リモート デスクトップ ゲートウェイ サーバー用の証明書を取得する

次のいずれかの方法で、RD ゲートウェイ サーバー用の証明書を取得できます。

• 自社でスタンドアロン CA またはエンタープライズ CA を維持しており、RD ゲートウェイの要件を満たす SSL 互換の X.509 証明書を発行するように構成している場合は、組織の CA のポリシーや構成に応じた方法で証明書の要求を生成および送信することができます。次のような方法で、証明書を取得することができます。
  
  
  • 証明書スナップインから自動登録を開始する。
    
    
  • 証明書の要求ウィザードを使って証明書を要求する。
    
    
  • Web 経由で証明書を要求する。
    
    

    注

    Windows Server 2003 の CA を持っている場合は、Windows Server 2003 の証明書サービス Web 登録機能が Xenroll という名前の ActiveX コントロールに依存していることに注意してください。この ActiveX コントロールは、Microsoft Windows Server 2003、Windows 2000、および Windows XP で利用できます。ただし、Windows Server 2008 および Windows Vista では、Xenroll は既に廃止されています。最初にリリースされたバージョンの Windows Server 2003、Windows Server 2003 Service Pack 1 (SP1)、および Windows Server 2003 Service Pack 2 (SP2) にはサンプルの証明書登録 Web ページが含まれています。ただし、このサンプルは、Windows Server 2008 および Windows Vista において変更された Web ベースの証明書登録処理方法に対応していません。この問題に対処する手順については、Microsoft サポート技術情報の文書番号 922706 の記事 (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=94472) を参照してください。

  • Certreq コマンド ライン ツールを使用する。
    
    
  ここで紹介している、Windows Server 2008 R2 用の証明書を取得する方法の詳細については、証明書スナップインのヘルプにある証明書の取得に関するトピック、および Windows Server 2008 R2 コマンド リファレンスの Certreq に関するトピックを参照してください。証明書スナップインのヘルプ トピックを表示するには、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「hh certmgr.chm」と入力して、[OK] をクリックします。Windows Server 2003 で証明書を要求する方法の詳細については、証明書の要求に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=19638) を参照してください。
  
  スタンドアロン CA またはエンタープライズ CA から発行される証明書は、Microsoft ルート証明書プログラム メンバー プログラム (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=59547) に参加している、信頼できる公共の CA によって、共同署名されている必要があります。共同で署名されていない場合、自宅のコンピューターやキオスクから接続するユーザーが TS ゲートウェイ サーバーまたは RD ゲートウェイ サーバーに接続できないことがあります。これは、自宅のコンピューターやキオスクなど、ドメインのメンバーではないコンピューターは、CA から発行されるルートを信頼していないことがあるためです。
  
  
• SSL 互換の X.509 証明書を発行するように構成されたスタンドアロン CA またはエンタープライズ CA を自社で維持していない場合は、Microsoft ルート証明書プログラム メンバー プログラム (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=59547) に参加している、信頼できる公共の CA から証明書を購入することができます。これら公共の CA の一部は、試用版の証明書を無償で提供しています。
  
  
• 自社でスタンドアロン CA またはエンタープライズ CA を維持しておらず、互換性のある証明書を信頼できる公共の CA から入手していない場合は、RD ゲートウェイ サーバー用の自己署名証明書を作成してインポートし、技術的な評価やテストを行うことができます。詳細については、「リモート デスクトップ ゲートウェイ サーバー用の自己署名証明書を作成する」を参照してください。
  
  

  重要

  最初の 2 つのいずれかの方法を使用して証明書を取得した場合、つまりスタンドアロン CA またはエンタープライズ CA から証明書を取得するか、信頼できる公共の CA から証明書を取得した場合は、リモート デスクトップ ゲートウェイ サーバーに証明書をインポートするし、リモート デスクトップ ゲートウェイ用に既存の証明書を選択するする必要があります。ただし、リモート デスクトップ ゲートウェイ役割サービスのインストール中に役割の追加ウィザードを使用するか、インストール後にリモート デスクトップ ゲートウェイ マネージャーを使用して (「リモート デスクトップ ゲートウェイ サーバー用の自己署名証明書を作成する」を参照) 自己署名証明書を作成した場合は、RD ゲートウェイ サーバーに証明書をインストールしたりマップしたりする必要はありません。その場合は、証明書が自動的に作成され、RD ゲートウェイ サーバーの正しい場所にインストールされて、RD ゲートウェイ サーバーにマップされます。

  リモート デスクトップ サービス クライアントの信頼されたルート証明機関ストアに、サーバー証明書を発行した CA の証明書が格納されている必要があります。証明書をクライアントにインストールする手順については、「リモート デスクトップ サービス クライアントにリモート デスクトップ ゲートウェイ サーバーのルート証明書をインストールする」を参照してください。
  
  最初の 2 つのいずれかの方法を使用して証明書を取得し、リモート デスクトップ サービス クライアント コンピューターで発行元の CA を信頼している場合は、サーバー証明書を発行した CA の証明書をクライアント コンピューターの証明書ストアにインストールする必要はありません。たとえば、VeriSign などの信頼できる公共の CA から取得した証明書が RD ゲートウェイ サーバーにインストールされている場合は、発行元の CA の証明書をクライアント コンピューターの証明書ストアにインストールする必要はありません。3 つ目の方法で証明書を取得した場合、つまり自己署名証明書を作成した場合は、サーバー証明書を発行した CA の証明書を、クライアント コンピューターの信頼されたルート証明機関ストアにインストールする必要があります。詳細については、「リモート デスクトップ サービス クライアントにリモート デスクトップ ゲートウェイ サーバーのルート証明書をインストールする」を参照してください。
  
  

証明書を取得したら、次のいずれかの方法で証明書を RD ゲートウェイ サーバーにインポートできます。

• 証明書ストアに証明書をインストールし、RD ゲートウェイ サーバーに証明書をインポートするには、「リモート デスクトップ ゲートウェイ サーバーに証明書をインポートする」を参照してください。
  
  
• 証明書ストアにある既存の証明書を RD ゲートウェイ サーバーにインポートするには、「リモート デスクトップ ゲートウェイ用に既存の証明書を選択する」を参照してください。