特集
» 2013年01月23日 19時04分 公開

WindowsのIIS Webサーバに証明書をインストールする:実践! SSL証明書の買い方・選び方 (3/3)

[島田広道,デジタルアドバンテージ]
前のページへ 1|2|3       

認証用メールを受け取る(承認メールの受信と承認)

 代金支払いを完了し、ドメインキーパー側がそれを確認すると、認証局であるグローバルサインから認証用メールが届く。宛先は、申込み時に指定したメール・アドレスである。メールに記載されている手続き承認のためのURLをダブルクリックして、Webブラウザで開く。

届いた認証用メール(承認要請メール) 届いた認証用メール(承認要請メール)
  (1)この承認要請メールは販売代理店(ドメインキーパー)からではなく認証局(グローバルサイン)から届く。
  (2)指定したメール・アドレス(本稿では「admin@<対象ドメイン>」)宛に本メールが届いていることが分かる。
  (3)コモン・ネームが申し込みの通りか確認する。
  (4)これをクリックすると、手続き承認のためのWebページが表示される。

 手続き承認のためのWebページが表示されたら、[承認する]ボタンをクリックする。

認証局に対して申し込みを承認する 認証局に対して申し込みを承認する
  (1)内容が申し込みの通りか確認する。
  (2)これをクリックすると本申し込みを承認したことになる。同時に認証局が証明書の発行処理を始めることになる。

 これで認証局が証明書の発行処理を進めるので、証明書を含むメールが届くまで待つ。

メールで納品された証明書をテキスト・ファイルに保存する

 しばらくすると、ドメインキーパーの注文管理アカウントに登録したメール・アドレス宛に、証明書を含むメールが届く。メール本文には複数の証明書が記載されているが、IISの場合は「PKCS7形式」の「-----BEGIN PKCS7-----」から「-----END PKCS7-----」までをコピーし、メモ帳などのテキスト・エディタにペーストして、テキスト・ファイルとして保存する。

証明書が記されたメール 証明書が記されたメール
  (1)このメールは販売代理店(ドメインキーパー)から届く。
  (2)このメールのあて先は、ドメインキーパーのアカウント登録時に指定したメール・アドレス。
  (3)アルファSSLの場合、対象ドメインの証明書だけではなく、中間証明書もWebサーバにインストールする必要がある。こちらの形式を利用すると、両方の証明書を同時にインストールできる。
  (4)「-----BEGIN PKCS7-----」から「-----END PKCS7-----」まで(これらの行を含む)をコピーし、メモ帳にペーストしてテキスト・ファイルとして保存する。

 保存した証明書ファイルは、CSRを発行したサーバにコピーしておく。

IISに証明書をインストールする

 あとはIISの設定だけだ。まずCSR発行時と同様にIISマネージャの「サーバー証明書」画面を開き、操作メニューから[証明書の要求の完了]をクリックする。

SSL証明書の要求を完了させる(a) SSL証明書の要求を完了させる(a)
  (1)これをクリックすると証明書ファイルを指定するためのダイアログが表示される。

 「証明書の要求を完了する」ダイアログが表示されたら、証明書ファイルのパスとフレンドリ名(管理のために付ける名前)を指定して[OK]ボタンをクリックする。

SSL証明書の要求を完了させる(b) SSL証明書の要求を完了させる(b)
  (1)証明書を保存したテキスト・ファイルを指定する。
  (2)管理しやすいような名称を指定する。

 ここで次のエラー・メッセージが表示されることがよくある。PKCS7形式で証明書をインストールしようとすると発生する既知の問題である。

IIS 7.xへ証明書をインストールする際によく生じるエラー IIS 7.xへ証明書をインストールする際によく生じるエラー
PKCS7形式でインストールしようとすると、このエラーがよく発生する。しかし実際には、指定したフレンドリ名が保存されないことを除いて、正しくインストールされている。OKボタンをクリックしてこれを閉じたら、「証明機関の応答を指定します」ダイアログでは[キャンセル]ボタンをクリックして閉じる。

 実際には証明書はインストールされているはずなので、[OK]ボタンを押してメッセージ・ボックスを閉じ、1つ前の証明書ファイル指定画面に戻るので、[キャンセル]ボタンをクリックする。元のIISマネージャの画面に戻り、[F5]キーを押すと、認証局から発行されたSSL証明書が証明書一覧に現れる。

正しく組み込まれたSSL証明書 正しく組み込まれたSSL証明書
  (1)認証局から発行されたSSL証明書がこの一覧に加わっていることが分かる。ダブルクリックすると、証明書の内容を確認できる。

 一覧にある証明書をダブルクリックすると、その内容が表示されるので、有効期限やコモン・ネームを確認しておこう。

証明書の内容を確認する 証明書の内容を確認する
  (1)購入時に指定した通りの有効期間になっているか確認する。
  (2)ここまでの手順でインストールした場合、必ず秘密キーを持っているはずだ。
  (3)フィールドから「サブジェクト」を選ぶと、「CN」すなわちコモン・ネームを確認できる。対象ドメインのFQDNが設定されているはずだ。なお、CSRで指定した都道府県(「S」)や組織(「O」)などが見あたらないが、これはドメイン認証型証明書の仕様である。
  (4)ルート証明書。
  (5)中間証明書。
  (6)この証明書。

Webサイトに証明書を割り当ててHTTPSを有効にする

 SSL証明書をIISにインストールしたら、IISマネージャの左ペインのツリーから対象のWebサイトを選び、操作メニューから[バインド]をクリックする。すると次の画面が表示されるので、インストールした証明書をhttpsに割り当てる。

httpsのバインドを追加して証明書を選択する httpsのバインドを追加して証明書を選択する
  (1)これをクリックする。
  (2)これを選ぶ。
  (3)先ほどインストールした証明書を選ぶ。
  (4)(3)に同じ名称の証明書が複数あった場合は、これをクリックすることで、選択した証明書の詳細を確認・識別できる。

 あとはファイアウォールで443/tcpポートを開いて、外部からhttpsでIISが着信できるようにする。


 商用の認証局から証明書を購入してWebサーバにインストールするまで、手順は確かに多い。ただ、コモン・ネームとドメイン名の一致や認証用メールの受信、IISへのインストール時のエラー対処といった勘所さえ押さえれば、ほかの作業はそう難しくない。またドメイン認証型の証明書であれば、ほかの認証局でも本稿の申し込み手順説明は参考になるだろう。

「運用」のインデックス

運用

前のページへ 1|2|3       

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。