MENU
  1. ホーム
  2. Windows Server
  3. Windows Server 2019でのSSL証明書導入とRDPエラー対策を徹底解説

Windows Server 2019でのSSL証明書導入とRDPエラー対策を徹底解説

Windows Server

Windows ServerでSSL証明書を導入する際には、リモートデスクトップ接続時の証明書エラーをはじめ、細かい設定やCSRの正しい作成方法など、意外とつまずきがちなポイントが多々あります。本記事ではWindows Server 2019の環境を例に、具体的な手順や注意点を中心にわかりやすく解説していきます。

目次
  1. リモートデスクトップ接続時の証明書エラーとは?
    1. なぜ証明書のCN/SANとホスト名の一致が重要なのか
  2. CSR作成時のCommon Name(CN)のポイント
    1. FQDNとホスト名の使い分け
    2. 例: サーバー名が「CWRTABLEAU」の場合
  3. Windows ServerでのCSR生成方法の例
  4. SSL証明書のインストール手順(IIS使用例)
    1. 1. 証明書ファイルの準備
    2. 2. IIS Managerでのインポート
    3. 3. Webサイトへのバインド
    4. 4. IISの再起動
  5. リモートデスクトップ用の証明書設定
    1. 1. サーバーマネージャーからの設定
    2. 2. Group Policyによる設定
    3. 3. 接続時のホスト名に注意
  6. 具体的なトラブルシューティングのポイント
    1. 1. DNS設定を再確認
    2. 2. 既存の証明書が優先されている
    3. 3. ローカルコンピュータストアへのインストール漏れ
  7. リモートデスクトップ接続テスト
  8. 内部CAを使う場合の注意点
  9. より強固なセキュリティ設定
    1. 1. RDPポートの変更
    2. 2. ネットワークレベル認証(NLA)の有効化
    3. 3. 多要素認証(MFA)の導入
  10. まとめと今後の展望

リモートデスクトップ接続時の証明書エラーとは?

リモートデスクトップ接続(RDP)を利用してWindows Serverにアクセスする場合、接続時に「このリモート接続は、信頼されていない証明書を使用しています」や「認証エラーが発生しました」などのエラーメッセージが表示されることがあります。これは、サーバー側で使用されている証明書のCN(Common Name)やSAN(Subject Alternative Name)が、実際にアクセスするホスト名と一致していないことが主な原因です。
証明書エラーが発生すると、ユーザーは接続時に警告を無視するか接続を断念するかの選択を迫られ、セキュリティ上もリスクが高まります。そこで、正規のSSL証明書を導入し、RDPの接続先と一致するFQDNで証明書を発行しておくことが望ましいのです。

なぜ証明書のCN/SANとホスト名の一致が重要なのか

証明書は、ある特定のドメイン(またはホスト)に対して発行されます。ブラウザやRDPクライアントが安全に通信できる相手かどうかを確認する際、証明書のCNあるいはSANに書かれているホスト名と、実際にアクセスしているURLやホスト名が合っているかどうかを照合します。もし一致しない場合、「なりすまし」のリスクがあると見なされ、警告やエラーとなるわけです。

CSR作成時のCommon Name(CN)のポイント

SSL証明書を取得する際には、まずCSR(Certificate Signing Request)を作成し、認証局(CA)に提出します。CSRには組織情報や国名、そしてもっとも重要な「どのドメイン(またはホスト)で使用するか」を示すCN(Common Name)が含まれます。

FQDNとホスト名の使い分け

  • FQDN(Fully Qualified Domain Name): 例として「server01.example.com」のように、ドメイン階層をすべて含んだ名前
  • 短いホスト名: 例として「server01」のみのように、ドメイン部を含まない名前

外部からアクセスを行う用途や、正式なインターネット上のドメインで証明書を使う場合は、FQDNを指定する必要があります。たとえば「rdp.example.com」のように、インターネット上でも名前解決できるホスト名でCSRを発行します。一方、社内システムのみで完結し、独自のDNS環境を持っている場合は、内部で通用するFQDNを指定することがあります。

