Web サーバー上で SSL を設定する方法

トピック

 目的
 適用対象
 モジュールの使用方法
 要約
 証明書要求を生成する
 証明書要求を提出する
 証明書を発行する
 Web サーバーに証明書をインストールする
 SSL アクセスを要求するようにリソースを構成する

目的

このモジュールの目的は次のとおりです。

• SSL 証明書を取得する。

• IIS サーバーに SSL 証明書をインストールする。

• SSL を要求するように仮想ディレクトリを構成する。

 ページのトップへ

適用対象

このモジュールは、次の製品およびテクノロジを対象としています。

• Microsoft® Windows® XP または Windows 2000 Server (Service Pack 3) 以降のオペレーティング システム

• Microsoft Internet Information Services (IIS) 5.0 以降

• Microsoft 証明書サービス (独自の証明書を生成する必要がある場合)

 ページのトップへ

モジュールの使用方法

このモジュールをよく理解するには、次の前提が必要です。

• IIS を構成した経験があること。

• 独自の証明書を生成する必要がある場合は、Microsoft 証明書サービスなどの CA (証明機関) へのアクセス権を持っていること。

• 独自の証明書を生成しない場合は、どの商用 CA に SSL 証明書を要求するかを決定していること。このサービスは、ほとんどの CA で有料です。

• 「モジュール 4 セキュリティ保護された通信」を読んでいること。このモジュールでは、SSL を紹介し、SSL が一般的に使用される状況について説明しています。

 ページのトップへ

要約

SSL (Secure Sockets Layer) は、認証、機密性、およびデータ整合性を提供する暗号化技術です。SSL は、Web ブラウザと Web サーバーの間で、セキュリティ保護された通信チャンネルを作成する場合によく使われます。また、クライアント アプリケーションと Web サービスの間の通信をセキュリティ保護する場合にも使用されます。

SSL 通信をサポートするには、SSL 証明書を使用して Web サーバーを構成する必要があります。このモジュールでは、SSL 証明書を取得する方法と、SSL を使用して、Web ブラウザやその他のクライアント アプリケーションとの通信がセキュリティ保護されるように Microsoft Internet Information Services (IIS) を構成する方法について説明します。

 ページのトップへ

証明書要求を生成する

ここでは、新しい証明書要求を作成します。作成した要求は、処理を行う CA (証明機関) に送信されます。CA が要求を処理できれば、有効な証明書を格納したファイルが CA から送信されます。

• 証明書要求を生成するには

  1. IIS MMC スナップインを起動します。

  2. Web サーバー名を展開し、証明書をインストールする Web サイトを選択します。

  3. その Web サイトを右クリックし、[プロパティ] をクリックします。

  4. [ディレクトリ セキュリティ] タブをクリックします。

  5. [セキュリティ保護された通信] の [サーバー証明書] をクリックして、サーバー証明書ウィザードを起動します。

     メモ: Web サイトではなく、仮想ディレクトリ、ディレクトリ、またはファイルを選択した場合は、[サーバー証明書] は表示されません。その場合は、手順 2. に戻って、Web サイトを選択してください。

  6. [ようこそ] ダイアログ ボックスが表示されたら [次へ] をクリックします。

  7. [証明書の新規作成] をクリックして、[次へ] をクリックします。

  8. 以下の 2 つのオプションを提供するダイアログ ボックスが表示されます。

     • [証明書の要求を作成して後で送信する]
       このオプションはいつでも利用できます。

     • [オンライン証明機関に直ちに要求を送信する]
       このオプションが選択可能になるのは、Windows 2000 ドメイン内の Web サーバー証明書を発行するように構成された 1 つまたは複数の Microsoft 証明書サーバーに Web サーバーからアクセスできる場合だけです。この後の要求プロセスで、要求の送信先となる証明機関を一覧から選択することができます。

     [証明書の要求を作成して後で送信する] をクリックし、[次へ] をクリックします。

  9. 証明書の名前を [名前] ボックスに入力し、キーのビット長を [ビット長] ボックスに入力して、[次へ] をクリックします。
     このウィザードでは、現在の Web サイトの名前が既定の名前として使用されます。これは、証明書の中で使用される名前ではなく、管理者が証明書を識別しやすくするための名前です。

  10. 組織名 (Contoso など) を [組織] ボックスに入力し、組織単位 (Sales Department など) を [部門] ボックスに入力して、[次へ] をクリックします。

      メモ: この情報は、証明書要求にそのまま使用されるので、情報が正確であることを確認してください。CA では、この情報が検証され、証明書に格納されます。Web サイトを参照しているユーザーが証明書を受け入れるかどうかを決定するときには、この情報がユーザーに対して表示されることになります。

  11. サイトの一般名を [一般名] ボックスに入力し、[次へ] をクリックします。

      重要 : 一般名は、証明書内に格納される情報の中でも特に重要です。この名前は、Web サイトの DNS 名 (つまり、ユーザーがサイトにアクセスするときに入力する名前) です。証明書名がサイト名と一致していないと、ユーザーがサイトにアクセスしたときに、証明書に問題があると表示されてしまいます。

      サイトが Web 上にあり、仮に www.contoso.com という名前の場合、共通名として www.contoso.com を指定します。

      サイトが内部ネットワーク上にあり、ユーザーがコンピュータ名を使用してサイトにアクセスする場合、コンピュータの NetBIOS 名または DNS 名を入力します。

  12. [国/地域]、[都道府県]、[市町村] の各ボックスに適切な情報を入力し、[次へ] をクリックします。

  13. 証明書要求のファイル名を入力します。

      ファイルには、以下のような情報が格納されます。

      -----BEGIN NEW CERTIFICATE REQUEST-----
      MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
      -----END NEW CERTIFICATE REQUEST-----
      

