| |
|
運用
個人情報保護法時代のIISセキュリティ対策(後編)
2.CSRの生成と証明書の申請
小田原 貴樹(ハンドル・ネーム:うりゅう)
2005/10/14
|
|
|
SSL契約の具体的な手続き−CSRの準備
どのサービスを選択した場合においても、申し込みの際にはサーバ証明書生成の基になる「CSR(Certificate Signing Request)」が必要となる。IISには、CSRを生成するためのウィザードが搭載されているので、ここに必要な情報を入力するだけでよい。以下の手順を参考に、CSRを生成してみよう。
1.[管理ツール]の[インターネット サービス マネージャー]を起動し、SSLによる暗号化を行いたいサイトのプロパティを表示させる。
 |
| [インターネット サービス マネージャ]を起動する |
| [管理ツール]から[インターネット インフォメーション サービス(IIS)マネージャ]を起動する。左ペインからサーバ、Webサイトを選択すると、サイトの一覧が表示される。SSLポートやホスト・ヘッダが設定されているかが確認できる。 |
次に、サイトのプロパティの中から[ディレクトリ セキュリティ]タブを表示させる。
 |
| サイトのセキュリティ設定を開く |
| [インターネット サービス マネージャ]を起動し、SSL暗号化したいサイト名を右クリックして[プロパティ]を表示させる。 |
| |
 |
ここを選択する。 |
|
2.次に、サイトのプロパティでセキュリティ項目を表示させる。
 |
| [ディレクトリ セキュリティ]を表示させる |
| 「セキュリティ保護された通信」グループ中の「サーバー証明書」と書かれたボタンをクリックし、ウィザードを起動させる。 |
| |
|
ここをクリックする。 |
|
3.ウィザードが起動したら、証明書の新規作成を選択する。
 |
| [サーバー証明書ウィザード]を起動する |
| ウィザードを起動し、[証明書の新規作成]を選択する。 |
4.要求の送信方法を確認する。
 |
| 証明書の発行を要求する方法を選ぶ |
| [証明書の要求を作成して後で送信する]を選択して[次へ]をクリックする。[オンライン証明機関に直ちに要求を送信する]の選択肢は、独自のサーバ証明書を発行するための[Microsoft 証明書サーバー]が、同じネットワーク内に存在している場合のみ選択可能になる。今回の場合のように公的証明書サービスを利用する場合には、選択してはいけない。 |
5.次に、証明書の名前とビット長を入力し、取得する証明書の仕様を決定する。
 |
| 証明書名とセキュリティを設定する |
| 証明書の名前は管理用なので、自分にとって分かりやすければそれでよい。ビット長は「1024」を選択することが推奨されている。その下にある[SGC証明書]のチェックボックスは「日本ベリサイン」が提供する一部商品の場合のみ必要となる。通常はチェックをしないように注意しよう。入力が終了したら「次へ」をクリックする。 |
6.証明書を必要とする組織の情報を英文で入力する。
 |
| サイトを管理する組織の情報を入力する |
| 通常は、サイトを運営する企業名/部門名などを入力することになるだろう。入力が終了したら[次へ]をクリックする。 |
7.SSLの暗号化を行うサイトのアドレスを入力する。
 |
| サイトのアドレスを入力する |
| 入力するのはサイトの「完全なアドレス」(FQDN:完全修飾ドメイン名)であって、「ドメイン名」ではないことに注意しよう。例えば「www.test.com」のアドレスで通常のPC用サイトを表示し、「test.com」のアドレスでモバイルサイトを表示するような設定をするのは珍しくないが、サーバ証明書ではこの2つのアドレスは区別されることになる。別のアドレスに対してどちらにもSSLによる暗号化を行いたい場合には、サービスを2ライセンス購入する必要がある。このウィザードの中では最も注意が必要な入力項目だ。 |
8.証明書を必要とする組織の地理情報を英文で入力する。
 |
| サイトの地理情報を入力する |
| 入力が終了したら[次へ]をクリックする。入力は必ず英文でなければならない。CSR生成の際には、半角英数字しか利用できず、全角文字や一部の記号を除く特殊記号は使用できないと定められている。 |
9.CSRはテキストファイルで生成される。
 |
| CSRのファイル名を入力する |
| ファイル名を指定して[次へ]をクリックする。 |
最後に、入力した情報の確認画面が表示される。間違いがないかよく確認してからウィザードを終了すると、CSRがテキストファイル形式で作成されている。
ここまでの手順で、証明書発行サービスの申し込みに必要なCSRが生成された。生成され内容は、以下のようになっている。
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDWDCCAsECAQAwfTEYMBYGA1UEAxMPc3NsLm5ldGJ1aWxkLmpwMQ8wDQYDVQQL
EwZTeXN0ZW0xGzAZBgNVBAoTEk5ldGJ1aWxkIENvcnAsaW5jLjESMBAGA1UEBxMJ
SGlyb3NoaW1hMRIwEAYDVQQIEwlIaXJvc2hpbWExCzAJBgNVBAYTAkpQMIGfMA0G
CSqGSIb3DQEBAQUAA4GNADCBiQKBgQDObBpDW/F8Tj5SiVimETEk/QzAuDo+Z3As
NEG0zdB6heYnAhzJLkMLT6CL7dQAdlkJcAySp9L4iK3Aw8M+M9lPF+Nxh0/vvAuF
…(中略)…
