第3回 物理マシン1台によるVDIテスト環境の構築（後）：Windows Server 2008 R2によるVDI実践入門（2/4 ページ）

[高添修（エバンジェリスト），マイクロソフト株式会社]

■RDSの自己証明書を正しい証明書として認識させる設定

　今回はテスト環境ということで、RDSが発行した自己証明書を正しい証明書として認識させるためのグループ・ポリシー設定方法も紹介しておく。これはActive Directory配下のコンピュータに対して特定のルート証明書を自動配布する仕組みで、ADドメイン内のコンピュータで前述の証明書エラーが発生するのを防止できる。証明書はセキュリティ上、非常に重要な役割を果たすため、安易に設定するものではない。しかし、自己証明書や社内設置のローカルな証明書サーバを使って限定的なテスト環境を構築する場合には、この仕組みは有用だろう。

　前述の手順でIEからVDIポータルを開いたら、アドレス・バーに表示されている［証明書のエラー］をクリックしてから、さらに［証明書の表示］をクリックする。

RDSが発行した自己証明書はエラーになる
特に設定していないと、VDIポータルへアクセスするたびに証明書のエラーがアドレス・バーに表示される。これを解消するために、まず証明書をエクスポートするためにそのプロパティを表示する。
　 （1）これをクリックすると、「証明書は信頼できません」というメッセージが表示される。
　 （2）これをクリックして証明書のプロパティを表示する。→［B］へ

・TIPS「IEのセキュリティ設定を変更してセキュリティ機能を強化する（3）」

　すると証明書のプロパティが表示されるので、［詳細］タブを選んでから［ファイルにコピー］ボタンをクリックする。もしこのボタンがグレー表示になっていてクリックできない場合は、VDIポータルのURL（本稿では「https://hvr01.contoso.com/」）を信頼済みサイトに登録してから再度試していただきたい。信頼済みサイトの登録手順については関連記事が参考になる。

［B］

表示されたRDSの自己証明書のプロパティ
RDSの自己証明書をActive Directoryで配布するために、ここから証明書をエクスポートする。
　（1）このタブを選ぶ。
　（2）これをクリックすると証明書をエクスポートするウィザードが起動する。もしこのボタンがクリックできなければ、RD Webアクセス・サーバを信頼済みサイトに登録してから再度VDIポータルを開いて証明書のプロパティを表示すること。

　これで証明書をエクスポートするためのウィザードが起動する。デフォルトの設定のままウィザードを進め、エクスポート先のファイル名を尋ねられたら、テンポラリ・フォルダでよいので新たなファイル名を指定して保存する。

RDSの自己証明書をエクスポートする
これは証明書をエクスポートするウィザードの2つめの画面。
　 （1）デフォルトでこれが選択されている。そのままウィザードを進める。

・TIPS「グループ・ポリシー管理を強力に支援するGPMCを活用する」
・TIPS「グループ・ポリシー・エディタの使用法」

　RDSの証明書をエクスポートしたら、［グループ・ポリシーの管理］ツールやGPMC（グループ・ポリシー管理コンソール）などを用いてドメイン全体に適用できるGPO（Default Domain Policyなど）を編集して、公開キーとしてインポートする。このポリシーの場所は、［コンピュータの構成］−［ポリシー］−［Windows の設定］−［セキュリティの設定］−［公開キーのポリシー］−［信頼されたルート証明機関］である。

グループ・ポリシー・エディタで公開キーのポリシーを開く
これはグループ・ポリシー・エディタでDefault Domain PolicyのGPOを編集しているところ。
　 （1）これを選択して右クリックする。
　 （2）これをクリックすると証明書をインポートするウィザードが起動する。

　すると証明書をインポートするウィザードが起動するので、先ほどエクスポートしたRDSの自己証明書のファイルを指定する。そのほかの設定はデフォルトのまま、ウィザードを進めて完了させる。

　インポートが完了したら、VDIポータルへアクセスするコンピュータを再起動するか、あるいは次のコマンドを実行してグループ・ポリシーを再適用する。

gpupdate /force

　以上で設定は完了したので、再びIEでVDIポータルにアクセスしてみよう。今度は証明書のエラーが生じずにVDIポータルのログオン画面が表示されるはずだ。