Tweet

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ 証明書サービスでサーバ証明書を発行する → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2007/08/17 　 対象OS Windows 2000 Server

■ WebサイトでSSL通信を行うためには、サーバ証明書が必要になる。 ■ サーバ証明書は、証明書サービスをインストールして作成する。 ■ 証明書の作成要求やダウンロードはWebブラウザ経由で行う。 ■ ユーザーからの証明書作成要求は、デフォルトではいったん保留されるので、管理者が承認して発行する。

　IIS 5.0を使って、暗号化通信をサポートしたWebサイトを実現するには、IISにサーバ証明書をセットアップする。このサーバ証明書は、システムの開発段階で実験的に利用するだけならば、仮のデジタル証明書を使っても問題はない。

　TIPS「SSLテスト用にサーバ証明書を自己発行する（IIS 5.0編）」では、Windows 2000 ServerのIIS 5.0におけるSSL通信のための設定方法について解説した。IISの管理ツールを使って、Webサイトにサーバ証明書を登録（インストール）すればよいのであるが、そのサーバ証明書は、Windows OSの「証明書サービス」を使って作成する。

　本TIPSでは、Window 2000 ServerのIIS 5.0で利用できる、自己発行型のサーバ証明書の作成方法について解説する。具体的には、Windows 2000 Serverに証明書サービスをインストールし、それを使って、サーバ証明書を発行する。

手順1―証明書サービスのインストール

　サーバ証明書を発行するには、最初にWindows 2000 Serverに証明書サービスをインストールする。このためには［コントロール パネル］の［アプリケーションの追加と削除］で［Windows コンポーネントの追加と削除］を起動し、［証明書サービス］をインストールする。

証明書サービスのインストール

サーバ証明書の発行は、「証明書サービス」によって行う。［コントロール パネル］の［アプリケーションの追加と削除］で［Windows コンポーネントの追加と削除］を起動し、［証明書サービス］をインストールする。

このチェック・ボックスをオンにする。 　 これをクリックしてサービスをインストールする。

　上の画面で［次へ］をクリックすると、証明書サービスに関する設定画面（ルート証明機関の作成画面）が表示される。ここでは、テスト用にサーバ証明書を発行するだけなので、適当な組織名やドメイン名を使ってウィザードを終了させる。

作成する証明機関（CA）の選択

証明書サービスをインストールすると、最初に、ルートとなる証明機関（ルートCA）を作成する。このウィザード画面では、そのルートCAの情報を入力する。

組織内で最初のCAは、このルートCAを選択する。テスト用に証明書を発行するだけならば、すべて独立したルートCAでよい。 　 これをクリックして次へ進む。

　次はルート証明機関（ルートCA）の情報（名前や組織名、所在地など）を指定するが、テスト用途なら、最低限の情報だけを入力しておけばよい。

証明機関（CA）の識別情報の指定

ここには証明機関の名称や組織名、所在地などの情報を指定する。テスト用なら、［次へ］ボタンが有効になるだけの最低限の情報を入力しておけばよい。

証明機関の名称。 　 組織名。 　 これが有効になれば、クリックして証明書サービス（およびルート証明機関）のインストール作業を完了させる。

　以上の情報を入力後、［次へ］をクリックして、証明書サービスのインストール作業を完了させる。正しくインストールが完了すると、「Certificate Services」という名称のサービスが起動し、いくつかの管理ツールもインストールされているはずである。

手順2―サーバ証明書の発行要求の送信

　証明書サービスがインストールできれば、サーバ証明書を発行できる準備が整っている。サーバ証明書を発行するには、まずIISの管理ツールでサーバ証明書の要求ファイル（テキスト・ファイル）を作成する。この要求ファイルを作成する具体的な手順はTIPS「SSLテスト用にサーバ証明書を自己発行する（IIS 5.0編）」の手順1を参照していただきたい。IISのサーバ証明書ウィザードを使って、次のような要求ファイルを作成しておく。ここではc:\certreq.txtにファイルが保存されているものとする。

生成されたサーバ証明書の要求ファイル例

ユーザーがサーバ証明書ウィザードで入力した情報は、このようにエンコードされ、テキスト・ファイルに出力される（デフォルトではc:\certreq.txt）。これはサーバ証明書そのものではなく、サーバ証明書を作成するために必要な情報をエンコードしたものである。

　以下の操作では、このファイルを元にサーバ証明書を作成してみる。

　サーバ証明書を作成するには、まずWebブラウザで証明書サービスの管理画面に接続する。例えばローカル・コンピュータ上の証明書サービスに接続するには、「http://localhost/certsrv/」を開く。そして［証明書の要求］というタスクを選択する。

証明書サービスへの接続と証明書作成要求の送信

サーバ証明書を作成するには、Webブラウザで証明書サービスへ接続し、証明書の作成要求を送信する。

証明書サービスをインストールすると、このように、「/certsrv」というURLで証明書サービスへアクセスできるようになる。 　 これはサービスのインストール時に指定した、ルート認証機関の名称。 　 サーバ証明書を作成するには、このタスクを選択する。 　 これをクリックして、先へ進む。

