Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

SSLテスト用にサーバ証明書を自己発行する(IIS 5.0編)

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2007/08/17
 
対象OS
Windows 2000 Server
WebサイトでSSL通信をサポートするためには、サーバ証明書を作成して、IISに登録する。
テスト用途なら、自己発行型のデジタル証明書でも構わないことが多い。
IIS 5.0向けに自己発行のサーバ証明書を作成するには、証明書ウィザードで証明書情報を生成後、証明書サーバへ送信する。

解説

 IISを使って、暗号化通信をサポートしたWebサイトを実現するには、IISにサーバ証明書をセットアップする。このサーバ証明書は、システムの開発段階で実験的に利用するだけならば、仮のデジタル証明書を使っても問題はない。

 TIPS「SSLテスト用にサーバ証明書を自己発行する(IIS 6.0編)」では、Windows Server 2003のIIS 6.0における設定方法について解説した。IIS 6.0のResource Kitに含まれる、あるツールを実行するだけである。だがWindows 2000 ServerのIIS 5.0ではこのような簡単な方法は利用できず、もう少し複雑な設定手順が必要となる。本TIPSでは、その方法について解説する。

操作方法

 IIS 5.0でサーバ証明書を自己発行するには、まずIISの管理ツールで証明書ウィザードを起動して証明書情報を作成し、次にそれを証明書サーバ(証明書サービス)に送信して証明書を発行させる。最後にその発行された証明書をIISのWebサイトに設定する

手順1―証明書ウィザードによるサーバ情報の入力

 自己発行の証明書を作成するには、まずIISの管理ツールでSSL通信をさせたいWebサイトを選択し、そのプロパティ・ダイアログを表示させる。そして[ディレクトリ セキュリティ]タブの[サーバー証明書]ボタンをクリックする。

サーバ証明書ウィザードの起動
WebサイトにSSL通信を設定するには、SSL対応させたいWebサイトのプロパティ画面から、サーバ証明書ウィザードを起動する。IISの管理ツール([管理ツール]の[インターネット サービス マネージャ]を起動する)で
  証明書作成の対象となるWebサイトのプロパティ・ダイアログを表示させる。この例では、IISにデフォルトでセットアップされている「既定の Web サイト」に対して、SSL通信を設定している。
  [ディレクトリ セキュリティ]タブを選択する。
  これをクリックして証明書ウィザードを起動する。

 [サーバー証明]ボタンをクリックすると、サーバ証明証ウィザードが起動するので、サーバに関する情報を入力する。ただしテスト用サーバならば、サーバ名以外の情報は、それぞれ適当な値を指定しておけばよい(サーバ名は実際のIIS 5.0が稼働しているサーバの名前を指定すること)。

ウィザードによる証明書情報の入力(部分)
証明書ウィザードを起動し、証明書を生成するための基本情報を入力する。ウィザードを終了すると、入力した情報がエンコードされたテキスト・ファイルが作成される。ここでは、ウィザードの途中の入力画面を省略し、まとめのページだけ掲示しておく。
  ウィザードの最初の画面。[次へ]をクリックして、ウィザードを開始する。以後は、指示に従って必要な情報を入力すればよいが、テスト用にサーバ証明書を自己発行するだけならば、それらの入力内容は最低限の適当なものにしておけばよい。ここでは、画面下のような情報()を入力している。
  ウィザードの次の画面。最初にウィザードをきどうするとこのような選択画面が表示されるので、[証明書の新規作成]を選択すること。すでにサーバ証明書が手元にあるなら、[既存の証明書を使用]を選択する。
  作成される証明書要求テキスト・ファイルの名称。ウィザードへ入力された情報はエンコードされ、最終的にはテキスト・ファイルに出力される。この段階では、まだ証明書データそのものが作成されるわけではない。
  発行先のサーバ名。最終的にアクセスするサーバのURLが「https://win2000server/」なら、この発行先の値は「win2000server」とする。FQDNを使い、例えば「https://www.example.co.jp/」とするなら、「www.example.co.jp」と指定しておく。
ドメインに関する情報。サイト名や組織名、部門名、住所情報などを指定するが、テスト用ならば適当な文字列を設定しておけばよい。
  ウィザードで入力した値。テスト用のサーバ証明書の場合は、これらの値は適当なものでよい。

 以上のような情報を指定してサーバ証明書ウィザードを実行すると、次のように、ユーザーの入力した情報がエンコードされたサーバ証明書の要求テキスト・ファイルが作成される。

生成されたサーバ証明書の要求ファイル
ユーザーがサーバ証明書ウィザードで入力した情報は、このようにエンコードされ、テキスト・ファイルに出力される(デフォルトではc:\certreq.txt)。これはサーバ証明書そのものではなく、サーバ証明書を作成するために必要な情報をエンコードしたものであることに注意。これを元に証明書を作成する。

