■RDSの自己証明書を正しい証明書として認識させる設定
今回はテスト環境ということで、RDSが発行した自己証明書を正しい証明書として認識させるためのグループ・ポリシー設定方法も紹介しておく。これはActive Directory配下のコンピュータに対して特定のルート証明書を自動配布する仕組みで、ADドメイン内のコンピュータで前述の証明書エラーが発生するのを防止できる。証明書はセキュリティ上、非常に重要な役割を果たすため、安易に設定するものではない。しかし、自己証明書や社内設置のローカルな証明書サーバを使って限定的なテスト環境を構築する場合には、この仕組みは有用だろう。
前述の手順でIEからVDIポータルを開いたら、アドレス・バーに表示されている[証明書のエラー]をクリックしてから、さらに[証明書の表示]をクリックする。
すると証明書のプロパティが表示されるので、[詳細]タブを選んでから[ファイルにコピー]ボタンをクリックする。もしこのボタンがグレー表示になっていてクリックできない場合は、VDIポータルのURL(本稿では「https://hvr01.contoso.com/」)を信頼済みサイトに登録してから再度試していただきたい。信頼済みサイトの登録手順については関連記事が参考になる。
[B]
これで証明書をエクスポートするためのウィザードが起動する。デフォルトの設定のままウィザードを進め、エクスポート先のファイル名を尋ねられたら、テンポラリ・フォルダでよいので新たなファイル名を指定して保存する。
RDSの証明書をエクスポートしたら、[グループ・ポリシーの管理]ツールやGPMC(グループ・ポリシー管理コンソール)などを用いてドメイン全体に適用できるGPO(Default Domain Policyなど)を編集して、公開キーとしてインポートする。このポリシーの場所は、[コンピュータの構成]−[ポリシー]−[Windows の設定]−[セキュリティの設定]−[公開キーのポリシー]−[信頼されたルート証明機関]である。
すると証明書をインポートするウィザードが起動するので、先ほどエクスポートしたRDSの自己証明書のファイルを指定する。そのほかの設定はデフォルトのまま、ウィザードを進めて完了させる。
インポートが完了したら、VDIポータルへアクセスするコンピュータを再起動するか、あるいは次のコマンドを実行してグループ・ポリシーを再適用する。
gpupdate /force
以上で設定は完了したので、再びIEでVDIポータルにアクセスしてみよう。今度は証明書のエラーが生じずにVDIポータルのログオン画面が表示されるはずだ。
Copyright© Digital Advantage Corp. All Rights Reserved.