Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ SSLテスト用にサーバ証明書を自己発行する（IIS 5.0編） → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2007/08/17 　 対象OS Windows 2000 Server

■ WebサイトでSSL通信をサポートするためには、サーバ証明書を作成して、IISに登録する。 ■ テスト用途なら、自己発行型のデジタル証明書でも構わないことが多い。 ■ IIS 5.0向けに自己発行のサーバ証明書を作成するには、証明書ウィザードで証明書情報を生成後、証明書サーバへ送信する。

解説

　IISを使って、暗号化通信をサポートしたWebサイトを実現するには、IISにサーバ証明書をセットアップする。このサーバ証明書は、システムの開発段階で実験的に利用するだけならば、仮のデジタル証明書を使っても問題はない。

　TIPS「SSLテスト用にサーバ証明書を自己発行する（IIS 6.0編）」では、Windows Server 2003のIIS 6.0における設定方法について解説した。IIS 6.0のResource Kitに含まれる、あるツールを実行するだけである。だがWindows 2000 ServerのIIS 5.0ではこのような簡単な方法は利用できず、もう少し複雑な設定手順が必要となる。本TIPSでは、その方法について解説する。

操作方法

　IIS 5.0でサーバ証明書を自己発行するには、まずIISの管理ツールで証明書ウィザードを起動して証明書情報を作成し、次にそれを証明書サーバ（証明書サービス）に送信して証明書を発行させる。最後にその発行された証明書をIISのWebサイトに設定する

手順1―証明書ウィザードによるサーバ情報の入力

　自己発行の証明書を作成するには、まずIISの管理ツールでSSL通信をさせたいWebサイトを選択し、そのプロパティ・ダイアログを表示させる。そして［ディレクトリ セキュリティ］タブの［サーバー証明書］ボタンをクリックする。

サーバ証明書ウィザードの起動

WebサイトにSSL通信を設定するには、SSL対応させたいWebサイトのプロパティ画面から、サーバ証明書ウィザードを起動する。IISの管理ツール（［管理ツール］の［インターネット サービス マネージャ］を起動する）で

証明書作成の対象となるWebサイトのプロパティ・ダイアログを表示させる。この例では、IISにデフォルトでセットアップされている「既定の Web サイト」に対して、SSL通信を設定している。 　 ［ディレクトリ セキュリティ］タブを選択する。 　 これをクリックして証明書ウィザードを起動する。

　［サーバー証明］ボタンをクリックすると、サーバ証明証ウィザードが起動するので、サーバに関する情報を入力する。ただしテスト用サーバならば、サーバ名以外の情報は、それぞれ適当な値を指定しておけばよい（サーバ名は実際のIIS 5.0が稼働しているサーバの名前を指定すること）。

ウィザードによる証明書情報の入力（部分）

証明書ウィザードを起動し、証明書を生成するための基本情報を入力する。ウィザードを終了すると、入力した情報がエンコードされたテキスト・ファイルが作成される。ここでは、ウィザードの途中の入力画面を省略し、まとめのページだけ掲示しておく。

ウィザードの最初の画面。［次へ］をクリックして、ウィザードを開始する。以後は、指示に従って必要な情報を入力すればよいが、テスト用にサーバ証明書を自己発行するだけならば、それらの入力内容は最低限の適当なものにしておけばよい。ここでは、画面下のような情報（〜）を入力している。 　 ウィザードの次の画面。最初にウィザードをきどうするとこのような選択画面が表示されるので、［証明書の新規作成］を選択すること。すでにサーバ証明書が手元にあるなら、［既存の証明書を使用］を選択する。 　 作成される証明書要求テキスト・ファイルの名称。ウィザードへ入力された情報はエンコードされ、最終的にはテキスト・ファイルに出力される。この段階では、まだ証明書データそのものが作成されるわけではない。 　 発行先のサーバ名。最終的にアクセスするサーバのURLが「https://win2000server/」なら、この発行先の値は「win2000server」とする。FQDNを使い、例えば「https://www.example.co.jp/」とするなら、「www.example.co.jp」と指定しておく。 ドメインに関する情報。サイト名や組織名、部門名、住所情報などを指定するが、テスト用ならば適当な文字列を設定しておけばよい。 　 ウィザードで入力した値。テスト用のサーバ証明書の場合は、これらの値は適当なものでよい。

