Certificate Server 2.0 を使用して Windows 2000 IIS 5.0 のテスト環境で SSL を構成する方法

文書番号: 290625 - 対象製品
この記事は、以前は次の ID で公開されていました: JP290625
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Windows 2000 インターネット インフォメーション サービス (IIS) 5.0 開発テスト環境で SSL (Secure Sockets Layer) をセットアップする方法を、手順を追って説明します。Microsoft Certificate Server 2.0 はさまざまな証明書を作成できますが、この資料では標準的な Web 証明書の作成方法のみを取り上げます。

証明書の要求を作成する

Web サーバー証明書を作成するには、以下の手順を実行します。
  1. インターネット サービス マネージャの MMC (Microsoft 管理コンソール) を開きます。MMC を開くには、[スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[インターネット サービス マネージャ] をクリックします。
  2. サーバー名をダブルクリックして、すべての Web サイトを表示します。
  3. 証明書をインストールする Web サイトを右クリックして、[プロパティ] をクリックします。
  4. [ディレクトリ セキュリティ] タブをクリックします。

    3 つのセキュリティ メソッドが表示されます。証明書の要求の作成に使用するのは、[セキュリティ保護された通信] です。
  5. [サーバー証明書] をクリックします。証明書ウィザードが開始します。[次へ] をクリックして続行します。
  6. [証明書の新規作成] をクリックし、[次へ] をクリックします。
  7. [証明書の要求を作成して後で送信する] をクリックし、[次へ] をクリックします。
  8. 証明書の名前を入力し、ビット長を選択します。現在のテスト環境で必要ない限り、[SGC 証明書] チェック ボックスをオンにしないでください (SGC 証明書の詳細については、「証明書の要求を作成する」の最後の注を参照してください)。[次へ] をクリックして続行します。
  9. 組織と部門の名前 (たとえば、法人名と開発部署名) を入力します。[次へ] をクリックします。
  10. [一般名] に、FQDN (完全修飾ドメイン名) かサーバー名のいずれかを入力します。インターネットを経由して使用する証明書を作成する場合、FQDN の使用をお勧めします。[次へ] をクリックします。
  11. 地理情報を入力し、[次へ] をクリックします。
  12. 証明書の情報を保存する先のパスとファイル名を入力します。[次へ] をクリックして続行します。

    : 後でこのファイルにアクセスする必要があるため、デフォルトの場所とファイル名以外のものを入力した場合は、指定したファイル名と場所をメモしておいてください。
  13. 入力情報を確認し、[次へ] をクリックして処理を完了し、証明書の要求を作成します。
  14. [サーバー証明書ウィザードの完了] ダイアログ ボックスで、[完了] をクリックします。
  15. [OK] をクリックして、Web サイトのプロパティを適用します。
: SGC (Server Gated Cryptography) 証明書は、金融機関で最も多く使用されています。金融機関では、他国のユーザーが使用する場合や暗号化が 40 ビットに制限されているブラウザと接続する場合であっても、高度に暗号化された接続を必要とします。国際対応のブラウザ (40 ビット) への接続時、SGC 証明書は 128 ビット トンネルを作成し、128 ビットの暗号強度を提供します。セキュリティで保護された接続またはセッションが終了すると、中間の証明書トンネルは閉じられます。

また、SGC 証明書には、厳密にドメイン固有という性質があります。一般的には、証明書のドメイン名が Web サイトのドメインと一致しない場合、その事実を通知する警告が表示され、続行するかどうかを選択できます。しかし、SGC 証明書では警告が表示されたり、別の選択肢が提供されたりすることはありません。接続が失敗した場合でも説明は表示されません。

証明書の要求を送信する

証明書の要求を送信するには、以下の手順を実行します。
  1. ブラウザを起動し、http://YourWebServerName/certsrv/ を開きます。
  2. [証明書の要求] をクリックし、[次へ] をクリックします。
  3. [要求の詳細設定] をクリックして、[次へ] をクリックします。
  4. [Base 64 エンコード PKCS #10 ファイルを使用して証明書の要求を送信するか、または Base 64 エンコード PKCS #7 ファイルを更新の要求を送信します] (2 番目のオプション) をクリックし、[次へ] をクリックします。
  5. メモ帳で、最初の処理「証明書の要求を作成する」で作成した要求のドキュメントを開きます。
  6. ドキュメントのコンテンツをコピーします。

    コンテンツは次のような内容になります。 
    -----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-------
    : デフォルトのファイル名と場所でドキュメントを保存した場合、このドキュメントは C:\Certreq.txt に格納されています。

