Windowsの証明書サービスでサーバ証明書を発行する:Tech TIPS
WebサイトでSSL通信を行うためには、サーバ証明書が必要になる。サーバ証明書は、証明書サービスをインストールして作成する。証明書の作成要求やダウンロードはWebブラウザ経由で行う。ユーザーからの証明書作成要求は、デフォルトではいったん保留されるので、管理者が承認して発行する。
対象OS:Windows 2000 Server
解説
IIS 5.0を使って、暗号化通信をサポートしたWebサイトを実現するには、IISにサーバ証明書をセットアップする。このサーバ証明書は、システムの開発段階で実験的に利用するだけならば、仮のデジタル証明書を使っても問題はない。
TIPS「SSLテスト用にサーバ証明書を自己発行する(IIS 5.0編)」では、Windows 2000 ServerのIIS 5.0におけるSSL通信のための設定方法について解説した。IISの管理ツールを使って、Webサイトにサーバ証明書を登録(インストール)すればよいのであるが、そのサーバ証明書は、Windows OSの「証明書サービス」を使って作成する。
本TIPSでは、Window 2000 ServerのIIS 5.0で利用できる、自己発行型のサーバ証明書の作成方法について解説する。具体的には、Windows 2000 Serverに証明書サービスをインストールし、それを使って、サーバ証明書を発行する。
操作方法
●手順1―証明書サービスのインストール
サーバ証明書を発行するには、最初にWindows 2000 Serverに証明書サービスをインストールする。このためには[コントロール パネル]の[アプリケーションの追加と削除]で[Windows コンポーネントの追加と削除]を起動し、[証明書サービス]をインストールする。
証明書サービスのインストールサーバ証明書の発行は、「証明書サービス」によって行う。[コントロール パネル]の[アプリケーションの追加と削除]で[Windows コンポーネントの追加と削除]を起動し、[証明書サービス]をインストールする。
(1)このチェック・ボックスをオンにする。
(2)これをクリックしてサービスをインストールする。
上の画面で[次へ]をクリックすると、証明書サービスに関する設定画面(ルート証明機関の作成画面)が表示される。ここでは、テスト用にサーバ証明書を発行するだけなので、適当な組織名やドメイン名を使ってウィザードを終了させる。
作成する証明機関(CA)の選択証明書サービスをインストールすると、最初に、ルートとなる証明機関(ルートCA)を作成する。このウィザード画面では、そのルートCAの情報を入力する。
(1)組織内で最初のCAは、このルートCAを選択する。テスト用に証明書を発行するだけならば、すべて独立したルートCAでよい。
(2)これをクリックして次へ進む。
次はルート証明機関(ルートCA)の情報(名前や組織名、所在地など)を指定するが、テスト用途なら、最低限の情報だけを入力しておけばよい。
証明機関(CA)の識別情報の指定ここには証明機関の名称や組織名、所在地などの情報を指定する。テスト用なら、[次へ]ボタンが有効になるだけの最低限の情報を入力しておけばよい。
(1)証明機関の名称。
(2)組織名。
(3)これが有効になれば、クリックして証明書サービス(およびルート証明機関)のインストール作業を完了させる。
以上の情報を入力後、[次へ]をクリックして、証明書サービスのインストール作業を完了させる。正しくインストールが完了すると、「Certificate Services」という名称のサービスが起動し、いくつかの管理ツールもインストールされているはずである。
●手順2―サーバ証明書の発行要求の送信
証明書サービスがインストールできれば、サーバ証明書を発行できる準備が整っている。サーバ証明書を発行するには、まずIISの管理ツールでサーバ証明書の要求ファイル(テキスト・ファイル)を作成する。この要求ファイルを作成する具体的な手順はTIPS「SSLテスト用にサーバ証明書を自己発行する(IIS 5.0編)」の手順1を参照していただきたい。IISのサーバ証明書ウィザードを使って、次のような要求ファイルを作成しておく。ここではc:\certreq.txtにファイルが保存されているものとする。
生成されたサーバ証明書の要求ファイル例ユーザーがサーバ証明書ウィザードで入力した情報は、このようにエンコードされ、テキスト・ファイルに出力される(デフォルトではc:\certreq.txt)。これはサーバ証明書そのものではなく、サーバ証明書を作成するために必要な情報をエンコードしたものである。
以下の操作では、このファイルを元にサーバ証明書を作成してみる。
サーバ証明書を作成するには、まずWebブラウザで証明書サービスの管理画面に接続する。例えばローカル・コンピュータ上の証明書サービスに接続するには、「http://localhost/certsrv/」を開く。そして[証明書の要求]というタスクを選択する。
証明書サービスへの接続と証明書作成要求の送信サーバ証明書を作成するには、Webブラウザで証明書サービスへ接続し、証明書の作成要求を送信する。
(1)証明書サービスをインストールすると、このように、「/certsrv」というURLで証明書サービスへアクセスできるようになる。
(2)これはサービスのインストール時に指定した、ルート認証機関の名称。
(3)サーバ証明書を作成するには、このタスクを選択する。
(4)これをクリックして、先へ進む。
次に、どのような証明書を要求するかを選択する。デフォルトではユーザー証明書の要求になっているので、[要求の詳細設定]でサーバ証明書の情報を入力する。
要求の種類の選択次は、証明書の要求のデータを送信する方法を選択する。
証明書の要求の詳細設定次の画面では、先ほどの要求ファイル(c:\certreq.txt)の内容をすべて選択し、コピー&ペーストしてフォームに貼り付ける。このとき、先頭の「-----BEGIN NEW CERTIFICATE REQUEST-----」から、最後の「-----END NEW CERTIFICATE REQUEST-----」の行まで含めて、すべてコピーすること。
