VPN接続で利用するプロトコルは、デフォルトでは「自動」となっているはずである。これは、複数のプロトコルを順に試行して、接続ができたものを利用するという意味である。クライアント側にまだ証明書を何もインストールしていない状態では、PPTPで接続するはずである。試しに別のプロトコルに変更して接続してみよう。上の画面で[プロパティ]ボタンをクリックする。すると接続のプロパティが表示されるので、[セキュリティ]タブで[VPNの種類]を変更する。
この状態で[接続]をクリックしてみる。すると、次のような画面が表示されるだろう。
これは、証明書のルートが確認できないというエラーで、クライアント側にCAの証明書をインストールすれば解決できる。公的な証明機関からVPNサーバの名前で証明書を取得していればこのような手間は必要ないのだが、今回はローカルな証明機関を用意して利用しているので、このような手順が必要となる(もっとも、VPNサーバのような企業のプライベートなサービスは、公的な名前登録や証明書の取得などをしない方が安全である、という議論もある)。
クライアントに証明書をインストールするためには、まずVPNサーバ(=CA)上のIEで証明書サービスのWebページを開き(http://localhost/certsrvへアクセスする)、CAの証明書を取得・保存して、それをクライアントへインストールする。
IEで証明書サービスを開くと次のように表示されるので、[CA 証明書、証明書チェーン、または CRL のダウンロード]をクリックする。
次の画面で証明書のダウンロードを行う。
ダウンロードのリンクをクリックすると、デフォルトでは「certnew.cer」というファイルをダウンロードしようとするので、どこかへ保存させる。
こうやって入手した証明書ファイルを、どのような方法でもよいからクライアント側へコピーし(ネットワーク・コピーでもよいし、USBメモリなどでコピーしてもよい)、それをダブルクリックして開く。すると次のような証明書の情報が表示される。
[証明書のインストール]をクリックすると、「証明書のインポート ウィザード」が起動するので、すべてデフォルト設定のままウィザードを進め、インストール(インポート)作業を終了させる。
次に証明書の管理コンソール画面を開き、個人用ストアにインストールされている証明書を、ローカル・コンピュータ・ストアにコピーする。具体的には、[ファイル名を指定して実行]で「mmc」を起動し、MMC管理コンソールを開く。そして証明書スナップインを2つ追加して、個人用ストアとローカル・コンピュータ・ストアの2つへ同時に接続する。このあたりの手順はVPNサーバ側の設定と同じなので、そちらも参照していただきたい。
そして、[証明書 - 現在のユーザー]ツリーから[中間証明書]−[証明書]を開き(インポートされた証明書はここに表示される)、先ほどインポートされた証明書を[コピー]する。VPNサーバ側での操作手順と違って、証明書の中に「秘密キー」は含まれていないので、いったんファイルに出力する必要はない。そのままコピーして貼り付ければよい。
次に[証明書 (ローカル コンピューター)]ツリーを開き、[信頼されたルート証明機関]−[証明書]へ貼り付ける。
これで、クライアント側での証明書のインストール作業は完了である。
Copyright© Digital Advantage Corp. All Rights Reserved.