Freigeben über


Dynamics CRM 2013 クレームベース認証およびインターネットに接続する展開 (IFD) 構成について Part 2

みなさん、こんにちは。

Microsoft Dynamics CRM 2013 におけるクレームベース認証およびインターネットに接続する展開 (IFD)
構成の手順の第二回目です。

今回は第一回目で作成した検証用の証明書のエクスポート・インポートおよび HTTPS バインディング
設定、DNS 設定といった、接続設定のための前段階の内容をご紹介します。

 

前回の内容は以下からご参照ください。

Dynamics CRM 2013 クレームベース認証およびインターネットに接続する展開 (IFD) 構成について Part 1

 

セクション 3 : 証明書のエクスポートおよびインポート

 

セクション 3.1 証明書のエクスポート

この作業は CRM サーバー (本ブログではサーバー名 : crm2013jpn) で行います。

前回のブログ記事にて作成した証明書は信頼されていないため、CRM (Web) サーバーに接続する際に
セキュリティの警告メッセージが表示されることがあります。

これを表示させないようにするためには、作成した証明書を各コンピューターにインストールする必要が
あります。

そのため、作成した SSL 証明書のエクスポートを行う作業が必要となります。

また、Microsoft Dynamics CRM Web サイトの CRMAppPool アカウントには、クレームベース認証を
構成するときに指定される暗号証明書の秘密キーに対する読み取り権限が必要となります。

証明書 Microsoft 管理コンソール (MMC) スナップインを使用して、ローカル コンピューター アカウント
の個人用ストアにある暗号証明書に対する権限を編集します。

 

1. Microsoft 管理コンソール (MMC) を起動します。「検索」から「mmc」と入力します。

Cert18

2. 「スナップインの追加と削除」をクリックします。

Cert19

3. [証明書] を選択し、[追加] をクリックします。

4. [コンピュータアカウント] を選択し、[次へ] をクリックします。

<<注意>> 初期値は [ユーザー アカウント] となってますので、間違えないようにしてください。

Cert21

5. 「ローカル コンピューター : (このコンソールを実行しているコンピューター)」が選択されている
ことを確認し、[完了] をクリックします。

Cert22

6. MMC に証明書 (ローカル コンピューター) が追加されたことを確認し、[OK] をクリックします。

Cert23

7. MMC の [コンソール ルート] - [証明書 (ローカル コンピューター)] - [個人] - [証明書] を展開します。

Cert24

8. 前回作成した証明書 (*.contoso.com) を選択し、操作 > すべてのタスク > 秘密キーの管理 を選択します。

Cert26

9. CRMAPPPool アカウント (本ブログでは crma@contoso.com) および、Network Service アカウントを
追加します。

Cert27

10. CRMAppPool アカウントの権限を、「読み取り」に設定 (フル コントロールのチェックを外す)
して、[OK] をクリックします。

Cert28

11. 証明書のエクスポートを行います。 操作 > すべてのタスク > エクスポート を選択します。

Cert29

12. [次へ] をクリックします。

Cert30

13. [はい、秘密キーをエクスポートします] が選択されていることを確認し、[次へ] をクリックします。

Cert31

14. Personal Information Exhcnage - PKCS #12 (.PFX) を選択します。エクスポートするのは
作成した証明書のみであるため、「証明のパスにある証明書を可能であればすべて含む」の
チェックを外して [次へ] をクリックします。

Cert32

15. 証明書のセキュリティを保護するため、他のコンピューターでインポートを行う際に必要となる
パスワードの設定を行います。

「パスワード」にチェックし、パスワードの入力を行い [次へ] をクリックします。

Cert33

16. パスワードの保存場所およびファイル名を指定して [次へ] をクリックします。

Cert34

17. [完了] をクリックし、証明書が正常にエクスポートされたことを確認します。

Cert35

Cert36

 

セクション 3.2 証明書のインポート

この作業は DC サーバー (本ブログではサーバー名 : dcexch2010) で行います。

1. 証明書のエクスポートの手順 1 ~ 6 と同様に MMC にて証明書スナップインを追加します。

信頼されたルート証明機関を展開して証明書を選択し、操作 > すべてのタスク > インポート を
選択します。

証明書スナップインの追加の際に「コンピュータ アカウント」を選択することを忘れないでください。

Cert37

2. [次へ] をクリックします。

Cert38

3. インポートする証明書を指定し、[次へ]をクリックします。

エクスポートの手順では CRM サーバー  (サーバー名 : crm2013jpn) の C:\crmhttps.pfx に証明書を
保存しましたので、下記手順では \\crm2013jpn\c$\crmhttps.pfx を指定しています。
構成するサーバー環境に合わせて変更してください。