例: サーバー名が「CWRTABLEAU」の場合

質問で挙がっている例では、サーバー名として「CWRTABLEAU」が使われるということですが、これが本当にFQDNとして設定されているのか、あるいは単なるNetBIOS名や内部ホスト名なのかによって対応が異なります。もし「CWRTABLEAU」が社内DNSで「CWRTABLEAU.社内ドメイン.local」のようにフルドメイン化されているなら、CSRのCNをそちらに合わせるのが無難です。
ただし、認証局のポリシーによっては「.local」などの内部ドメインに対して証明書発行が制限される場合もあるため、運用環境に合わせて適切なドメイン名を用意し、そのFQDNをCNやSANに含めましょう。

Windows ServerでのCSR生成方法の例

一般的には「IIS Manager」を使うとCSRを簡単に生成できますが、必須ではありません。Windows Server標準のMMCスナップイン「証明書 (certlm.msc)」を使用してCSRを作成することも可能です。ここでは、IISを使った代表的な手順を簡単にまとめます。

  1. IIS Managerを起動 「スタート」→「Windows 管理ツール」→「Internet Information Services (IIS) Manager」を開きます。
  2. サーバー証明書を選択 左側ペインでサーバー名を選択し、中央ペインにある「サーバー証明書」をダブルクリックします。
  3. 「作成要求の作成」からCSRを生成 右側ペインの「操作」メニュー内にある「ドメイン証明書の作成要求の作成」などの項目をクリックすると、CSR生成ウィザードが起動します。 ここで、Common NameにFQDNを入力し、組織情報を入力してCSRを作成します。
  4. キー長・暗号化設定 2048ビット以上のRSAキーを利用するのが一般的です。よりセキュアにしたければ4096ビットを選ぶこともありますが、パフォーマンスへの影響を考慮しましょう。
  5. CSRファイルを保存 生成されたCSRをテキストファイルとして任意の場所に保存します。これを認証局に提出することで証明書ファイルを取得します。

SSL証明書のインストール手順(IIS使用例)

認証局から発行された証明書ファイル(例: サーバー証明書と中間CA証明書)を入手した後、Windows Serverにインストールします。IIS Managerを使った手順の一例は次のとおりです。

1. 証明書ファイルの準備

認証局から受け取ったZIPファイルやメール添付などに含まれる証明書ファイルをサーバー上に配置します。下記のように複数ファイルがある場合があります:

  • サーバー証明書(例: server.crt)
  • 中間CA証明書(例: intermediate.crt)
  • ルートCA証明書(必要な場合)

もしPFX形式のファイル(秘密鍵を含む一体型ファイル)を受け取った場合は、そのファイルをインポートするだけで基本的にはOKです。

2. IIS Managerでのインポート

  1. IIS Managerを起動し、左側ペインでサーバー名を選択
  2. 中央ペインで「サーバー証明書」をダブルクリック
  3. 右側ペインの「操作」にある「インポート」をクリック
  4. PFXファイルの場合はパスワードを入力し、インポート先の証明書ストア(通常「個人」)を選択
  5. CER(またはCRT)形式の場合は、「証明書の完了」または「証明書のインストール」などのメニューから設定

ポイント: 中間証明書のインストール

一部の環境では、中間CA証明書を正しくインストールしていないと「チェーンが構築できません」といったエラーが発生します。通常は、Windowsが自動で中間証明書を取得してくれることもありますが、手動で「中間証明機関」ストアにインポートしておくと確実です。これにより、クライアント側のブラウザやRDPクライアントでエラーが出にくくなります。

3. Webサイトへのバインド

WebサーバーとしてIISを利用している場合、HTTPS通信を有効化するためにはサイトのバインドを設定します。

  1. 左側ペインで「サイト(Sites)」を展開し、証明書を適用したいサイトを選択
  2. 右側ペインから「バインドの編集(またはバインド)」をクリック
  3. 「追加」を選択して、種類を「https」、使用するIPアドレスとポート(通常443)、そしてインポートした証明書を選択
  4. OKを押して設定完了