svYdUjpBzvAp4wkBaGD4W/4kYWgm27tVLDX6CRtYpgj9Oy6/JPIDlu+s7r5/s31O
QG0kIyX/0m18i2TvUw23uGNmpJUaNmnmQVZthl893s42AAAAAAAAAAAwDQYJKoZI
hvcNAQEFBQADgYEAj2BkeHxV3eyCmNkKQD1HlwYzlR9Bvh9skm6QOO+mv99P0ctc
3+sUNABUWTxGoQ+L1/MVW7oPZ36u0FGLp+msB4pjcJi0aSejHWkn7RfLwq4xJT+6
oTMdqlguFhIpHLMcR9HVAf5aHSHO8yaBvR8ZYzBDLwXjTW/Jj8f9skk2204=
-----END NEW CERTIFICATE REQUEST----- |
ウィザードで入力したサイト情報がエンコードされているのが確認できる。CSRを生成したら、次はサービス提供会社への申し込み手続きを行う。
SSL契約の具体的な手続き
今回の解説では公的SSLサービスの中でも、ほぼオンラインですべての処理が完結する「日本ジオトラスト」の「クイックSSLプレミアム」を例として、実際の手続きをご紹介していこう。「クイックSSLプレミアム」の申し込みでは、CSRさえ生成できていれば、ほかに必要なものは何もない。以下の手続きを参考にして、実際の手続きを行ってみてほしい。
日本ジオトラストの「SSLサーバ証明書・新規申し込みページ」にアクセスし、サーバ証明書を申し込む組織の区分を選択する。
サイトにアクセスすると、組織区分に対応したサービスを選択するメニューが表示される。申し込みの最初の画面では、まずサーバ証明書の契約期間を選択する。契約期間を長くすればするほど、割引率が大きくなる(単年あたりの料金が安くなる)。次に、「ライセンス数」を選択する。ここでのライセンス数とは「サーバ証明書をインストールするサーバの台数」ということであり、負荷分散などの理由で、同じサイトを複数のサーバで運用している場合などには複数のライセンスが必要となる。最後に、先ほど生成したCSRの内容を貼り付ける。テキストファイルの頭から最後までをそのまま貼り付ければよい。
 |
| 申し込み内容を入力する |
| ここでは、契約期間やサイトを運営するサーバ数に応じた証明書のライセンス数を入力する。先ほどIISのウィザードで作成したCSRの内容も全文コピー&ペーストする。 |
貼り付けたCSRの内容が抽出され確認できる。ここでもう一度、特に「Common Name」と表現されているサイトのアドレスが間違いないかどうか確認しよう。前項でも述べたとおり「クイックSSLプレミアム」ではサイトアドレスの実在のみが証明され、企業実在証明は行われないことが、ここでも説明されている。
 |
| CSRから解読された内容を確認する |
| 前のステップで貼り付けたCSRの内容が日本ジオトラストで解読され、デコードされた内容が表示される。特に、Common Name欄に表示されているサーバのURLが間違っていないかを確認しておこう。 |
「クイックSSLプレミアム」では、オンライン認証によってサイトのURLの実在を証明する。申込者がサイトのURLとはまったく関係のない第三者でないことを保証するために、本人確認用のメール・アドレスを選択することになる。現実的に考えると、まったくの第三者がイタズラでSSLの申し込みを行うことは想定しにくい。強いて言えば、ドメイン管理者やサーバ管理者ではないシステム担当が、勝手に申し込みを行うことを防ぐという意味合いだと思われる。以下の画面では、CSRから抽出されたサイトのURLのドメイン管理者、サーバ管理者であることを示すと思われるメール・アドレスが選択肢として表示されている。例えば、Whois情報に記載されているドメイン登録者のメールアドレスや、「admin@」で始まるような管理者用のメールアドレスなどが含まれている。用意された選択肢の中から「確認用メールが届いてほしい」アドレスを選択して「次へ」をクリックすればよい。
 |
| 本人確認用のメール・アドレスを選択する |
| サイト(あるいはドメイン)の管理者のメール・アドレスを選択する。 |
次は、連絡先として、組織情報を入力する。サーバ証明書は「担当者メール・アドレス」にメールの形で届くことになるので、入力を間違えないようにしよう。入力の最後の方では支払い方法などを選択する。
 |
| 契約者情報を入力する |
| 証明書発行会社との連絡に必要となる契約者の情報を入力する。サーバ証明書/支払いの案内/更新時期の案内といった連絡が日本ジオトラストから送られることになる。 |
この後、入力情報の最終確認や、選択した支払い方法での決済処理があるが、本稿では割愛する。申し込みが完了し、利用料金の決済が完了した段階で、先ほど選択した「本人確認用メールアドレス」で選択したアドレスに確認のメールが届く。メール内に記載されたアドレスをクリックすると以下のような画面が表示される。
 |
| 「クイックSSLプレミアム」の申請内容確認ページ |
| 申請処理が行われた旨のメールが届くメール中のURLを開くと、申請内容を確認するページが表示される。これまでが親切な日本語での案内だったので英語ページに驚くかもしれないが、内容に問題がなければ[I Approve]のボタンをクリックすれば処理は完了する。その後少し待つだけで[担当者のメールアドレス]にサーバ証明書がメールで送られてくるはずだ。 |
拍子抜けするほど簡単な手順で、サーバ証明書を申し込めることが分かってもらえたと思う。ここまで来たら、後はIISにサーバ証明書をインストールするだけである。
Windows Server Insider フォーラム 新着記事
