はじめに

Windows Serverにはワークフォルダーという機能があります。「同期共有」と呼ばれるフォルダ上にユーザーのファイルを保存し、HTTPS通信でクライアントと同期する機能です。利用するクライアントに暗号化やロック画面のパスワードなどの要件を強制できる機能を持つため、BYODのようなユースケースで使用可能なほか、単純にHTTPSベースの同期共有機能として従来のオフラインファイルの代替にも使用できます。

ワークフォルダー機能を使用するには、サーバーにSSL証明書をインストールしてワークフォルダーの通信に適用します。BYODのような用途でワークフォルダーをインターネット越しに使用する場合、グローバルなSSL証明書が必要です。

一方、オフラインファイルの代替としてローカルネットワーク内のみで使用するケースでは、インターネット経由でのアクセスが必要ではなく、アクセスする端末もActive Directoryに参加しているWindows端末になります。この場合、Active Directory 証明書サービスで発行したSSL証明書を利用できます。

Active Directory 証明書サービス

Active Directory 証明書サービス（AD CS）は、Windows Serverの役割の一つで、Windows Serverで認証局（CA）としての機能を使えます。

AD CSには、スタンドアロンCAとエンタープライズCAがあります。エンタープライズCAとして構築した証明機関のルート証明書は、Active Directoryに参加したWindows端末の信頼される証明機関の一覧に登録されます。このため、エンタープライズCAから発行されたSSL証明書も、端末からは信頼された証明書として扱われます。

エンタープライズCAとして構築したAD CSでは、証明書テンプレートを用いて簡単に証明書を発行可能で自動登録の機能もあります。つまり、自動登録用に構成した証明書テンプレートを使用すれば、証明書の自動発行も実現できます。

証明書発行手順

手順

以下のセクションでは、AD CSを使用して証明書を自動的に発行するための手順を説明します。すでに構築済みのAD CSおよびワークフォルダーサーバーが存在していることを前提としています。

証明書テンプレートの作成

ワークフォルダー用に証明書を自動的に発行するための証明書テンプレートを作成します。ワークフォルダーはHTTPSベースの通信を使用します。このため元となる証明書テンプレートとして、一般的なWebサーバー向けのもの（初期状態で作成されている「Web サーバー」など）が使用可能です。

以降で説明する手順では、Webサーバー向けに初期状態で用意されている証明書で「テンプレートの複製」を実行し、自動登録用のテンプレートを作成しています。自動登録に対応するためには、複製する際に以下の設定が必要です。

• 「テンプレート表示名」に分かりやすい名前を付け、その値から自動的に設定される「テンプレート名」をメモしておきます。これは、後ほど自動登録の際に使用します。
• サブジェクト名が「要求に含まれる」となっていることを確認します。
• セキュリティタブで、発行を許可するユーザーやコンピューターに対して「自動登録」を「許可」する権限を追加します。これは、自動登録を行う際にコンピューターの権限で実行するために必要な権限となります。

詳細手順

テンプレートの作成手順を画像を交えて、解説します。複製元のテンプレートに初期状態で用意されている「Web サーバー」を使用します。

1. 「証明機関」ツールを起動し、「証明書テンプレート」を右クリックして「管理」を選択すると「証明書テンプレート コンソール」が起動します。
2. 「証明書テンプレート コンソール」で目的の証明書テンプレートを右クリックし、「テンプレートの複製」を選択します。
   • 普段Webサーバー向けに証明書を発行するために使用しているテンプレートであればワークフォルダーに使用可能です。初期状態で用意されている「Web サーバー」でも問題ありません。
3. 互換設定については、運用する環境に合わせて設定してください。変更する際に表示されるダイアログは「OK」をクリックして閉じます。
   • この記事では、証明機関が「Windows Server 2012 R2」、証明書の受信者が「Windows Vista /Server 2008」で動作確認しています。
4. 「全般」タブで「テンプレート表示名」を変更します。同時に「テンプレート名」も変更されます。
   • ここで表示される「テンプレート名」は後ほど使用するので、メモを取っておきます。
   • 2022年12月現在、多くの証明書の有効期間が1年間であることを踏まえて、変更しています。ご自身の環境に合わせて設定してください。
5. 「サブジェクト名」タブで、「要求に含まれる」にチェックが入っていることを確認します。
6. 「セキュリティ」タブをクリックします。
   1. 「追加」をクリックします。
   2. 表示されるダイアログで、「オブジェクトの種類」をクリックします。
   3. 「コンピューター」にチェックを入れて、「OK」をクリックします。
   4. 「選択するオブジェクト名を入力してください」と書かれたテキストボックスに、ワークフォルダーが動作しているサーバーのコンピューター名を入力して「OK」をクリックします。
   5. 対象のサーバーのコンピューターオブジェクトが選択されていることを確認し、「登録」「自動登録」にチェックを入れます。
   6. 証明書を要求するサーバーの分だけ、この手順を繰り返します。
7. 「OK」を押して、ダイアログを閉じます。
8. 「証明機関」ツールに戻り、「証明書テンプレート」を右クリックして「新規作成」→「発行する証明書テンプレート」の順にクリックします。
9. 作成した証明書テンプレートを選択し、「OK」を押してダイアログを閉じます。
10. 「証明機関」ツールの「証明書テンプレート」に、作成した証明書テンプレートが追加されたことを確認します。