手順2―サーバ証明書の生成

 手順1では、サーバ証明書の要求ファイル(内容はエンコードされたテキスト・ファイル)を作成したが、これはサーバ証明書そのものではない。サーバ証明書を作成するために必要な情報をまとめたものである。実際のサーバ証明書は、この要求ファイルを「証明書サーバ」へ送信し、そこから発行してもらう必要がある。これについては、別TIPSの「証明書サービスでサーバ証明書を発行する」をまとめておいたので、そちらを参照していただきたい。簡単に述べておくと、この要求ファイルをWebブラウザを使って証明書サーバへ送信する。するとサーバ証明書が発行され、ダウンロードできるようになるので、それをローカルのディスク上に保存すればよい。ここでは、サーバ証明書が「c:\server.cer」というファイルに保存されているものとする。

手順3―サーバ証明書の登録

 次は、手順2で作成されたサーバ証明書をIISのWebサイトに登録する。

 IISの管理ツールを起動してSSLを設定したいWebサイトを右クリックし、ポップアップ・メニューから[プロパティ]を選択する。するとWebサイトのプロパティ・ダイアログが表示されるので、手順1の場合と同じように、[ディレクトリ セキュリティ]タブにある[サーバー証明書]ボタンをクリックして[サーバー証明書ウィザード]を起動する。

サーバ証明書ウィザードの起動
サーバ証明書を登録するためにウィザードを起動する。
  先ほどの手順1で証明書要求を作成しているため、Webサーバの状態がこのように「保留中の証明書の要求があります。」となっている。
  これをクリックして次へ進む。

 次の画面では、サーバ証明書の要求を処理し、証明書をインストールさせる。

証明書要求の処理
保留中のサーバ証明書要求の処理を続行し、実際にIISにサーバ証明書をインストールさせる。
  これを選択する。
  これをクリックして次へ進む。

 [次へ]をクリックすると、インストールするサーバ証明書のパスを入力する画面が表示されるので、手順2で作成/ダウンロードしたサーバ証明書のパス(今回はc:\server.cer)を指定する。すると証明書の内容(登録した内容や有効期限などの情報)が表示されるので、それを確認してウィザードを先へ進め、終了させる。

 以上で証明書のインストール作業は終了である。正しく証明書がインストールできると、Webサイトのプロパティ画面が次のように表示されているはずである。Webブラウザで実際に「https://localhost/」などへアクセスして、正しくSSL(https:)で通信できていることを確認しておこう。

サーバ証明書がインストールされたWebサイトのプロパティ
サーバ証明書が正しくインストールされると、SSL通信が有効になり、Webサイトのプロパティがこのように変わる。
  このタブを選択する。
  証明書ウィザードの起動。
  正しくインストールされると、このボタンが有効になる。これをクリックすると、このWebサイトにインストールされた証明書の内容が表示される。
  正しくインストールされると、このボタンが有効になる。SSL通信の設定を変更する。

 なお、自己発行されたサーバ証明書で「https://localhost/」などへアクセスすると、セキュリティの警告ダイアログが表示される。これは、ルート証明書からのパスが存在しないため、証明書の正当性を検証できないという意味である。詳細についてはTIPS「Webサイトのデジタル証明書を確認する」を参照していただきたい。End of Article

  関連リンク
  Certificate Server 2.0 を使用して Windows 2000 IIS 5.0 のテスト環境で SSL を構成する方法 (マイクロソフト サポート技術情報)
  IIS 5.0 の証明書ウィザードを使用した証明書要求ファイルの作成 (マイクロソフト サポート技術情報)
     
「Windows TIPS」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
  • 第538話 がんばれエーアイくん5 (2017/2/21)
     エーアイくんの画像認識装置は、見た目で物体の体積や重さも判別可能。切手の額面も料理の温め時間もバッチリ。他にも……
  • 第537話 おすすめ商品 (2017/2/14)
     ショッピングサイトのおすすめ商品、最近は気になるものばっかり出るのよね〜。なんだか気味が悪いわ……
  • Thunderbirdで証明書がエラーになる場合の対策方法 (2017/2/9)
     Thunderbirdは、独立して証明書を保存・格納している。そのため、証明書に起因するエラーが発生することがある。正しく証明書を扱えるようにする方法を紹介する
  • AzureのWeb AppでPHPのエラーログを記録・保存する (2017/2/8)
     AzureのWeb AppでPHPのエラーログを記録・保存する方法を紹介する。PHPで何らかのエラーや警告が生じると、php_errors.logファイルに記録されるようになる
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH