Azure Web Apps用にSSL証明書を作成・登録する手順と注意点:Tech TIPS(2/2 ページ)
必要な証明書を全て保存したら、それを.pfx形式でファイルにエクスポートする。Web Appsでは、この形式でSSL証明書とその秘密鍵、中間CA証明書の一式をまとめてアップロードする必要がある。
この作業にはcertlm.mscを利用する。
証明書と秘密鍵を.pfxファイルにエクスポートする(1/5)
certlm.mscでローカルコンピュータの証明書ストアを開いたところ。
(1)IISマネージャでSSL証明書を保存したときの格納先を選ぶ([個人]−[証明書]か[Web ホスティング]−[証明書]のいずれか)。
(2)保存したSSL証明書を右クリックする。
(3)[すべてのタスク]−[エクスポート]をクリックする。
▼
証明書と秘密鍵を.pfxファイルにエクスポートする(2/5)
証明書をエクスポートするためのウィザードを1つ進めたところ。
(4)[はい、秘密キーをエクスポートします]を選ぶ。
▼
証明書と秘密鍵を.pfxファイルにエクスポートする(3/5)
形式として[Personal Information Exchange -PKCS #12]が最初から選択されているはずだ。
(5)[証明のパスにある証明書を可能であればすべて含む]はチェックを入れてオンにする。
(6)[正しくエクスポートされたときは秘密キーを削除する]はチェックを外してオフにする。
(7)[すべての拡張プロパティをエクスポートする]はチェックを入れてオンにする。
(8)[証明書のプライバシーを有効にする]はチェックを入れてオンにする。
▼
証明書と秘密鍵を.pfxファイルにエクスポートする(4/5)
(9)[パスワード]にチェックを入れてオンにしてから、.pfxファイルを保護するためのパスワードを記入する。これはWeb Appsにアップロードする際に必要なので、忘れないようにメモしておく。また、パスワードが漏れたり解読されたりして秘密鍵が漏洩(ろうえい)すると、通信内容の漏洩や改ざん、なりすましなどを引き起こすので、パスワードの強度や取り扱いには十分注意すること。
▼
証明書と秘密鍵を.pfxファイルにエクスポートする(5/5)
(10)エクスポート先の.pfxファイル名を指定する。
.pfxファイルを作成したら、Azureポータルを使ってWeb Appsにアップロードする。
Azure Web AppsにSSL証明書をアップロードする(1/3)
これはAzureポータル。
(1)対象のWeb Appsの設定画面を開く。
(2)メニューから[SSL 証明書]を選ぶ。
(3)SSLのブレードが表示されたら、[証明書のアップロード]をクリックする。
▼
Azure Web AppsにSSL証明書をアップロードする(1/3)
SSL証明書をアップロードするためのブレードが表示される。
(4)このアイコンをクリックして、エクスポートしておいた.pfxファイルを指定する。すぐに内容が確認され、正常なら緑色のチェックマークが付く。
(5).pfxファイルの作成時に指定したパスワードを入力する。
(6)[アップロード]ボタンを押すと、Web Apps(App Serviceプラン)に証明書や秘密鍵など一式が保存される。
▼
Azure Web AppsにSSL証明書をアップロードする(1/3)
(7)保存されたSSL証明書。まだ、このWeb Appsには割り当てられていない。
こうしてアップロードしたSSL証明書は、同じApp Serviceプラン上にある別のWeb Apps(およびその他のApp Services)にも割り当て可能だ。例えばワイルドカード証明書を複数のWeb Appsサイトで使い回す場合、全サイトが同じApp Serviceプラン上にあるなら、証明書は1回アップロードするだけで済む。
証明書のアップロードが完了したら、同じくAzureポータルでWeb AppsにSSL証明書を割り当てる。これでHTTPS接続時にSSL証明書が使われるようになる。
以下の作業の前に、必ずWeb Appsとホスト名の割り当て(ひも付け)をしておくこと。これが済んでいないと、SSL証明書の割り当てができない。
Azure Web AppsにSSL証明書を割り当てる
AzureのポータルでWeb Appsの設定画面を開いたところ。
(1)前述の[SSL 証明書]メニューをクリック後、[バインディングの追加]ボタンをクリックすると、このブレードが表示される。
(2)このWeb Appsに割り当て済みのホスト名(FQDN)の一覧から、SSL証明書を割り当てたいものを選ぶ。
(3)(2)とコモンネームが一致するSSL証明書の一覧が表示されるので、サムプリントなどで識別して適切に選択する。
(4)[SNI SSL]か[IP ベースのSSL]のどちらかを選ぶ。前者はWindows XPなど古いシステムに正しく認識されない。後者は2枚目のSSL証明書から有償になる。
(5)[バインディングの追加]ボタンをクリックすると、実際にSSL証明書の割り当てが実行される。
複数のホスト名にSSL証明書を割り当てるには、上記の手順を繰り返す。
SSL証明書の割り当てが完了したら、早速HTTPSで接続してみよう。それには従来のURLのスキームを「http://〜〜」から「https://〜〜」に変更するだけだ。正常なら、証明書のエラーなしに接続できるはずだ。
「Tech TIPS」
Copyright© Digital Advantage Corp. All Rights Reserved.