AD FS(AD FS Proxy)で利用するSSL証明書

AD FS Proxyの役割 でも書きましたが、現時点でOffice365を利用する場合、以下の条件の場合は第三者機関の発行するSSL証明書が必要になります。

  • 外部(インターネット)からOffice365を利用したい場合
  • MAPI/IMAP/POP3/ActiveSyncのメールクライアント(要はOWA以外)を利用したい場合

また、AD FSならびにAD FS Proxy、また、各NLBクラスタ内のサーバは同じCommon Name(=AD FSサービス名)を利用しますので、取得する必要のあるSSLの枚数は1枚で大丈夫です。ただし、1ライセンス分で良いかどうかはSSLの発行者の課金ポリシーに依ります。

※AD FS Proxy→AD FS間は、AD FSサービス名の解決にHosts(DNSより優先)ファイルを利用することにより実現しています。

接続元がMicrosoftになりますので、Microsoft側が対応しているCAから発行必要があります。同じMicrosoft Federation Gatewayを利用するExchange2010のドキュメント、フェデレーション信頼のための信頼されたルート証明機関に載っているリストが参考になると思います。

安価で特徴的なCOMODO Japanを紹介します。左のリンクから、日本語で証明書発行が可能です。認証要求メールが来てから24時間以内に応答をしないといけないのが少し運用フロー上面倒ですが、比較的簡単に発行可能です。

また、ここの特徴は90日間無償のフリーSSL証明書が発行でき、Office365でも検証した限りでは利用出来ました。こちらで動作を確認してからEssential SSL(10,000円/1年、24,000円/3年)を買うというのが良いかと思います。

証明書更新の際は、各ADFSの証明書を更新した後に、AD FSサーバからUpdate-MSOLFederatedDomainコマンドレットを利用して、Microsoft Federation Gateway側に新しい証明書を転送する必要があります。

証明書のせいではないかも無いかもしれませんが、フェデレーション環境のアカウントだとAndroid端末からExchange ActiveSyncのアカウントを設定する際、Autodiscoverでもm.outlook.comでも接続ができず、IMAP/POPサーバなどと同じpod510xx.outlook.comのアドレスを手動で指定する必要があることがありました。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中