実践！ SSL証明書の買い方・選び方：WindowsのIIS Webサーバに証明書をインストールする（2/3 ページ）

[島田広道，デジタルアドバンテージ]

Windows ServerのIIS向けに証明書を購入してインストールする

　ここからは、Windows Server 2008 R2のIIS 7.5によるWebサーバに、ドメイン認証型のSSL証明書を購入してインストールする手順を説明する。証明書には、ハイパーボックス（ドメインキーパー）という販売代理店から、グローバルサインという認証局の「アルファSSL」を購入した。これはドメイン認証型でサイト・シールのない比較的シンプルなものだ。

• グローバルサインのアルファSSL（ドメインキーパー）

　組織認証型ではないため、何らかの書類を送付する必要はなく、すべてオンラインの処理で申請から審査を経て取得まで3時間弱で済んだ（公称では「平均24時間以内」とのこと）。

　手順の概要は次のとおりだ。

1. 認証用のメール・アドレスを準備する
2. 証明書署名要求（CSR）ファイルを作る
3. 証明書発行を申し込む
4. 証明書の代金を支払う
5. 認証用メールを受け取って申し込みを承認する
6. メールで納品された証明書をテキスト・ファイルに保存する
7. IISに証明書をインストールする
8. Webサイトに証明書を割り当ててHTTPSを有効にする

認証用のメール・アドレスを準備しておく

　多くの認証局では、証明書を発行する途中で申請者がドメインを所有していることを確認（認証）するために、証明書によって証明されるドメイン宛に認証用メールを送信する。申請者はそのメールに記されているURLから認証用Webページを開いて手続きをする必要がある。本稿の場合は、「admin@＜対象ドメイン＞」というメール・アドレスでメールを受信できるように準備した。とにかくメールを受信できればいいので、このメール・アドレスから別のメール・アドレスにメールを転送してもよい。

　認証局によっては、対象ドメインのwhoisデータベースに登録されているいずれかの連絡先メール・アドレスが使えることがある。また、対象ドメインのWebサイトの特定URLに特定のファイルを配置することで認証される、という場合もあるので、申し込みの前によく認証局あるいは販売サイトでの説明を確認しておくこと。

証明書署名要求（CSR）ファイルを作る

　まずは証明書の発行を認証局に要求するための「証明書署名要求（CSR）」というファイルを作成する。IISの場合はIISマネージャから作成できる。以下、管理者権限のあるユーザー・アカウントでWindowsにログオンしているものとする。

IISマネージャのSSL証明書設定画面を開く
コントロール・パネルの［管理ツール］から［インターネット インフォメーション (IIS) サービス マネージャ］（IISマネージャ）を起動する。これはWindows Server 2008 R2のIIS 7.5での操作例。
　 （1）このサーバを選ぶ。
　 （2）これを選ぶ。
　 （3）これをダブルクリックする。

　IISマネージャの「サーバー証明書」という画面が表示されたら、右側の操作メニューから「証明書の要求の作成」リンクをクリックする。

CSRファイルの作成を始める
　 （1）SSLで利用できるサーバ証明書の一覧がここに表示される。
　 （2）これをクリックしてCSR作成を始める。

　証明書を要求するウィザードが起動するので、必要事項を記入して進めていく。特に注意すべきなのは［一般名］（コモン・ネームと呼ばれる）の欄で、ここには対象ドメインのFQDNを正確に記入する。例えばクライアントから「https://www.example.jp/」でアクセスされるサイトなら「www.example.jp」、あるいは「https://example.jp/」なら「example.jp」と記入する。間違ったまま証明書発行まで進むと、再度料金を払わない限りやり直せないので十分注意する。

CSRファイルのコモン・ネーム（一般名）などを指定する
これは証明書の要求ウィザードにおける最初の画面。
　 （1）対象ドメインのFQDNを正確に指定する。
　 （2）企業名など組織を表す名称を指定する（個人で申し込む場合は氏名を指定することが多い）。使える文字は、半角の英数字とスペース、一部の記号（半角の「＋」「−」「（」「）」「＿」「／」「．」）に限られる。これは以下の（3）〜（5）についても同様。
　 （3）部署名を指定する。部署がなければ適当な半角英数字の文字列（「Web」とか）を入力する。個人で申し込む場合は屋号を指定することがある。
　 （4）市区町村名（都道府県の1つ下のレベルのみ）を指定する。
　 （5）都道府県名を指定する。
　 （6）日本なら「JP」と指定する。

　次の画面では、暗号化サービス・プロバイダにはデフォルトの「Microsoft RSA SChannel Cryptographic Provider」、「ビット長」には2048bitを選ぶ。デフォルトの1024bitだと、ほとんどの認証局で受け付けてくれないので注意する（受け付けている認証局でも期限が定められている）。

暗号化サービス・プロバイダと暗号化キーのbit長を指定する
　 （1）これを選ぶ（これがデフォルトで選択されているはずだ）。
　 （2）「2048」を選ぶ。デフォルトの1024bitは、ほとんどの証明書ベンダが販売を終了していて、証明書発行を受け付けないので要注意だ。

　次の画面ではCSRファイルの保存先ファイル名を指定する。これでウィザードは完了だ。CSRファイルには、「-----BEGIN NEW CERTIFICATE REQUEST-----」から「-----END NEW CERTIFICATE REQUEST-----」までの行が保存されているはずだ。

生成されたCSRファイルの内容例
生成されたCSRファイルの中身はテキスト・エディタで確認できる。「-----BEGIN NEW CERTIFICATE REQUEST-----」から「-----END NEW CERTIFICATE REQUEST-----」まで格納されていることを確認する。