　次に、どのような証明書を要求するかを選択する。デフォルトではユーザー証明書の要求になっているので、［要求の詳細設定］でサーバ証明書の情報を入力する。

要求の種類の選択

サーバ証明書を作成するには、［要求の詳細設定］を選択する。

こちらを選択する。 　 先へ進む。

　次は、証明書の要求のデータを送信する方法を選択する。

証明書の要求の詳細設定

要求する証明書のデータをどうやって渡すかを指定する。

要求ファイルを使う場合は、これを選択する。 　 先へ進む。

　次の画面では、先ほどの要求ファイル（c:\certreq.txt）の内容をすべて選択し、コピー＆ペーストしてフォームに貼り付ける。このとき、先頭の「-----BEGIN NEW CERTIFICATE REQUEST-----」から、最後の「-----END NEW CERTIFICATE REQUEST-----」の行まで含めて、すべてコピーすること。

要求の送信

先に用意した要求ファイルの内容を、フォームに貼り付ける。

さきほどの要求ファイル（c:\certreq.txt）をメモ帳などで開き（テキスト・ファイルなので、メモ帳で開くことができる）、その内容を全部選択してコピー後、このフィールドへ貼り付ける。 　 先へ進む。

　［送信］をクリックすると、証明書の作成要求が証明書サービスに送信される。正しく受け付けられると、次のような画面が表示されるはずである。

サーバ証明書の作成要求の送信完了画面

要求の送信が正しく受け付けられると、このようなダイアログが表示される。

要求が送信されたので、証明書の管理者が承認／発行するまで、しばらく待っていただきたい、というメッセージ。デフォルトでは、証明書はすぐには発行されないようになっている。

　サーバ証明書の作成要求は、デフォルトではすぐには処理されず、いったんサーバの要求キュー（待ち行列）へ入れられる。それを管理者が手動で承認して初めて処理される。

手順3―保留中の要求の許可

　ユーザーから送信されたサーバ証明書の作成要求は、（デフォルトでは）証明書サービスのキューに入っているので、次はこれを承認して、実際に証明書を発行させる。

　保留中の証明書を発行するには、まず［プログラム］-［管理ツール］の［証明機関］を起動し、［保留中の要求］という項目を確認する。そして、保留中の要求を［発行］する。

保留中の要求の承認

ユーザーから送信されたサーバ証明書の作成要求は、（デフォルトでは）証明書サービスのキューに入っているので、これを承認する。この設定を変更して、要求された証明書を（管理者の操作なしに）すぐに発行させることも可能である。

これをクリックする。すると右側に、現在保留中の要求の一覧が表示される。 　 送信されたサーバ証明書の作成要求。 　 要求を右クリックして、ポップアップ・メニューから［すべてのタスク］-［発行］を選択すると、実際にサーバ証明書が作成され、ダウロード可能な状態になる。

手順4―サーバ証明書のダウンロード

　管理者によって［発行］の操作が行われると、実際に証明書が作成され、ダウンロード可能になる。作成されたサーバ証明書をダウンロードするには、またWebブラウザで証明書サービスへ接続する。

証明書のダウンロードの指示

承認され、発行されたサーバ証明書は、Webブラウザを使ってダウンロードし、ローカルのディスク上などへ保存できる。まずWebブラウザで証明書サービスの管理画面（http://localhost/certsrv/）へ接続する。

証明書をダウンロードするにはこれを選択する。 　 先へ進む。

　すると、発行済みで、ダウンロード可能になっている証明書（「保存された要求証明書」）の一覧が表示されるので、必要なものを選択してダウンロードする。

発行済みの証明書の確認

この画面では、発行済みで、ダウンロード可能になっている証明書の一覧が表示されるので、それを選択してダウンロードする。

承認（発行）済みの証明書。 　 先へ進む。

　次の画面では、ダウンロード用のリンクが表示されるので、クリックしてローカルのディスク上に保存する。

証明書のダウンロード

このページでは、ダウンロード用のリンクが表示されるので、それをクリックし、ローカルのディスク上に保存する。

これを選択する。 　 これをクリックしてダウンロードする（すぐ下にある「CA証明書のパスのダウンロード」というリンクではない）。

　上記の画面にある［CA証明書のダウンロード］をクリックすると、実際の証明書（*.cerファイル）がダウンロードできる。保存先を指定するダイアログが表示されるので、適当な場所を指定し、保存する。通常は「*.cer」という拡張子のまま保存しておけばよい。

証明書の保存

［CA証明書のダウンロード］というリンクをクリックすると、通常はこのような保存ダイアログが表示されるので、適当な場所へ保存しておく。

ダウンロードされるファイル名のデフォルト。名前は変えてもよいが、ファイルの拡張子は「.cer」のままにしておくのがよい。 　 これをクリックしてダウンロードする。

この記事と関連性の高い別のWindows TIPS SSLテスト用にサーバ証明書を自己発行する（IIS 5.0編） WebサーバにSSLの証明書が正しくインストールされているか確認する Webサイトのデジタル証明書を確認する メーラにデジタル証明書を設定する（Thunderbird編） メーラにデジタル証明書を設定する（Outlook Express編） メーラにデジタル証明書を設定する（Outlook編） SSLテスト用にサーバ証明書を自己発行する（IIS 6.0編） 無料でデジタル証明書を取得する このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード