最終回 Windows OSで作るVPNサーバ：在宅勤務を実現するリモート・アクセスVPN構築術（7/8 ページ）

[打越浩幸，デジタルアドバンテージ]

　VPN接続で利用するプロトコルは、デフォルトでは「自動」となっているはずである。これは、複数のプロトコルを順に試行して、接続ができたものを利用するという意味である。クライアント側にまだ証明書を何もインストールしていない状態では、PPTPで接続するはずである。試しに別のプロトコルに変更して接続してみよう。上の画面で［プロパティ］ボタンをクリックする。すると接続のプロパティが表示されるので、［セキュリティ］タブで［VPNの種類］を変更する。

SSTPを選択する
VPNではいくつかのプロトコルが利用できるが、ここでは強制的にSSTPを選択してみる。これはWindows 7の接続プロパティの画面の例。
 （1）このタブを選択する。
 （2）これを選択する。

　この状態で［接続］をクリックしてみる。すると、次のような画面が表示されるだろう。

VPN接続のエラー例（1）：証明書がない場合のエラー
VPN接続できない場合のエラー表示の例。証明書のルートが確認できないというエラー。
 （1）SSTPでの接続中にエラーが発生した。
 （2）証明書のルートが確認できないというエラー。先頭にあるエラー・コード（この例では0x800B0109）番号でマイクロソフトのサポート技術情報を検索すれば、エラーの説明や対応方法などが見つかるだろう。

　これは、証明書のルートが確認できないというエラーで、クライアント側にCAの証明書をインストールすれば解決できる。公的な証明機関からVPNサーバの名前で証明書を取得していればこのような手間は必要ないのだが、今回はローカルな証明機関を用意して利用しているので、このような手順が必要となる（もっとも、VPNサーバのような企業のプライベートなサービスは、公的な名前登録や証明書の取得などをしない方が安全である、という議論もある）。

　クライアントに証明書をインストールするためには、まずVPNサーバ（＝CA）上のIEで証明書サービスのWebページを開き（http://localhost/certsrvへアクセスする）、CAの証明書を取得・保存して、それをクライアントへインストールする。

　IEで証明書サービスを開くと次のように表示されるので、［CA 証明書、証明書チェーン、または CRL のダウンロード］をクリックする。

証明書の取得（1）
クライアント側にインストールする証明書をここで入手する。
 （1）これをクリックする。

　次の画面で証明書のダウンロードを行う。

証明書の取得（2）
この画面で、CA証明書をダウンロードする。
 （1）このCA証明書が選択されていることを確認する。
 （2）これをクリックしてダウンロードする。

　ダウンロードのリンクをクリックすると、デフォルトでは「certnew.cer」というファイルをダウンロードしようとするので、どこかへ保存させる。

証明書の取得（3）
CA証明書の保存先を指定する。
 （1）デフォルトのファイル名は「certnew.cer」。
 （2）このサーバ／ドメインの証明書であるという意味。
 （3）どこか適当な場所へ保存し、クライアント側へ持ってくること。

　こうやって入手した証明書ファイルを、どのような方法でもよいからクライアント側へコピーし（ネットワーク・コピーでもよいし、USBメモリなどでコピーしてもよい）、それをダブルクリックして開く。すると次のような証明書の情報が表示される。

証明書のインストール
入手した証明書をクライアント・コンピュータ上でダブルクリックして開くと、このような情報が表示されるので、そのままインストールする。
 （1）これをクリックしてクライアントへインストールする。

　［証明書のインストール］をクリックすると、「証明書のインポート ウィザード」が起動するので、すべてデフォルト設定のままウィザードを進め、インストール（インポート）作業を終了させる。

　次に証明書の管理コンソール画面を開き、個人用ストアにインストールされている証明書を、ローカル・コンピュータ・ストアにコピーする。具体的には、［ファイル名を指定して実行］で「mmc」を起動し、MMC管理コンソールを開く。そして証明書スナップインを2つ追加して、個人用ストアとローカル・コンピュータ・ストアの2つへ同時に接続する。このあたりの手順はVPNサーバ側の設定と同じなので、そちらも参照していただきたい。

　そして、［証明書 - 現在のユーザー］ツリーから［中間証明書］−［証明書］を開き（インポートされた証明書はここに表示される）、先ほどインポートされた証明書を［コピー］する。VPNサーバ側での操作手順と違って、証明書の中に「秘密キー」は含まれていないので、いったんファイルに出力する必要はない。そのままコピーして貼り付ければよい。

クライアント側での証明書のコピー（1）
インストールされた証明書は自動的に個人用ストアに格納されるので、それをローカル・コンピュータ・ストアに移動する。
 （1）［証明書 - 現在のユーザー］ツリーを選択する。
 （2）［中間証明機関］−［証明書］を開く。
 （3）これが自動的にインストールされた証明書。これを右クリックする。
 （4）これを選択して、コピーする。
 （5）［証明書 (ローカル コンピューター)］ツリーへコピーする。
 （6）［信頼されたルート証明機関］−［証明書］へ貼り付ける。
 （7）コピーして、貼り付ける。

　次に［証明書 (ローカル コンピューター)］ツリーを開き、［信頼されたルート証明機関］−［証明書］へ貼り付ける。

クライアント側での証明書のコピー（2）
個人用ストアに格納された証明書をローカル・コンピュータ・ストアに移動する。
 （1）［証明書 (ローカル コンピューター)］の［信頼されたルート証明機関］−［証明書］を選択する。
 （2）ここで右クリックし、ポップアップ・メニューから［貼り付け］を選択する。

　これで、クライアント側での証明書のインストール作業は完了である。