最終回 Windows OSで作るVPNサーバ：在宅勤務を実現するリモート・アクセスVPN構築術（2/8 ページ）

今回はServer 2008 R2でVPNサーバを構築してみよう。SSTPやIKEv2などに必要な証明書サービスの導入方法も紹介。

[打越浩幸，デジタルアドバンテージ]

　さてそれでは、サーバ証明書を作成してみよう。なおこの作業はRRASサービスの導入前に行うこと。先に証明書を作成しておくと、RRASサービスの導入時に自動的に証明書とHTTPSの通信ポートなどの関連付けを行ってくれるため、導入が簡単に行える。後から証明書を作成したり、証明書の作成後にVPNのサーバ名を変更したりすると、VPNのポートと証明書の関連付けなどを変更する必要があり、面倒になる。

　まずはサーバ・マネージャで「役割の追加」リンクをクリックし、「Active Directory証明書サービス」という役割を導入する。

Active Directory証明書サービスの導入
サーバ・マネージャで［役割の追加］を起動し、証明書サービスを導入する。
 （1）これを選択する。

　「Active Directory証明書サービス」を選択して［次へ］をクリックする。「役割サービスの選択」画面では、「証明機関」と「証明機関 Web 登録」という2つの役割サービスを追加する。

役割サービスの追加
「Active Directory証明書サービス」役割に対して、2つの役割サービスを追加する。
 （1）こちらはデフォルトで選択されている。CA（証明機関）では、証明書の発行や管理を行う。
 （2）「証明機関 Web 登録」も追加で選択する。これにより、Webブラウザ経由で証明書の作成や登録などが行える。

　次の画面ではどちらを選んでもよいが、今回はスタンドアロンのCA（証明機関）を選択する。

CAの種類の選択（1）
CA（証明機関）の種類を選択する。
 （1）今回はこちらを選択する。

　ウィザードの次の画面では「ルートCA」を選択して、新規のCAを作成する。

CAの種類の選択（2）
最初のCAなので、「ルートCA」を作成する。
 （1）これを選択する。

　次の画面では、デフォルトの選択のまま進める。

秘密キーの設定
新規作成するCAなので、デフォルトの方を選択しておく。
 （1）こちらを選択する。

　［次へ］をクリックすると「CAの暗号化を構成」画面が表示されるが、デフォルトのまま進める。その次の画面では作成するCAの名前などを設定する。

CAの名前の設定
この画面では、CAの名前や識別名を設定する。
 （1）CAの共通名を設定する。ここではドメイン名とVPNサーバ名を組み合わせている。この名前は後で何度も出てくるので、覚えておくこと。
 （2）識別名のサフィックスはデフォルトで表示されている名前のままでよい。

　ウィザードの後の画面では有効期間や保存場所の設定などが行えるが、すべてデフォルトのまま進めておけばよい。ウィザードを終了させると、サーバ・マネージャに「Active Directory証明書サービス」や「Web サーバー (IIS)」が追加されているはずなので、確認しておく。