4. IISの再起動

最後にサーバー名を選択して右側ペインの「再起動」(または「IISの再起動」)を行います。この操作によりバインド設定が反映され、httpsアクセスが可能となります。
Webサイトにアクセスして証明書の有効性を確認するには、ブラウザで「https://サーバーのFQDN」を開き、アドレスバーや証明書情報をチェックします。正しくインストールされていれば、証明書エラーが表示されないはずです。

リモートデスクトップ用の証明書設定

RDP接続時の証明書エラーを解消する場合、IISの設定だけでは不十分なことがあります。Windows Serverの「リモートデスクトップサービス」で使用される証明書として、インポートしたSSL証明書を割り当てる必要があります。

1. サーバーマネージャーからの設定

  1. 「サーバーマネージャー」を起動し、「ローカルサーバー」または「リモートデスクトップサービス」を選択
  2. 「リモートデスクトップ」の項目をクリックすると、証明書設定に関するリンクが表示される場合があります
  3. RDPで使用する証明書を指定し、正しくインストールしたSSL証明書を選択
  4. 適用後、リモートデスクトップのセッションを再度開いて動作確認

サーバーマネージャーのUIはWindows Serverのバージョンやリモートデスクトップサービスの役割構成によって変化しますが、基本的には「RDPで利用する証明書を選択またはインポートする」画面が用意されています。

2. Group Policyによる設定

複数のWindows Serverやクライアントがある大規模環境では、グループポリシーを使ってRDP用の証明書を自動的に配布・適用する方法もあります。例えば内部CAを運用している場合には、RDP用証明書を自動で発行し、クライアントにも信頼されたCA証明書を配布するようにポリシーを組むことができます。

3. 接続時のホスト名に注意

リモートデスクトップのクライアントで、実際に接続する際には必ず証明書のCNまたはSANに記載されているFQDNと同じホスト名でアクセスする必要があります。たとえば、証明書のCNが「rdp.example.com」であれば、クライアント側で接続先を「rdp.example.com」と入力します。もしサーバーのIPアドレスや異なるホスト名(単なるNetBIOS名など)で接続すると、証明書エラーが出る点には注意が必要です。

具体的なトラブルシューティングのポイント

証明書を正しくインストールしても、RDPの証明書エラーが残ることがあります。原因と対策の例を以下にまとめます。

1. DNS設定を再確認

証明書のCN(またはSAN)に記載されているFQDNを入力しても正常に名前解決できない場合、RDPクライアントは正しいホストに接続できません。社内DNSやホストファイルの設定を確認し、クライアントからFQDNでサーバーにpingが通るかテストしてください。

2. 既存の証明書が優先されている

RDPの構成に古い自己署名証明書が残っていると、それが優先的に使われることがあります。サーバーマネージャーや「リモートデスクトップ構成(MMC)」を確認し、明示的に新しいSSL証明書を選択・割り当てする必要があります。

3. ローカルコンピュータストアへのインストール漏れ

IIS上で証明書をインストールしていても、ローカルコンピュータストア(「個人」フォルダ)に証明書が入っていないケースがあります。RDPでは基本的にローカルコンピュータの「個人」ストアから証明書を参照するため、IISの「サーバー証明書」画面で確認できても、MMC経由で「ローカルコンピュータ\個人」ストアにも登録されているかを確認してください。

# PowerShellを使ってローカルコンピュータ証明書ストアを確認する例
Get-ChildItem -Path Cert:\LocalMachine\My

上記のようにPowerShellで確認すると、インストールされている証明書の拇印などが一覧表示されます。目的の証明書が含まれているかどうかをチェックしましょう。

リモートデスクトップ接続テスト

設定完了後は、クライアントマシンからRDPクライアントを起動し、以下の手順で接続テストを行ってみてください。

  1. 接続先にFQDNを指定 例: 「CWRTABLEAU.example.com」といった形で、証明書に記載されているFQDNを利用します。
  2. 証明書エラーの有無を確認 通常は証明書エラーのポップアップが表示されない状態が理想です。表示された場合は詳細を確認し、CNの不一致や有効期限切れなどの原因を特定します。
  3. 証明書情報をダブルチェック RDP接続後、タスクバー等で鍵マークを確認する、または「接続情報」の詳細を確認することで、使用されている証明書の情報(拇印や発行者など)を参照できます。

