エクスポート (0) 印刷
すべて展開

コンテナーの証明書の管理

更新日: 2014年9月

Azure 回復サービスには、組織をデータ損失から保護し、業務の継続性を確保するのに役立つ一連の Azure コンテナーが含まれています。コンテナーは、復旧サービスの構成で指定された情報を格納および保護するために使用されます。

  • Azure Backup を使用している場合、組織の登録サーバーの保護された項目を格納するためのバックアップ コンテナーを作成します。

    noteメモ
    これまで、サーバーをバックアップ コンテナーに登録するために x.509 v3 証明書を使用する必要がありましたが、変更され、Azure ポータルで生成された資格情報を使用して、サーバーをバックアップ コンテナーに登録するようになりました。新しいコンテナーを作成する場合、証明書を使用しなくなりました。資格情報を使用する必要があります。

  • Azure Hyper-V Recovery Manager を使用している場合、System Center 2012 - Virtual Machine Manager (VMM) で管理される仮想マシンのフェールオーバーと復旧を調整するための Hyper-V Recovery Manager コンテナーを作成します。ソース側の保護が有効にされた登録済み VMM サーバー、クラウド、ネットワーク、および仮想マシンに関する情報と、ターゲット側のフェールオーバーと復旧に使用される VMM サーバー、クラウド、ネットワーク、および仮想マシンに関する情報を構成して格納します。仮想マシンのフェールオーバーの順序を指定する復旧計画を作成したり、追加のスクリプトや手動プロセスを実行するようにそれらの復旧計画をカスタマイズしたりできます。

必要に応じて、バックアップ コンテナーと Hyper-V Recovery Manager コンテナーの両方を構成することもできます。

復旧サービス コンテナーにアップロードする管理証明書では、以下のことが必要です。

  • ルート証明書が Microsoft ルート証明書プログラムによって配布されている、Microsoft が信頼している証明機関 (CA) によって発行された有効な Secure Sockets Layer (SSL) 証明書を使用することができます。詳細については、サポート技術情報の記事 931125 を参照してください。

    また、Makecert.exe ツールを使用して作成した自己署名証明書を使用することもできます。

  • 証明書は x.509 v3 証明書である必要があります。

  • キー長は 2048 ビット以上である必要があります。

  • 証明書には、有効な ClientAuthentication EKU が必要です。

  • 証明書は、3 年以内の有効期間を持ち、現在有効である必要があります。有効期限を指定する必要があります。指定しない場合は、有効期間が 3 年を超える既定の設定が使用されます。

  • 証明書は、ローカル コンピューターの個人証明書ストアに存在する必要があります。

  • 証明書のインストール時に秘密キーを含める必要があります。

  • ポータルに証明書をアップロードするには、公開キーを含む .cer 形式のファイルとして証明書をエクスポートする必要があります。

  • 各コンテナーには、任意のタイミングで関連付けられた単一の .certificate のみが含まれます。いつでも証明書をアップロードして、コンテナーに関連付けられた現在の証明書を上書きできます。

証明書は、サーバーと復旧サービス コンテナー間の通信を暗号化し、コンテナーでサーバーを登録するために使用されます。証明書を構成するには、次の手順を行います。

  • 証明書を取得します。管理証明書 (.cer) をコンテナーにアップロードする必要があります。このために、次のいずれかを実行できます。

    • Makecert ツールを使用して自己署名証明書の取得します。

    • ルート証明書が Microsoft ルート証明書プログラムによって配布されている、Microsoft が信頼している CA によって発行された有効な SSL 証明書を使用することができます。このプログラムの詳細については、Microsoft の記事「Windows ルート証明書プログラムのメンバー」を参照してください。

  • 証明書 (.pfx) のエクスポート: 証明書が作成されたサーバーで、.cer ファイルを .pfx ファイル (秘密キーを含む) としてエクスポートします。この .pfx ファイルは、これらのサーバーに Hyper-V Recovery Manager プロバイダーをインストールしたときに VMM サーバーにアップロードされ、コンテナーでサーバーを登録するために使用されます。

  • 証明書 (.pfx) のインポート: .pfx ファイルのエクスポートが完了したら、保護する仮想マシンを含む各 VMM サーバーの個人証明書ストアにインポートします。