証明書の発行

本セクションでは、作成した証明書テンプレートを使用して証明書を実際に発行、取得する手順を解説します。

ワークフォルダーの役割を実行するサーバーで実施します。発行に使用するcertreq.exeはWindowsに同梱されており、インストールする必要はありません。

詳細手順

1. 以下の内容で、設定ファイル（例：certreq.conf）を作成します。ファイル名は任意です。ファイルの文字コードはShift_JISで作成してください。

   1
   [NewRequest]
   2
   Subject="CN=【ワークフォルダーのFQDN】,O=【ORGANIZATION】,L=【LOCALITY】,S=【STATE】,C=【COUNTRY】"
   3
   Exportable=true
   4
   ExportableEncrypted=true
   5
   KeyAlgorithm=RSA
   6
   KeyLength=4096
   7
   MachineKeySet=true
   8
   ProviderName="Microsoft RSA SChannel Cryptographic Provider"
   9
   ProviderType=12
   10
   RequestType = CMC
   11
   Silent=true
   12
   FriendlyName=【証明書を識別するための名前】
   13
   [RequestAttributes]
   14
   CertificateTemplate="【作成したテンプレート名】"
   15
   [Extensions]
   16
   2.5.29.17="{text}"
   17
   _continue_="DNS=【ワークフォルダーのFQDN】"
   18
   2.5.29.37="{text}"
   19
   _continue_="1.3.6.1.5.5.7.3.2,"
   20
   _continue_="1.3.6.1.5.5.7.3.1"

   • 【作成したテンプレート名】の部分に以前の手順で作成した自動登録に対応した証明書テンプレートの名前を記入します。
   • 【ワークフォルダーのFQDN】、【ORGANIZATION】、【LOCALITY】、【STATE】、【COUNTRY】、【証明書を識別するための名前】は環境に合わせて適切な値を記入します。
     • ORGANIZATIONには会社や組織の名前、LOCALITYには市区町村、STATEには都道府県、COUNTRYには国を示す英字2文字（日本ならJP）を入れるのが一般的です。

2. 証明書署名要求（CSR）ファイルを作成します。

   1
   certreq.exe -new -Q -machine 【前手順で作成した設定ファイルのパス】 【出力するCSRファイルのパス】

   これによりCSRファイルが作成され、それに対応する秘密鍵がコンピューターの証明書ストアに登録されます。

3. 証明機関（AD CS）に作成要求を送信します。

   1
   certreq.exe -submit -Q -config 【AD CSの識別名】 -AdminForceMachine 【前の手順で作成したCSRファイルのパス】 【出力する証明書ファイルのパス】 【出力する証明書チェインファイルのパス】

   • 証明機関からきた結果を元に、コマンドに指定したファイル名で証明書ファイルが作成されます。
   • 証明書ファイルの拡張子は.cerまたは.crt、証明書チェインファイルの拡張子は.pfxを指定します。
   • 【AD CSの識別名】には【AD CSが動作しているサーバー名】\【証明機関名】を指定します。
   • -AdminForceMachineを指定しているため、この証明書の要求は実行しているユーザーではなくサーバー（コンピューター アカウント）からの要求として扱われます。