Cert39

4. エクスポートの際に設定したパスワードを入力し、[次へ] をクリックします。

Cert40

  5. 「証明書をすべての次のストアに配置する」が選択されているのを確認し、[次へ] を
クリックします。

Cert41

6. [完了] をクリックし、証明書が正常にインポートされたことを確認します。

Cert42

Cert43

Cert44

ADFS サーバーにおいても MMC から [証明書] - [個人] および [証明書] - [信頼されたルート証明機関] に
対して手順 1 ~ 6 を実行します。

また、各クライアントにおいても MMC より [証明書] - [信頼されたルート証明機関] に登録して
ください。

 

セクション 4 : SSL 証明書のバインディング (HTTPS)、および DNS 設定

作成した証明書を Web サイト (ADFS デフォルト サイトおよび CRM Web サイト) にバインドします。

本ブログでは ADFS デフォルト サイトのポートを 443、CRM Web サイトのポートを 444 に設定します。

 

セクション 4.1 : SSL 証明書のバインディング (HTTPS)

 

1. この作業は ADFS サーバー (本ブログではサーバー名 : adfs) で行います。

※ ADFS サーバーへの IIS を含めたインストール方法は、Part 3 にて記載予定です。

サーバー マネージャー > ダッシュボード > ツール > インターネット インフォメーション サービス (IIS)
マネージャーを開きます。

サイトから Default Web Site を展開し、操作 > バインド をクリックします。

Cert55

2. [追加] をクリックします。

Cert56

3. 「種類」のドロップダウン メニューから https を選択し、「ポート」欄は 443 と入力します。

SSL 証明書メニュー欄は、以前作成した証明書 (*.contoso.com) を選択し、[OK] をクリックします。

Cert57

4. SSL バインド (https) が追加されたことを確認し、[閉じる] をクリックします。

Cert58

5.  この作業は CRM サーバー (本ブログではサーバー名 : crm2013jpn) で行います。

サーバー マネージャー > ダッシュボード > ツール > インターネット インフォメーション サービス (IIS)
マネージャーを開きます。

サイトから Microsoft Dynamics CRM を展開し、操作 > バインド をクリックします。

Cert59

6. [追加] をクリックします。

Cert60

7. 「種類」のドロップダウン メニューから https を選択し、「ポート」欄は 444 を使用します。

SSL 証明書メニューからは作成した「SSL 証明書」を選択し、[OK] をクリックします。

Cert61

8. SSL バインド (https) が追加されたことを確認し、[閉じる] をクリックします。

Cert62

 

セクション 4.2 : DNS 設定

Dynamics CRM サーバーのエンドポイント (接続先) を適切に解釈するために、DNS にエントリーを
作成する必要があります。

下記一覧および手順をご覧いただきエントリーの作成を行ってください。

※本ブログでは ADFS のサーバー名を adfs として構成したため ADFS のエントリーは追加していません。

サーバー名が異なる場合にはエントリーの追加が必要になります。

エイリアス名 参照先 (実サーバー) 説明
Auth CRM 2013 サーバー ADFS サーバーが IFD フェデレーション メタデータ を取得する際に使用します
Dev 展開 Web サービス サーバー Dynamics CRM 展開 Web サービスのドメインを指定します。
Internalcrm CRM 2013サーバー Dynamics CRM 接続時の内部接続用 URL として使用します。
<CRM 組織名> CRM 2013 サーバー Dynamics CRM 接続時の外部接続用 URL として使用します。
ADFS ADFS サーバー ADFS サーバーを指定します。

なお DNS のエントリーについては第一回の冒頭でご紹介した下記資料の ”DNS Configuration” もあわせてご参照ください。

Configuring Claims-based Authentication for Microsoft Dynamics CRM Server (英語)

https://www.microsoft.com/en-us/download/details.aspx?id=41701

 

この作業は DC サーバー (本ブログではサーバー名 : dcexchg2010) で行います。

1. サーバー マネージャー > ダッシュボード > ツール > DNS を開きます。

DNS01

2. 前方参照ゾーン > ドメイン (contoso.com) を選択して右クリック > 新しいエイリアス (CNAME) を選択します。

DNS02

3. 各情報を入力し、[OK] をクリックします。

DNS04

4. 他のエントリーも同様に追加します。

DNS05

 

まとめ

次回は Active Directory フェデレーション サービス (AD FS) のインストール、およびその構成 と
クレームベース認証の構成 についてご紹介します。

Part 3 以降もすぐにご紹介させていただきますので、お楽しみに。

- Dynamics CRM サポート 岡村 千香

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります