Dynamics CRM 2013 設置型検証環境における SSL 証明書の作成方法

Article
10/09/2014

みなさん、こんにちは。

今回は、検証環境における Secure Sockets Layer ( SSL ) 証明書を作成する方法を紹介いたします。
この記事は弊社が提供しているブログ Dynamics CRM in the Field で紹介された
記事を翻訳したものです。なお、本記事で紹介する方法は設置型でのみに有効な方法です。

情報元: Creating SSL Certificates for CRM 2013 Test Environment

====================================================

以前に creating SSL certificates in Server 2008 for a CRM 2011 environment の記事を投稿した際、
Windows Server 2012 と Dynamics CRM 2013 の組み合わせのリクエストをいただきました。
今回改めて紹介いたします。

Dynamics CRM の検証では、クレームベース認証のテストのような CRM の Web サイトに
SSL を追加するシナリオが多くあります。その際、サードパーティー製の証明書を取得する
代わりに Internet Information Services ( IIS ) を使用して自分の証明書を作成します。
これにより検証用のクライアント環境で有効な証明書をすばやく作成することができます。

以下は容易に SSL を検証するため Active Directory 証明書サービスを構成する手順です。
なお、クライアントマシンでルート証明書を有効にするためのインストール手順も含めています。

Active Directory 証明書サービスのインストール
証明書を作成する前に IIS サーバーに Active Directory 証明書サービスをインストールする
必要があります。下記は CRM サーバーに直接役割をインストールする手順です。

1. サーバーマネージャーを開き、役割と機能の追加をクリックします。

2. 役割ベースまたは機能ベースのインストールを選択し、次へをクリックします。

3. サーバープールからサーバーを選択を選択し、次へをクリックします。

4. Active Directory 証明書サービスの役割を選択します。

5. 他の必要な機能が新しいウィンドウが開きます。機能の追加をクリックします。

6. 証明書機関を選択し、次へをクリックします。

7. インストールをクリックします。インストールはバックグラウンドで実行されるため
閉じるをクリックします。

以上で役割のインストールは完了です。

Active Directory 証明書サービスの構成
インストール後に Active Directory 証明書サービスを構成する方法です。

1. インストールが完了するとサーバーマネージャーに Active Directory 証明書サービスに
必要な構成を示すアラートが表示されます。アラートをクリックします。

2. 対象サーバーに Active Directory 証明書サービスを構成するのリンクをクリックします。
3. 必要な権限がアカウントに設定されているか確認して、次へをクリックします。

4. 証明機関を選択して次へをクリックします。

5. エンタープライズ CA を選択して、次へをクリックします。

6. ルート CA を選択して次へをクリックします。

7. 新しい秘密キーを作成するを選択し、次へをクリックします。

8. 既定のまま次へをクリックします。

9. CA の名前を確認して、次へをクリックします。

10. 有効期限を確認し、次へをクリックします。

11. 証明書データベースを確認し、次へをクリックします。
12. 設定内容を確認し、構成をクリックします。

13. 成功したことを確認し、閉じるをクリックします。

以上で構成は完了です。

ドメイン SSL 証明書の作成
Active Directory 証明書サービスを使用して検証用のドメイン証明書を作成します。
下記の手順は、私のテストドメイン（ contoso01.local ）のワイルドカード証明書の作成方法です。
ワイルドカード証明書は、テスト環境のさまざまな組織で利用されます。

1. Active Directory 証明書サービスがインストールされた CRM サーバーの IIS マネージャーを開きます。

2. IIS マネージャーのホームページからサーバー証明書をダブルクリックします。

3. 右ペインのドメイン証明書の作成をクリックします。

4. 証明書の情報を入力します。
名前には、ワイルドカードを指定するため *.contoso01.local を入力します。入力後、次にをクリックします。

5. オンライン証明機関を選択します。選択ボタンをクリックすると作成された証明機関が表示されます。
証明書を識別するフレンドリー名を入力して終了をクリックします。

6. 新しい証明書がサーバー証明書の一覧に追加されたことを確認します。

以上で証明書の作成は完了です。

SSL 証明書を CRM Web サイトに追加
作成した証明書を CRM Web サイトにバインドします。
IIS 内で唯一の SSL サイトのため、既定のポート 443 を使用します。

1. CRM サーバーの IIS マネージャーを開きます。
2. Web サイトの一覧から Microsoft Dynamics CRM に移動します。

3. 右ペインの操作内にあるバインドをクリックします。

4. 追加をクリックします。

5. 種類ドロップダウンメニューから HTTPS を選択し、SSL 証明書メニューから作成した
ワイルドカード証明書を選択します。OK をクリックします。この時点で証明書は Web サイトと
バインドされているため、新しい SSL バインドで CRM を開くことができます。

6. ブラウザを開いて CRM の SSL URL を入力します。
下記の例では、サーバー（ https://tkapdb01.contoso01.local/CRM/ ）の
Fully Qualified Domain Name ( FQDN ) を入力します。

もし、エイリアスを利用している場合、DNS にエントリーを作成する必要があります。
CRM の正しい SSL URL を開く必要があります。SSL 証明書は有効なものとして表示されます。
証明書の表示をクリックすると、発行されたワイルドカード証明書を確認することができます。

以上でバインドの設定は完了です。

サーバーで CA ルート証明書をエスクポート
クライアントマシンに CA ルート証明書をインストールする方法を紹介します。
SSL バインドは他のマシンでも動作しますが、CA ルート証明書が信頼されていないため
初回のような警告メッセージが表示される場合があります。CRM を開く際にメッセージを
表示せず、他のマシン上のコンポーネント（ Outlook クライアントや Email Router ）を
SSL で正常にテストするために必要なステップです。