4. 証明書ファイルを、コンピューターの証明書ストアに登録します。

   1
   certreq.exe -accept -Q -machine 【前の手順で取得した証明書ファイルのパス】

   なお、ドメインに参加しているコンピューターであれば、AD CSのCA証明書はコンピューターの証明書ストアに登録されているため、手動で登録する必要はありません。

作成した証明書をワークフォルダーに設定する

ワークフォルダーの証明書はUIではなく、netshコマンドで設定します。

手順

1. ワークフォルダーに使用する証明書を設定するため、証明書のThumbprintを取得します。

   1
   $res=$(Get-PfxCertificate 【前の手順で取得した証明書ファイルのパス】)
   2
   echo $res.Thumbprint

2. コンピューターの証明書ストアに証明書が登録されていることを確認します。

   1
   $CertPath="Cert:\LocalMachine\My\"+"【前の手順で取得した証明書のThumbprint】"
   2
   Get-Item $CertPath

3. ワークフォルダーの証明書を設定します。

   1
   netsh http update sslcert ipport=0.0.0.0:443 certhash=【前の手順で取得した証明書のThumbprint】 appid="{CE66697B-3AA0-49D1-BDBD-A25C8359FD5D}" certstorename=MY

   • netsh http updateはWindows Server 2016以降から使用可能です。Windows Server 2012 R2以前では、一時的に接続に影響が出ますが、deleteしてからaddを実行してください。
   • 初回設定時はupdateではなくaddを使用します。登録済みの証明書を更新する作業を想定しています。
   • ワークフォルダーにipport=0.0.0.0:443を使用している想定で記述されています。
     • hostnameを使用している場合はipport=0.0.0.0:443の代わりにhostnameport=【ワークフォルダーのFQDN】:443を指定してください。
   • appid="{CE66697B-3AA0-49D1-BDBD-A25C8359FD5D}"はワークフォルダーを示す識別子です。

証明書の発行・取得・設定の自動化

ここまでの流れは全てコマンドラインで行えるため、PowerShellとタスクスケジューラを組み合わせることで自動化できます。証明書を1年で出す場合は、目安として半年に一度更新を実行し、常に有効な証明書が設定されるようにします。

PowerShellスクリプトの作成

以下の内容で、C:\Scripts\WorkFoldersCert\Scripts\renew_workfolder_cert.ps1にPowerShellスクリプトを作成します。

1
<# 関数 #>
2
## ログ記録停止と終了
3
function Stop-Script ($result,$msg) {
4
    # ログ記録停止
5
    Write-Host $msg
6
    Stop-Transcript
7
    exit $result
8
}
9

10
<# 設定 #>
11
## ディレクトリ設定
12
$BaseDir="C:\Scripts\WorkFoldersCert\"
13
$ConfDir=$BaseDir+"Config\"
14
$TmpDir=$BaseDir+"Tmp\"
15
$LogDir=$BaseDir+"Logs\"
16
<#
17
### TmpDirとLogDirは古いファイルの削除を行っております。
18
### TmpDir、LogDirが重要なファイルを置いたディレクトリにならないようにBaseDirを設定ください。
19
##>
20