要求の送信先に用意した要求ファイルの内容を、フォームに貼り付ける。
(1)さきほどの要求ファイル(c:\certreq.txt)をメモ帳などで開き(テキスト・ファイルなので、メモ帳で開くことができる)、その内容を全部選択してコピー後、このフィールドへ貼り付ける。
(2)先へ進む。
[送信]をクリックすると、証明書の作成要求が証明書サービスに送信される。正しく受け付けられると、次のような画面が表示されるはずである。
サーバ証明書の作成要求の送信完了画面要求の送信が正しく受け付けられると、このようなダイアログが表示される。
(1)要求が送信されたので、証明書の管理者が承認/発行するまで、しばらく待っていただきたい、というメッセージ。デフォルトでは、証明書はすぐには発行されないようになっている。
サーバ証明書の作成要求は、デフォルトではすぐには処理されず、いったんサーバの要求キュー(待ち行列)へ入れられる。それを管理者が手動で承認して初めて処理される。
●手順3―保留中の要求の許可
ユーザーから送信されたサーバ証明書の作成要求は、(デフォルトでは)証明書サービスのキューに入っているので、次はこれを承認して、実際に証明書を発行させる。
保留中の証明書を発行するには、まず[プログラム]-[管理ツール]の[証明機関]を起動し、[保留中の要求]という項目を確認する。そして、保留中の要求を[発行]する。
保留中の要求の承認ユーザーから送信されたサーバ証明書の作成要求は、(デフォルトでは)証明書サービスのキューに入っているので、これを承認する。この設定を変更して、要求された証明書を(管理者の操作なしに)すぐに発行させることも可能である。
(1)これをクリックする。すると右側に、現在保留中の要求の一覧が表示される。
(2)送信されたサーバ証明書の作成要求。
(3)要求を右クリックして、ポップアップ・メニューから[すべてのタスク]-[発行]を選択すると、実際にサーバ証明書が作成され、ダウロード可能な状態になる。
●手順4―サーバ証明書のダウンロード
管理者によって[発行]の操作が行われると、実際に証明書が作成され、ダウンロード可能になる。作成されたサーバ証明書をダウンロードするには、またWebブラウザで証明書サービスへ接続する。
証明書のダウンロードの指示承認され、発行されたサーバ証明書は、Webブラウザを使ってダウンロードし、ローカルのディスク上などへ保存できる。まずWebブラウザで証明書サービスの管理画面(http://localhost/certsrv/)へ接続する。
(1)証明書をダウンロードするにはこれを選択する。
(2)先へ進む。
すると、発行済みで、ダウンロード可能になっている証明書(「保存された要求証明書」)の一覧が表示されるので、必要なものを選択してダウンロードする。
発行済みの証明書の確認次の画面では、ダウンロード用のリンクが表示されるので、クリックしてローカルのディスク上に保存する。
証明書のダウンロードこのページでは、ダウンロード用のリンクが表示されるので、それをクリックし、ローカルのディスク上に保存する。
(1)これを選択する。
(2)これをクリックしてダウンロードする(すぐ下にある「CA証明書のパスのダウンロード」というリンクではない)。
上記の画面にある[CA証明書のダウンロード]をクリックすると、実際の証明書(*.cerファイル)がダウンロードできる。保存先を指定するダイアログが表示されるので、適当な場所を指定し、保存する。通常は「*.cer」という拡張子のまま保存しておけばよい。
証明書の保存[CA証明書のダウンロード]というリンクをクリックすると、通常はこのような保存ダイアログが表示されるので、適当な場所へ保存しておく。
(1)ダウンロードされるファイル名のデフォルト。名前は変えてもよいが、ファイルの拡張子は「.cer」のままにしておくのがよい。
(2)これをクリックしてダウンロードする。
■この記事と関連性の高い別の記事
- SSLテスト用にサーバ証明書を自己発行する(IIS 5.0編)(TIPS)
- Windowsでリモートデスクトップ接続のサーバに「正しい」証明書を割り当てる(TIPS)
- Windowsにインストールされている電子証明書を確認する(GUI編)(TIPS)
- WebサーバーにSSLの証明書が正しくインストールされているか確認する(TIPS)
- WindowsでWebサイトのデジタル証明書を確認する(自己発行されたデジタル証明書に注意)(TIPS)
- Windowsで「不正なCAルート証明書」を確認して削除する(TIPS)
- メーラにデジタル証明書を設定する(Thunderbird編)(TIPS)
- メーラにデジタル証明書を設定する(Outlook Express編)(TIPS)
- メーラにデジタル証明書を設定する(Outlook編)(TIPS)
- Windows上で、証明書や秘密鍵をPEM形式に変換してエクスポートする(TIPS)
関連記事
- SSLテスト用にサーバ証明書を自己発行する(IIS 5.0編)
Windowsでリモートデスクトップ接続のサーバに「正しい」証明書を割り当てる
Windowsにインストールされている電子証明書を確認する(GUI編)
WebサーバーにSSLの証明書が正しくインストールされているか確認する
WindowsでWebサイトのデジタル証明書を確認する(自己発行されたデジタル証明書に注意)
Windowsで「不正なCAルート証明書」を確認して削除する
- メーラにデジタル証明書を設定する(Thunderbird編)
- メーラにデジタル証明書を設定する(Outlook Express編)
- メーラにデジタル証明書を設定する(Outlook編)
Windows上で、証明書や秘密鍵をPEM形式に変換してエクスポートする
Copyright© Digital Advantage Corp. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。