そのためには、次の手順を実行します。

自己署名証明書を使用する場合は、次のように作成します。

  1. MakeCert」の説明に従って、Makecert ツールを入手します。Windows Software Development Kit (SDK) をインストールする場合、[.NET 開発][ツール] をオンにし、他のすべてのオプションをオフのままにすることで、makecert.exe のみをインストールするように制限できます。

  2. コマンド プロンプトを管理者特権で開き、makecert.exe の格納場所に移動します。その後、次のように入力します。

    makecert.exe -r -pe -n CN=CertificateName -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -len 2048 -e 01/01/2016 CertificateName.cer

    証明書が作成され、同じ場所に格納されます。

  3. コンテナーで [証明書の管理] をクリックし、公開キーを含む .cer ファイルをアップロードします。

makecert.exe を実行したサーバーで、.pfx 形式で .cer ファイルをエクスポートするには、次の手順を実行します。

  1. [スタート] 画面で「mmc.exe」と入力して、Microsoft 管理コンソール (MMC) を起動します。

  2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。[スナップインの追加と削除] ダイアログ ボックスが表示されます。

  3. [利用できるスナップイン][証明書] をクリックし、[追加] をクリックします。

  4. [コンピューター アカウント] をクリックし、[次へ] をクリックします。

  5. [ローカル コンピューター] をクリックし、[完了] をクリックします。

  6. MMC のコンソール ツリーで [証明書] を展開し、[個人] を展開します。

  7. 詳細ペインで、管理する証明書をクリックします。

  8. [操作] メニューの [すべてのタスク] をポイントし、[エクスポート] をクリックします。証明書のエクスポート ウィザードが表示されます。[次へ] をクリックします。

  9. [秘密キーのエクスポート] ページで、[はい、秘密キーをエクスポートします] をクリックします。[次へ] をクリックします。この設定は、インストール後に他のサーバーに秘密キーをエクスポートする場合にのみ必要です。

  10. [エクスポート ファイルの形式] ページで、[Personal Information Exchange - PKCS #12 (.PFX)] をクリックします。[次へ] をクリックします。

  11. [パスワード] ページで、秘密キーの暗号化に使用するパスワードを入力し、確認用にもう一度入力します。[次へ] をクリックします。

  12. ウィザードのページに従って、.pfx 形式の証明書をエクスポートします。

証明書をエクスポートしたら、それを登録するサーバーにコピーし、次のようにインポートします。MakeCert.exe の実行に使用されたサーバーで証明書をインポートする必要はありません。

  1. ローカル サーバー上の場所に秘密キー (.pfx) 証明書ファイルをコピーします。

  2. [スタート] 画面で「mmc.exe」と入力して Enter キーを押し、MMC を開きます。

  3. MMC の [ファイル] メニューで、[スナップインの追加と削除] をクリックします。

  4. [スナップインの追加と削除] ダイアログ ボックスで [証明書] をクリックし、[追加] をクリックします。

  5. [証明書スナップイン] ダイアログ ボックスが開きます。[コンピューター アカウント] をクリックし、[次へ] をクリックします。

  6. [ローカル コンピューター] をクリックし、[完了] をクリックします。

  7. [スナップインの追加と削除] ダイアログ ボックスに戻ります。[OK] をクリックします。

  8. MMC で [証明書] を展開し、[個人] を右クリックします。[すべてのタスク] をポイントし、[インポート] をクリックして、証明書のインポート ウィザードを起動します。

  9. 証明書のインポート ウィザードの [ようこそ] ページで、[次へ] をクリックします。

  10. [インポートするファイル] ページで [参照] をクリックし、インポートする証明書を含む .pfx 証明書ファイルが格納されているフォルダーに移動します。該当するファイルを選択し、[開く] をクリックします。

  11. [パスワード] ページの [パスワード] ボックスに、前の手順で指定した秘密キー ファイルのパスワードを入力し、[次へ] をクリックします。

  12. [証明書ストア] ページで [証明書をすべて次のストアに配置する] をクリックし、[参照] をクリックします。[個人] ストアを選択して [OK] をクリックし、[次へ] をクリックします。

  13. [証明書のインポート ウィザードの完了] ページの [完了] をクリックします。

インポートした後は、サーバーの登録ウィザードを実行したときに証明書を選択できるようになります。

表示:
© 2014 Microsoft