こんばんは。

早速ですが、今日はAD CS(Active Directory Certificate Services)を展開します。

【えーなんでー？機能増やしたくないですけど！？】

CME環境は既存の計画が出来上がってます。そして、今は統合されてないけど、Windows ADも整ってます。で、SFB Integrattionするのにですね。。。

まずは、AD（Active Directory)環境にAD CSを導入する必要があるんです。＞＜

え？なんで？ってなりますよね。

現在、Skype for Business（旧Lyncサーバ)って、On premisesとOnline（2021終了予定）とありますが、そもそもUCM（United Community Management)をするためのサービス。

Community Managementの内（And 外）統合するためのソリューションですよね。

ということは、基本的にSSLも信頼された第三者認証機関が発行する証明書があることが前提のサービスを提供するものです。

当然、外側では第三者認証機関が発行する証明書が必要ですが、、、内側でもなんちゃってCA局が必要なのです。

そんなことで、SFBサービスを内側で展開する前段階で、内部にもCA局が必要になります。

この辺りは旧来の内側のみ使用設計で使えるExchangeサーバとは違いますね。Exchangeサーバでは自己生成証明書でも運用できてたのに！＞＜

【AD CS展開】

今回は、CSをADに重ねて展開することにします。だって、社内展開しているサーバはAD、Exchangeしかないですし、SFBを別途追加するのに、さらにCSサーバまで用意したくない！！

ということで、ADサーバにログインしてCS機能を追加します。

CSの展開は申し分ないくらい簡単です。やることがほとんどありません。

留意点は次の通りです。

• エンタープライズCAとする
• HASHアルゴリズムはSHA2以上にする。（SHA256でよい）
• 鍵長は2048以上にする

以上、これで展開すればOKです。

【エンタープライズCA】

え？なんで？ってことですね。

これは後々ですが、SFBをExchangeサーバと連携するためです。CA局をエンタープライズCAにすることで、Exchangeサーバの証明書も、このCA局から発行してもらい証明書及びルート証明書の整合性を保つためです。

【HASHアルゴリズムSHA2以上、鍵長2048以上】

これも重要です。

社内電話をiPhoneのSFBクライアントで受話できるようにしたいですね。

そこで、Apple社の条件があるのです。

https://support.apple.com/ja-jp/HT210176

ということで、この条件に見合うようにCA局を作りました。

えーと、作り方Wizardは簡単なので紹介しません！！