第4回　電子署名導入プラン サーバ編その2
　　　　　〜IISでの電子署名の組み込み〜

池谷千尋 ネットマークス 2001/12/22

連載ロードマップ 第1回　電子署名で何が変わる？ 第2回　導入プランを立てよう！ 第3回　電子署名導入プラン サーバ編その1 第4回　電子署名導入プラン サーバ編その2 第5回　電子署名導入プラン クライアント編

　前回「第3回 電子署名導入プラン サーバ編その1」は、Webサーバへのデジタル証明書適用などについに解説した。今回は、実際の手順を追って、証明書サービスの申し込み、 Webサーバへの組み込み、SSLの解説などを行う。

証明書サービスの申し込み

　サービスベンダにより証明書の申請手順や方法は異なるが、ここでは実際に、ベリサインの申請フロー（VeriSign）を例に見ていくことにする。

●Webサーバ証明書を申請してみよう

　Webサーバ証明書の申し込みは以下のような流れになる。

1. 申請の準備
   申請に先立って、正しくWebサーバが設定されていることはいうまでもないが、大前提となるのがWebサーバの名前（コモンネーム）であり、使用されるドメインの所有者がだれなのかを確認しておく必要がある。例えば、サーバ名／URLの名称はwwwだとして、それに続くドメイン名がaabbcc.co.jpの場合、aabbcc.co.jpを名乗る正当な権利の持ち主でないと証明書を発行できない。それには、以下の条件が必要である。
   
   

   ドメインの所有者 の条件	確認方法
   自社のドメイン	申請書の情報で確認する。
   ドメインの所有者 から 依頼／委託されて 申請する	ドメイン使用許諾書などを所有者に書いてもらう。

   
   　　
2. ドメイン名の確認
   申請するドメイン名が、正しいものであるか確認する。
   
   
3. 証明書発行リクエスト（CSR）作成
   WebサーバにてCSRを生成する。方法については、後述の「Webサーバへの証明書の組み込み」の項を参照。
   
   
4. 申請
   オンラインでの登録申請を行うため。上記（3）で生成したCSRが、NewKeyRQ.txtに保管されているので、Notepadなどのテキストエディタで開き、「-----BEGIN CERTIFICATE REQUEST-----」 から、「-----END CERTIFICATE REQUEST-----」までを、テキストファイルに書き出す。これが提出するCSRになる。方法については、後述の「Webサーバへの証明書の組み込み」の項を参照。
   
   

   NewKeyRQ.txtにCSRが生成される（画像拡大）

   
   次に、そのCSR をWeb上の申請画面（下記画面）に貼り付けて送信する。方法については、後述の「Webサーバへの証明書の組み込み」の項を参照。
   
   

   CSRを貼り付けて送信（画像拡大）

   
   続いて、CSRが送信されると、以下のように内容が表示される。
   
   

   CSRの内容（画像拡大）

   
   さらに、Webサーバのベンダの指定と証明書の再取得や更新の際に必要となるチャレンジ・フレーズを入力する。チャレンジ・フレーズを必要とする機会は、通常何事もなければ更新のタイミング（1年後）までこないので、忘れずにしっかり保管する必要がある。
   
   

   チャレンジ・フレーズを入力（画像拡大）

   
   続いて、申請者の情報を入力する。
   
   

   申請者の情報の入力（画像拡大）

   
   技術管理担当者や事務手続き担当者の情報を入力し、さらにCSRの生成やデジタルIDのインストールなど技術的作業の担当者情報も入力する。発行されたデジタルIDは、技術管理担当者に送信され、更新時も技術管理担当者に通知される。また、技術管理担当者は、万が一デジタルIDが危殆化した際には、日本ベリサインに知らせる責任がある点に注意（技術管理担当者は、申請者と同一の会社に所属していなくてもよい）。
   
   

   技術管理担当者情報の入力

   
   
5. 代金払い込み
   オンラインの手続きが終了すると、サーバID発行費用に相当する代金を指定の口座へ振り込む。当然だが、入金確認が完了しないと申請は処理されない。会社で取得する場合は、社内手続き上見積もり書が必要な場合が多いが、そんなニーズにも「オンラインお見積書発行」サービスで対応している。
   
   
6. 申請書類の送付（郵送）
   郵送で送る書類を以下に記す。
   
   

   企業/団体 登録申請書 振り込み控え 登記簿謄本 法人印鑑証明 上場企業／店頭登録企業 ○ ○ ○※1 ○※1 その他の一般企業 ○ ○ ○ ○ 中央省庁および国の機関/ 地方公共団体およびその機関 ○ ○ × × 財団法人/社団法人 ○ ○ ○ ○ 国家資格取得者（弁護士、公認会計士、税理士、弁理士、司法書士、行政書士） ○ ○ 専用サービスあり ※１　帝国データバンクの企業コード/証券コードにて代用可能な場合がある。