21
## ファイル設定
22
### 設定ファイル
23
$ConfFileName="wf.conf"
24

25
## CA設定
26
$CaServer="ADCS1"
27
$CaName="TEST-ADCS1-CA"
28

29
## ワークフォルダーの待ち受けポート
30
$ServicePort="ipport=0.0.0.0:443"
31

32
<# 処理 #>
33
## CA名
34
$ca=$CaServer+"\"+$CaName
35

36
## 設定ファイルのフルパス
37
$ConfFile=$ConfDir+$ConfFileName
38

39
## 実行日時取得
40
$today=$(Get-Date -UFormat "%Y%m%d_%H%M%S")
41

42
## CSRファイル名
43
$RequestFileName="wfcert_"+$today+".csr"
44

45
## 証明書ファイル名
46
$CertFileName="wfcert_"+$today+".crt"
47

48
## 証明書チェインファイル名
49
$CertChainFileName="wfcert_"+$today+".pfx"
50

51
## 作業ディレクトリのフルパス
52
$WorkDir=$TmpDir+$today+"\"
53

54
## ログのフルパス
55
$LogFile=$LogDir+$today+".log"
56

57
## CSRファイルのフルパス
58
$RequestFile=$WorkDir+$RequestFileName
59

60
## 証明書ファイルのフルパス
61
$CertFile=$WorkDir+$CertFileName
62

63
## 証明書チェインファイルのフルパス
64
$CertChainFile=$WorkDir+$CertChainFileName
65

66
## ログ記録開始
67
Start-Transcript -Path $LogFile -Append
68

69
## 作業ディレクトリ作成
70
try {
71
    $res=$(New-Item -ItemType Directory -Path $WorkDir -ErrorAction Stop)
72
} catch {
73
    Stop-Script -1 $res
74
}
75

76
## CSRの作成
77
$res=certreq.exe -new -Q -machine $ConfFile $RequestFile
78
if ($? -eq $false) {
79
    Stop-Script -1 $res
80
}
81
$res=""
82

83
## 証明書の作成・取得
84
$res=certreq.exe -submit -Q -config $CA -AdminForceMachine $RequestFile $CertFile $CertChainFile
85
if ($? -eq $false) {
86
    Stop-Script -1 $res
87
}
88
$res=""
89

90
## 証明書のインポート
91
$res=certreq.exe -accept -Q -machine $CertFile
92
if ($? -eq $false) {
93
    Stop-Script -1 $res
94
}
95
$res=""
96

97
## 証明書のThumbprintを取得
98
try {
99
    $res=$(Get-PfxCertificate $CertFile -ErrorAction Stop)
100
    $CertThumbprint=$res.Thumbprint
101
} catch {
102
    Stop-Script -1 $res
103
}
104
$res=""
105

106
## 証明書のフルパス
107
$CertPath="Cert:\LocalMachine\My\"+$CertThumbprint
108

109
## 証明書のインポート確認
110
try {
111
    $res=$(Get-Item $CertPath -ErrorAction Stop)
112
} catch {
113
    Stop-Script -1 $res
114
}
115
$res=""
116

117
## 証明書の入れ替え
118
$res=netsh http update sslcert $ServicePort certhash=$CertThumbprint appid="{CE66697B-3AA0-49D1-BDBD-A25C8359FD5D}" certstorename=MY
119
if ($? -eq $false) {
120
    Stop-Script -1 $res
121
}
122
$res=""
123

124
## 古いファイルの削除
125
Get-ChildItem $TmpDir -Recurse | Where-Object {($_.LastWriteTime -lt (Get-Date).AddYears(-2))} | Remove-Item -recurse -force
126
Get-ChildItem $LogDir -Recurse | Where-Object {($_.LastWriteTime -lt (Get-Date).AddYears(-2))} | Remove-Item -recurse -force
127

128
Stop-Script 0

このスクリプトは、以下の想定になります。ご自分の環境に合わせて、適宜修正してください。

• AD CSを実行するコンピューター名（$CaServer）：ADCS1
• 証明機関名（$CaName）：TEST-ADCS1-CA
• サービスポート（$ServciePort）：0.0.0.0:443
  • ワークフォルダーを【ワークフォルダーのFQDN】:443で待ち受けている場合は、$ServicePortの値をhostnameport=【ワークフォルダーのFQDN】:443に修正してください。
• 証明書を要求するために必要な設定ファイルをC:\Scripts\WorkFoldersCert\Config\wf.confに配置
• スクリプト実行後、設定に使用した証明書ファイルや実行ログをC:\Scripts\WorkFoldersCert\フォルダに保存

設定ファイルの作成

配置する設定ファイルのサンプルは以下です。上述のスクリプトを実行するためには、下記のファイルをwf.confとしてC:\Scripts\WorkFoldersCert\Config\フォルダに配置します。スクリプトに記述したファイルパスを変更した場合は、そちらに合わせて配置してください。