      これは、証明書要求の Base 64 エンコード表現です。要求には、ウィザードに入力した情報のほか、公開キー、および秘密キーで署名された情報が格納されます。

      この要求ファイルは、CA に送信されます。CA は、証明書要求に格納されている公開キー情報を使用して、秘密キーで署名された情報を検証し、要求に含まれている情報を検証します。

      CA に要求を提出した後、ファイルに格納された証明書が CA から送信されます。その時点で、サーバー証明書ウィザードを再起動します。

  14. [次へ] をクリックします。ウィザードに、証明書要求に格納される情報の要約が表示されます。

  15. [次へ] をクリックし、[完了] をクリックして要求プロセスを完了します。
      これで、証明書要求を CA に送信して、検証および処理を受ける準備ができました。CA から証明書を受け取ると、Web サーバーに証明書をインストールできます。このときにも IIS 証明書ウィザードを使用します。

 ページのトップへ

証明書要求を提出する

ここでは、前の手順で生成した証明書要求を提出します。要求の提出には、 Microsoft 証明書サービスを使用します。

• 証明書要求を提出するには

  1. 前の手順で生成した証明書要求ファイルを [メモ帳] で開き、その内容をすべてクリップボードにコピーします。

  2. Internet Explorer を起動し、http://hostname/CertSrv に移動します。ここで、"hostname" は、Microsoft 証明書サービスを実行しているコンピュータの名前です。

  3. [証明書の要求] をクリックし、[次へ] をクリックします。

  4. [要求する種類の選択] ページで、[要求の詳細設定] をクリックし、[次へ] をクリックします。

  5. [証明書の要求の詳細設定] ページで、[Base 64 エンコード PKCS #10 ファイルを使用して証明書の要求を送信するか、または Base 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信します。] をクリックし、[次へ] をクリックします。

  6. [保存した要求の送信] ページで、[Base 64 エンコード 証明書の要求 (PKCS #10 または #7)] ボックスの内側をクリックし、Ctrl + V キーを押して、クリップボードにコピーされている証明書要求を貼り付けます。

  7. [証明書テンプレート] ボックスで、[Web サーバー] をクリックします。

  8. [送信] をクリックします。

  9. Internet Explorer を閉じます。

 ページのトップへ

証明書を発行する

• 証明書を発行するには

  1. [管理ツール] プログラム メニューから [証明機関] ツールを起動します。

  2. 目的の証明機関を展開し、[保留中の要求] フォルダを選択します。

  3. 前の手順で提出した証明書要求を選択します。

  4. [操作] メニューの [すべてのタスク] をポイントし、[発行] をクリックします。

  5. 証明書が [発行した証明書] フォルダ内に表示されていることを確認し、証明書をダブルクリックして内容を表示します。

  6. [詳細設定] タブで、[ファイルにコピー] をクリックし、証明書を Base 64 エンコード X.509 証明書として保存します。

  7. 証明書のプロパティ ウィンドウを閉じます。

  8. [証明機関] ツールを閉じます。

 ページのトップへ

Web サーバーに証明書をインストールする

ここでは、前の手順で発行した証明書を Web サーバーにインストールします。

• Web サーバーに証明書をインストールするには

  1. インターネット インフォメーション サービスを起動します (まだ実行されていない場合)。

  2. サーバー名を展開し、証明書をインストールする Web サイトを選択します。

  3. その Web サイトを右クリックし、[プロパティ] をクリックします。

  4. [ディレクトリ セキュリティ] タブをクリックします。

  5. [サーバー証明書] をクリックして、サーバー証明書ウィザードを起動します。

  6. [保留中の要求を処理し、証明書をインストールします] をクリックし、[次へ] をクリックします。

  7. CA から発行された証明書が格納されているファイルのパスとファイル名を入力し、[次へ] をクリックします。

  8. 証明書の概要をチェックした後、[次へ] をクリックし、[完了] をクリックします。

     これで、証明書が Web サーバーにインストールされました。

 ページのトップへ

SSL アクセスを要求するようにリソースを構成する

ここでは、インターネット サービス マネージャを使って、SSL アクセスを要求するように仮想ディレクトリを構成します。SSL の使用を必須とする対象として、特定のファイル、ディレクトリ、または仮想ディレクトリを指定できます。指定したリソースにクライアントがアクセスするには、HTTPS プロトコルを使用する必要があります。

• SSL アクセスを要求するようにリソースを構成するには

  1. インターネット インフォメーション サービスを起動します (まだ実行されていない場合)。

  2. サーバー名と Web サイトを展開します。この Web サイトは、証明書をインストールした Web サイトであることが必要です。

  3. 仮想ディレクトリを右クリックし、[プロパティ] をクリックします。

  4. [ディレクトリ セキュリティ] タブをクリックします。

  5. [セキュリティ保護された通信] で [編集] をクリックします。

  6. [保護されたチャンネル (SSL) を要求する] をクリックします。
     これにより、クライアントがこの仮想ディレクトリにアクセスするには、HTTPS の使用が必須になりました。

  7. [OK] を 2 回クリックして、プロパティ ダイアログ ボックスを閉じます。

  8. インターネット インフォメーション サービスを終了します。

 ページのトップへ