   表1 Webサーバ証明書申請時の必要書類一覧

   
   
   
7. 証明書のインストール
   すべての手続きが終了すると、日本ベリサインから電話での最終確認がある。その後4〜5日ぐらいでメールで技術管理担当者へ、デジタル証明書が送信されてくる。そのメールの本文の一部に含まれるサーバIDをファイルとして保存する。
   

Dear VeriSign Customer この度は、セキュア・サーバＩＤをご申請いただきまして誠にありがとう ございます。 お客様の証明書（セキュア・サーバＩＤ）が発行されました ので、以下にお届けいたします。 日本ベリサイン株式会社 Digital IDセンター ----☆注意☆-------------------------------------------------- このセキュア・サーバＩＤは、お客様がこのセキュア・サーバＩＤの登録申請 の際に同意（AGREE）された https://www.verisign.co.jp/repository/server.html で示される「サーバID加入契約」 に基づき発行しております。 --------------------------------------------------☆注意☆---- ───────●セキュア・サーバＩＤのインストール●─────── セキュア・サーバＩＤをインストールする際は、ご利用ソフトウェアの マニュアルをご参照下さい。また、セキュア・サーバＩＤは、必ずフロ ッピー・ディスクにバックアップとしてコピーをお取りいただき、厳重 に管理して下さい。 ◆手続きの流れ 1.まず、下記の証明書をテキストファイルとして保存します。 2.次に，ウェブサーバ・ソフトウェアに１で保存したファイルを証明書 のファイルとして認識させる 3.ウェブサーバ・ソフトウェアでSSL通信を有効にする設定を行う 詳細な情報は、弊社のＷｅｂページをご参照下さい。 　　http://www.verisign.co.jp/server/enroll/ （Step6 Digital IDのインストール） ─────────●お問い合わせ先●───────────── ◆セキュア・サーバＩＤインストール作業でのトラブルについて 電子メール：server-support@verisign.co.jp 電話番号：044-520-7210 ◆その他の内容の問い合わせ 以下ページをご参照下さい http://www.verisign.co.jp/support/index.html ─────────●お客様の証明書●─────────────- ----BEGIN CERTIFICATE----- MIICtTCCAh6gAwIBAgIEOVmxlzANBgkqhkiG9w0BAQQFADAgMQswCQYDVQQGEwJK UDERMA8GA1UEChMIbmV0bWFya3MwHhcNMDAwNjI4MDczNDQwWhcNMjAwNjI4MDgw NDQwWjAgMQswCQYDVQQGEwJKUDERMA8GA1UEChMIbmV0bWFya3MwgZ0wDQYJKoZI hvcNAQEBBQADgYsAMIGHAoGBALWtIMCetW2G3uFRT7z+uG/Q0Ni+p/bXzQ+LeZ/T ijy8YaLcpQaIcDPNE5eruWr6Z/oid5QDmzwD0isuaxsFC44k8Q5t6jkugVpTca+D lXaIgubJ/7VaSQ3KKLc816AoCEV8/iw+aheeui3evDM803g0MzY92nEBoqjWbuQ/ ovlHAgEDo4H9MIH6MBEGCWCGSAGG+EIBAQQEAwIABzBCBgNVHR8EOzA5MDegNaAz **************************************************************** **************************************************************** **************************************************************** BgNVHQ4EFgQUrLMjDuxrJcn/flUPLv16jOzz3AAwDAYDVR0TBAUwAwEB/zAZBgkq hkiG9n0HQQAEDDAKGwRWNC4wAwIEkDANBgkqhkiG9w0BAQQFAAOBgQA+DfQCx2xP d1oZH4eYv9YaAeySakt3d5DwlocxpoBWzrNTeOmyRRUfFbBGCaIsfySlp3YU3eE0 QCNVasaQLuhS7YY6aowigvIl0QJoitqC8htNXrYr0YelcwbpxzvE3fTtDvBxSKJB D/hzeIbiiWQkNN7plzj3PZXCNp2+eUQgbQ== -----END CERTIFICATE-----

メールに含まれるサーバIDをファイルとして保存（メール見本）

Webサーバのソフトウェア側で、サーバIDを保存したファイルを、Webサーバデジタル証明書のファイルとして認識させる。認識方法は各Webサーバの解説を参照。


8. 通信確認して完了
   インストールしたWebサーバのドキュメントページに対してhttps:でアクセスすることができれば確認完了。
   

「Webサーバへの証明書の組み込み」へ

Security&Trust記事一覧

Index 　 第1回　電子署名で何が変わる？ 　 第2回　導入プランを立てよう！ 　 第3回　電子署名導入プラン サーバ編その1 第4回　電子署名導入プラン サーバ編その2 　 第5回　電子署名導入プラン クライアント編

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）