　以上のような情報を指定してサーバ証明書ウィザードを実行すると、次のように、ユーザーの入力した情報がエンコードされたサーバ証明書の要求テキスト・ファイルが作成される。

生成されたサーバ証明書の要求ファイル

ユーザーがサーバ証明書ウィザードで入力した情報は、このようにエンコードされ、テキスト・ファイルに出力される（デフォルトではc:\certreq.txt）。これはサーバ証明書そのものではなく、サーバ証明書を作成するために必要な情報をエンコードしたものであることに注意。これを元に証明書を作成する。

手順2―サーバ証明書の生成

　手順1では、サーバ証明書の要求ファイル（内容はエンコードされたテキスト・ファイル）を作成したが、これはサーバ証明書そのものではない。サーバ証明書を作成するために必要な情報をまとめたものである。実際のサーバ証明書は、この要求ファイルを「証明書サーバ」へ送信し、そこから発行してもらう必要がある。これについては、別TIPSの「証明書サービスでサーバ証明書を発行する」をまとめておいたので、そちらを参照していただきたい。簡単に述べておくと、この要求ファイルをWebブラウザを使って証明書サーバへ送信する。するとサーバ証明書が発行され、ダウンロードできるようになるので、それをローカルのディスク上に保存すればよい。ここでは、サーバ証明書が「c:\server.cer」というファイルに保存されているものとする。

手順3―サーバ証明書の登録

　次は、手順2で作成されたサーバ証明書をIISのWebサイトに登録する。

　IISの管理ツールを起動してSSLを設定したいWebサイトを右クリックし、ポップアップ・メニューから［プロパティ］を選択する。するとWebサイトのプロパティ・ダイアログが表示されるので、手順1の場合と同じように、［ディレクトリ セキュリティ］タブにある［サーバー証明書］ボタンをクリックして［サーバー証明書ウィザード］を起動する。

サーバ証明書ウィザードの起動

サーバ証明書を登録するためにウィザードを起動する。

先ほどの手順1で証明書要求を作成しているため、Webサーバの状態がこのように「保留中の証明書の要求があります。」となっている。 　 これをクリックして次へ進む。

　次の画面では、サーバ証明書の要求を処理し、証明書をインストールさせる。

証明書要求の処理

保留中のサーバ証明書要求の処理を続行し、実際にIISにサーバ証明書をインストールさせる。

これを選択する。 　 これをクリックして次へ進む。

　［次へ］をクリックすると、インストールするサーバ証明書のパスを入力する画面が表示されるので、手順2で作成／ダウンロードしたサーバ証明書のパス（今回はc:\server.cer）を指定する。すると証明書の内容（登録した内容や有効期限などの情報）が表示されるので、それを確認してウィザードを先へ進め、終了させる。

　以上で証明書のインストール作業は終了である。正しく証明書がインストールできると、Webサイトのプロパティ画面が次のように表示されているはずである。Webブラウザで実際に「https://localhost/」などへアクセスして、正しくSSL（https:）で通信できていることを確認しておこう。

サーバ証明書がインストールされたWebサイトのプロパティ

サーバ証明書が正しくインストールされると、SSL通信が有効になり、Webサイトのプロパティがこのように変わる。

このタブを選択する。 　 証明書ウィザードの起動。 　 正しくインストールされると、このボタンが有効になる。これをクリックすると、このWebサイトにインストールされた証明書の内容が表示される。 　 正しくインストールされると、このボタンが有効になる。SSL通信の設定を変更する。

　なお、自己発行されたサーバ証明書で「https://localhost/」などへアクセスすると、セキュリティの警告ダイアログが表示される。これは、ルート証明書からのパスが存在しないため、証明書の正当性を検証できないという意味である。詳細についてはTIPS「Webサイトのデジタル証明書を確認する」を参照していただきたい。

	関連リンク
		Certificate Server 2.0 を使用して Windows 2000 IIS 5.0 のテスト環境で SSL を構成する方法 （マイクロソフト サポート技術情報）
		IIS 5.0 の証明書ウィザードを使用した証明書要求ファイルの作成 （マイクロソフト サポート技術情報）

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）