内部CAを使う場合の注意点

企業内でActive Directoryを運用している場合には、社内の認証局(AD CS: Active Directory Certificate Services)を構築していることがあります。この場合は外部の商用CAではなく、内部CAから証明書を取得することも可能です。ただし、クライアントマシンにも内部CAのルート証明書を信頼させる必要があります。グループポリシーや手動インストールなどでルート証明書を配布しないと、クライアント側で「この証明書は信頼されていません」というエラーが生じることがあります。

より強固なセキュリティ設定

SSL証明書を導入しただけでは、すべてのセキュリティ課題が解決するわけではありません。併せて以下のような設定を行うと、より安心してサーバーを運用できます。

1. RDPポートの変更

既定ではRDPはTCPの3389番ポートを使用しますが、攻撃者に狙われやすいため、環境に応じてポート番号を変更し、ファイアウォールを正しく構成することでリスクを下げることができます。ただし、ポートを変更すると利用者も接続先ポートを明記する必要があるため、運用コストとのトレードオフを考慮しましょう。

2. ネットワークレベル認証(NLA)の有効化

リモートデスクトップ接続を行う前にユーザー認証を行う「ネットワークレベル認証(NLA)」を有効にすると、不正アクセスのリスクを軽減できます。Windows Server 2019では既定で有効になっていることが多いですが、グループポリシーや「システムのプロパティ」→「リモート」タブから設定を確認してください。

3. 多要素認証(MFA)の導入

Azure ADやサードパーティのソリューションを組み合わせ、RDP接続にも多要素認証を導入すると、万が一のパスワード漏洩のリスクを大幅に低減できます。

まとめと今後の展望

Windows Server 2019においてSSL証明書を正しくインストールし、リモートデスクトップで使用する証明書として適切に割り当てることで、ユーザーが接続時に警告メッセージを受け取ることなく、安全に通信できる環境を整えることが可能です。CSRのCNやSANにはFQDNを正しく指定し、運用中のドメインや証明書の発行元ポリシーとの整合性を保つことが何より重要です。
また、RDP用の証明書エラーがなかなか解消しない場合は、DNS設定や既存の証明書設定の優先度など、サーバーの構成を再度確認するとよいでしょう。併せて、ネットワークのセキュリティ強化や運用ポリシーの策定を並行して進めることで、より安全かつ効率的なリモート管理を実現できます。

Windows Server
リモートデスクトップ ssl Windows Server

コメント

コメントする

目次
  1. リモートデスクトップ接続時の証明書エラーとは?
    1. なぜ証明書のCN/SANとホスト名の一致が重要なのか
  2. CSR作成時のCommon Name(CN)のポイント
    1. FQDNとホスト名の使い分け
    2. 例: サーバー名が「CWRTABLEAU」の場合
  3. Windows ServerでのCSR生成方法の例
  4. SSL証明書のインストール手順(IIS使用例)
    1. 1. 証明書ファイルの準備
    2. 2. IIS Managerでのインポート
    3. 3. Webサイトへのバインド
    4. 4. IISの再起動
  5. リモートデスクトップ用の証明書設定
    1. 1. サーバーマネージャーからの設定
    2. 2. Group Policyによる設定
    3. 3. 接続時のホスト名に注意
  6. 具体的なトラブルシューティングのポイント
    1. 1. DNS設定を再確認
    2. 2. 既存の証明書が優先されている
    3. 3. ローカルコンピュータストアへのインストール漏れ
  7. リモートデスクトップ接続テスト
  8. 内部CAを使う場合の注意点
  9. より強固なセキュリティ設定
    1. 1. RDPポートの変更
    2. 2. ネットワークレベル認証(NLA)の有効化
    3. 3. 多要素認証(MFA)の導入
  10. まとめと今後の展望