　CSRを作成したら、証明書の発行とインストールを完了するまで、新たなCSRを作成するといったサーバ証明書に関する設定変更は避ける。IISの状態がCSR作成前に戻ってしまい、発行された証明書のインストールに失敗することがあるからだ。

証明書発行を申し込む

　CSRファイルを作成したら、いよいよ証明書の発行を申し込む。それにはSSL証明書の販売サイト（ここではドメインキーパーのサイト）をWebブラウザで開いて作業する。ただ、ドメインキーパーの場合はあらかじめ注文管理用アカウントを新たに作成して、それでログインする必要がある。

• 注文管理用アカウントの新規作成ページ（ドメインキーパー）

　この作成手順は一般的な通販サイトと特に変わらないので説明は割愛させていただく。

　アカウントを作成したら、次のページから証明書発行の申し込みを始める。

• 証明書発行の申し込みページ（ドメインキーパー）

証明書発行の申し込みを始める
これはドメインキーパーの証明書発行の申し込みページ。
　 （1）これをクリックする。

　すると「サービスマネージャー」という注文管理のための画面が表示されるので、先ほど作成したアカウントでログインする。

サービス・マネージャ（注文管理ページ）にログインする
　 （1）あらかじめ作成しておいたアカウント名とパスワードを入力し、［ログイン］ボタンをクリックしてログインする。
　 （2）まだアカウントを作成していない場合は、これをクリックしてアカウントを作成してから再びこの画面に戻って申し込みを進める。

　次に［SSLサーバ証明書新規申し込み］ボタンをクリックする。

ログイン直後のサービス・マネージャの画面
　 （1）これをクリックする。

　次にサービス規約などが表示されるので、確認したらページ下部にある［各サービス規約および注意事項に同意する］チェックボックスにチェックを入れてオンにしてから、［承認する］ボタンをクリックする。

　次の画面では、IISでCSRファイルを作成したときの［一般名］に指定したFQDNを［コモンネーム］に記入する。また、ここでアルファSSLという証明書の種類を指定する。

コモン・ネームと証明書の種類を指定する
　 （1）CSRファイル作成時に［一般名］として指定したFQDNを入力する。
　 （2）本稿では、このアルファSSLという証明書を購入する。

　次の画面では、証明書の有効期間を選ぶ。ここでは1年間とした。

有効期間を指定する
　 （1）ここでは「1年」を選んだ。
　 （2）これをクリックすると次へ進む。

　次の画面では、ワイルド・カードなど証明書に付けるオプション・サービスを指定する。本稿では、いずれも不要だったので［オプションサービス無し］を選んでいる。

オプション・サービスを指定する
　 （1）オプションは不要だったので、ここではこちらを選んだ。
　 （2）これをクリックして次へ進む。
　 （3）前述のワイルド・カード機能を付けるオプション。サブ・ドメインを丸ごと証明する場合はこれにチェックを入れてオンにする。

　次の画面では、IISで作成したCSRファイルの内容を［CSR1］欄にコピー＆ペーストする。また［ウェブサーバアプリケーションの選択］では「Windows Server (IIS)」を選択する。

CSRの貼り付けとWebサーバの種類を指定する
　 （1）あらかじめ生成しておいたCSRファイルの内容を、ここにコピー＆ペーストする。
　 （2）Webサーバの種類をapacheとIISから選べる。ここではIISを選んだ。
　 （3）これをクリックして次へ進む。

　すると、次の画面でCSRの内容がデコードされて表示される。IISで作成したときと同じか、間違っている個所はないか確認しよう。

CSRの内容の確認
　 （1）コモン・ネームは再度確認しておく。
　 （2）これをクリックして次へ進む。

　次の画面では認証用メール・アドレスの宛先を選択する。アルファSSLの場合は、whoisデータベースに記されている連絡先メール・アドレスのほか、「admin@＜対象ドメイン＞」とか「hostmaster@＜対象ドメイン＞」などから選択できる。これが受信できないと証明書を発行してもらえないので、くれぐれも、あらかじめテスト・メールを送って受信可能であることを確認しておくこと。

承認メールの送付先アドレスを指定する
　 （1）whoisデータベースに記されていたメール・アドレスが取得されてリストアップされている（匿名的なアドレスになっているのは、個人情報をwhoisデータベースで公開しないように設定していたため）。受信可能なアドレスであればこちらを選んでもよい。
　 （2）ここでは「admin@＜対象ドメイン＞」を選んだ。もちろんメールを受信できることを事前に確認しておく。
　 （3）これをクリックして次へ進む。

　次の画面では、ここまで指定・入力した内容が表示されるので、よく確認して間違いがなければ［この内容で申し込む］ボタンをクリックする。すると次の完了画面が表示される。

証明書発行の申し込み完了を表す画面
　 （1）これをクリックして支払い手続きを行う。

　この時点で申し込み内容を記したメールが、アカウントに登録したメール・アドレス宛に送信される。

　続いて、完了画面の指示に従って証明書発行の代金支払いを行う。ドメインキーパーの場合は、銀行振込やゆうちょ銀行、クレジットカード、コンビニ決済から選択できる。本稿ではクレジットカードで決済したところ、即座に処理が進んで認証メールが送信された。

　この支払い手続きは一般的な通販サイトと特に変わらないので、説明は割愛させていただく。

　次のページでは、申し込みの承認と、メールで届いた証明書をIISにインストールする手順を説明する。