし、[管理ツール] をポイントして、[サーバー マネージャー] をクリックします。

  2. [ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。

  3. [役割] を展開し、[Web サーバー (IIS)] をクリックします。

  4. 表示されるウィンドウの [役割サービス] で [役割サービスの追加] をクリックします。

  5. [クライアント証明書のマッピング認証] チェック ボックスをオンにし、[次へ] をクリックします。

  6. [インストール] をクリックします。

  7. 役割サービスが追加されたら、[閉じる] をクリックします。

次に、IIS で認証方法を構成します。

IIS で認証方法を構成するには

  1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

  2. [ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。

  3. コンソール ツリーで、サーバー名を展開します。

  4. サーバーの [ホーム] ページで、[認証] をダブルクリックして [認証] ページを開きます。

  5. [認証] ページで、[AD クライアント証明書の認証] を右クリックし、[有効にする] をクリックします。

  6. IIS マネージャーを閉じます。

最後に、AD RMS をホストしている Web サイトのクライアント認証を有効にします。

AD RMS をホストしている Web サイトでクライアント認証を有効にするには

  1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

  2. [ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。

  3. コンソール ツリーで、サーバー名を展開します。

  4. [サイト] を展開し、AD RMS をホストしている Web サイトを展開します。既定では、Web サイト名は [既定の Web サイト] です。

  5. コンソール ツリーで、[_wmcs] を展開し、証明書用の仮想ディレクトリ (RAC の場合) または ライセンス用の仮想ディレクトリ (使用ライセンスの場合) を右クリックして、[コンテンツ ビューに切り替え] をクリックします。

  6. [表示されるウィンドウで、必要に応じて [certification.asmx] または [license.asmx] を右クリックし、[機能ビューに切り替え] をクリックします。

  7. [ホーム] ページに表示されるウィンドウで、[SSL 設定] をダブルクリックします。

  8. クライアント証明書を受け入れるか、または必要とするかを選択します。スマート カード証明書またはユーザー名とパスワードを使用して、クライアントが認証の資格情報を指定できるようにする場合は、クライアント証明書を受け入れる必要があります。スマート カードなど、クライアント側の証明書を持つクライアントだけがサービスに接続できるようにするには、クライアント証明書を必要とするオプションを選択してください。

  9. [適用] をクリックします。

  10. 証明書とライセンスの両方にクライアント認証を使用する場合は、この手順を繰り返しますが、2 回目は別の仮想ディレクトリを選択します。

  11. IIS マネージャーを閉じます。

  12. AD RMS クラスター内のすべてのサーバーについて、手順 1 ~ 10 を繰り返します。

次に、認証方法に対し、AD RMS クラスターにクライアント証明書のマッピング認証を使用するように強制する必要があります。

applicationhost.config ファイルでクライアント認証方法を強制するには

  1. 高度なコマンド プロンプト ウィンドウを開くには、[スタート][すべてのプログラム][アクセサリ] の順にクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。

  2. %windir%\system32\inetsrv\config に移動します。

  3. notepad applicationhost.config」と入力し、Enter キーを押します。

    注意
    変更を加える前に、このファイルのバックアップ コピーを作成する必要があります。

  4. applicationhost.config ファイルの <location path="Default Web Site/_wmcs/certification/certification.asmx"> などの名称のセクションに移動します。

    上記のファイルの場所は、クライアント証明書マッピングを強制しようとしているファイルまたは仮想ディレクトリによって異なります。

  5. Windows 認証以外にスマート カード認証も許可する場合は、次の操作を行います。

    1. 次のセクションを探します。

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      次のように変更します。

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. <windowsAuthentication enabled="true" /> の下に新しい行を追加し、次のように入力します。

      <clientCertificateMappingAuthentication enabled="true" />

  6. スマート カード認証のみを許可する場合は、次の操作を行います。インターネット インフォメーション サービスを使用する SSL クライアント認証が必須に設定されていることを確認します。

    1. <windowsAuthentication enabled="true" /> の下に新しい行を追加し、次のように入力します。

      <clientCertificateMappingAuthentication enabled="true" />

    2. 次のセクションを探します。

      <windowsAuthentication enabled="true" />

      次のように変更します。

      <windowsAuthentication enabled="false" />

    3. [ファイル] メニューの [保存] をクリックし、メモ帳を閉じます。

    4. コマンド プロンプトで「iisreset」と入力し、Enter キーを押します。

    注意
    コマンド プロンプトから iisreset を実行すると、インターネット インフォメーション サービスに関連付けられたサービスが再起動します。

  7. AD RMS クラスター内のすべてのサーバーについて、手順 1 ~ 5 を繰り返します。

これらの設定を構成した場合、この AD RMS クラスターによって公開された、権利で保護されたコンテンツをユーザーが開こうとすると認証の資格情報を入力するように求められます。ユーザーが資格情報を入力して初めて、RAC または使用ライセンスが提供されます。

目次