1
[NewRequest]
2
Subject="CN=workfolder.test.example.co.jp,O=EXAMPLE JP,L=Shibuya-ku,S=Tokyo,C=JP"
3
Exportable=true
4
ExportableEncrypted=true
5
KeyAlgorithm=RSA
6
KeyLength=4096
7
MachineKeySet=true
8
ProviderName="Microsoft RSA SChannel Cryptographic Provider"
9
ProviderType=12
10
RequestType = CMC
11
Silent=true
12
FriendlyName=workfolder.test.example.co.jp
13
[RequestAttributes]
14
CertificateTemplate="Webサーバー自動更新"
15
[Extensions]
16
2.5.29.17="{text}"
17
_continue_="DNS=workfolder.test.example.co.jp"
18
2.5.29.37="{text}"
19
_continue_="1.3.6.1.5.5.7.3.2,"
20
_continue_="1.3.6.1.5.5.7.3.1"

• ファイルの文字コードはShift_JISで作成してください。文字コードが異なる場合、日本語のテンプレート名を正しく認識できず失敗します。
• 使用している値（workfolder.test.example.co.jpなど）はサンプルです。Subject、FriendlyName、CertificateTemplate、_continue_="DNS=～～"の値を、ご自身の環境に合わせて修正してください。
• 証明書の鍵の長さは4096としています。変更する場合はKeyLengthを変更してください。テンプレートによっては対応していない場合もあります。

タスクスケジューラの設定

上述のスクリプトや設定ファイルを配置し、下記の内容で作成したxmlファイルをタスクスケジューラにインポートすると、3/18と9/18にタスクが実行され、半年に一度証明書が自動的に更新されます。実行日時を調整する場合は、インポート前に<Months>～</Months>と<Day>～</Day>を修正するか、インポート後にGUIから変更してください。

1
<?xml version="1.0" encoding="UTF-16"?>
2
<Task version="1.4" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
3
  <RegistrationInfo>
4
    <Date>2022-03-17T00:00:00.0000000</Date>
5
    <Author>Administrator</Author>
6
    <URI>\RenewWorkfoldersCert</URI>
7
  </RegistrationInfo>
8
  <Triggers>
9
    <CalendarTrigger>
10
      <StartBoundary>2022-03-17T05:00:00</StartBoundary>
11
      <Enabled>true</Enabled>
12
      <ScheduleByMonth>
13
        <DaysOfMonth>
14
          <Day>18</Day>
15
        </DaysOfMonth>
16
        <Months>
17
          <March />
18
          <September />
19
        </Months>
20
      </ScheduleByMonth>
21
    </CalendarTrigger>
22
  </Triggers>
23
  <Principals>
24
    <Principal id="Author">
25
      <UserId>S-1-5-18</UserId>
26
      <RunLevel>HighestAvailable</RunLevel>
27
    </Principal>
28
  </Principals>
29
  <Settings>
30
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
31
    <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
32
    <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
33
    <AllowHardTerminate>true</AllowHardTerminate>
34
    <StartWhenAvailable>true</StartWhenAvailable>
35
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
36
    <IdleSettings>
37
      <StopOnIdleEnd>false</StopOnIdleEnd>
38
      <RestartOnIdle>false</RestartOnIdle>
39
    </IdleSettings>
40
    <AllowStartOnDemand>true</AllowStartOnDemand>
41
    <Enabled>true</Enabled>
42
    <Hidden>false</Hidden>
43
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
44
    <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
45
    <UseUnifiedSchedulingEngine>true</UseUnifiedSchedulingEngine>
46
    <WakeToRun>true</WakeToRun>
47
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
48
    <Priority>7</Priority>
49
  </Settings>
50
  <Actions Context="Author">
51
    <Exec>
52
      <Command>powershell</Command>
53
      <Arguments>C:\Scripts\WorkFoldersCert\Scripts\renew_workfolder_cert.ps1</Arguments>
54
      <WorkingDirectory>C:\Scripts\WorkFoldersCert\Scripts</WorkingDirectory>
55
    </Exec>
56
  </Actions>
57
</Task>

このタスクは、PowerShellスクリプトをC:\Scripts\WorkFoldersCert\Scripts\renew_workfolder_cert.ps1に配置している前提になります。スクリプトの名前やパスを変更した場合は、インポート前に<Arguments>～</Arguments>と<WorkingDirectory>～</WorkingDirectory>をご自身の環境に合わせて修正してください。

まとめ

ワークフォルダーの証明書を自動的に更新する方法を紹介してみました。証明書を自動的に更新、設定することで、作業忘れによるワークフォルダーの無効化を防ぐことができます。