    : 上で示したとおりに、コンテンツをすべてコピーしてください。
  7. ドキュメントのコンテンツを Web フォームの [Base 64 エンコード証明書の要求 (PKCS #10 または #7)] ボックスに貼り付けます。[送信] をクリックします。
  8. 証明書サーバーが [常に証明書を発行する] に設定されている場合、すぐに [証明書は発行されました] ページが表示されます。アドレス バーは次のように表示されます。
    http://YourWebServerName/certsrv/certfnsh.asp
    このページで、Web サーバー証明書を直ちにダウンロードできます。この操作を行うには、[証明書は発行されました] ページに表示される手順を実行します。

    1. 先頭のリンク、[CA 証明書のダウンロード] をクリックします ([CA 証明書のパスのダウンロード] をクリックしないでください)。
    2. [ファイルのダウンロード] ダイアログ ボックスが表示されたら、[このファイルをディスクに保存する] をクリックし、デスクトップまたはわかりやすい場所に証明書を保存します。
    3. 次に、「証明書をインストールする」に進みます。
  9. 証明書サーバーが [証明書の要求の状態を保留に設定する] に設定されている場合、次の "保留中の証明書" というメッセージが表示されます。 
    保留中の証明書
証明書の要求を受信しました。要求した証明書を管理者が発行するのをお待ちください。
証明書を取得するには、1 日から 2 日後にこのウェブ サイトを再度参照してください。
注意: 証明書を取得するには、10 日以内にこの Web ブラウザで再度参照してください。
    続行するには、「証明書を発行する」に進みます。
: 証明書の発行ポリシーの構成については、付録 A を参照してください。

証明書を発行する

証明書サーバーで証明書を発行する (つまり、承認する) には、以下の手順を実行します。
  1. 証明機関 MMC (Microsoft 管理コンソール) スナップインを開きます。証明機関スナップインを開くには、[スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[証明機関] をクリックします。
  2. [証明機関] を展開します。
  3. [保留中の要求] フォルダをクリックします。保留中の証明書の要求がウィンドウの右側に表示されます。
  4. (この資料の 3 番目の処理で送信した) 保留中の証明書の要求を右クリックし、[すべてのタスク] をポイントし、[発行] をクリックします。

    : [発行] をクリックすると、証明書はこのウィンドウおよびフォルダに表示されなくなります。証明書は [発行した証明書] フォルダに格納されます。

    : 証明書の発行ポリシーの構成については、付録 A を参照してください。

証明書をダウンロードする

証明書を発行 (および承認) すると、証明書サーバーの Web インターフェイスに戻り、証明書を選択およびダウンロードできます。
  1. http://YourWebServerName/certsrv/ を開きます。

    : certsrv は小文字で入力する必要があります。大文字を使用した場合、保留中の要求は表示されません。

  2. デフォルトのページで、[保留中の証明書の確認] をクリックし、[次へ] をクリックします。

    : デフォルトの最初のページで [CA 証明書または証明書失効リストの取得] をクリックすると、Web サーバー証明書ではなく、ルート証明機関証明書がダウンロードされます。ルート証明機関証明書を Web サイトにインストールしようとすると、次のエラー メッセージが表示されます。
    選択された証明書は既に他のサーバーにインストールされています。ほかの応答ファイルを選択してください。
  3. 保留中の証明書をクリックし、[次へ] をクリックしてダウンロード ページを開きます。
  4. ダウンロード ページの先頭のハイパーリンク [CA 証明書のダウンロード] をクリックします ([CA 証明書のパスのダウンロード] をクリックしないでください)。
  5. [ファイルのダウンロード] ダイアログ ボックスが表示されたら、[このファイルをディスクに保存する] をクリックし、デスクトップかまたはわかりやすい場所に証明書を保存します。
証明書の発行とダウンロードが完了しました。

次の手順は、証明書のインストールと SSL で暗号化された Web サイトのセットアップです。

証明書をインストールする

SSL 証明書のインストールとセットアップにはいくつかの方法があります。たとえば、証明書をダブルクリックし、証明書のインストール ウィザードを使用して証明書をあらかじめインストールしてから、サイトにバインドできます。この資料では、Web サーバー証明書ウィザードからインターネット サービス マネージャ MMC を使用して、証明書をインストールする方法を説明します。

証明書サーバーで証明書をインストールするには、以下の手順を実行します。
  1. インターネット サービス マネージャを起動し、サーバー名を展開して、Web サイトを表示します。
  2. 証明書の要求を作成する Web サイトを右クリックし、[プロパティ] をクリックします。
  3. [ディレクトリ セキュリティ] タブをクリックします。[セキュリティ保護された通信] の [サーバー証明書] をクリックします。

    サーバー証明書ウィザードが開始されます。[次へ] をクリックして続行します。
  4. [保留中の要求を処理し、証明書をインストールする] をクリックし、[次へ] をクリックします。
  5. この資料の「証明書をダウンロードする」でダウンロードした証明書の場所を入力し、[次へ] をクリックします。
  6. ウィザードに証明書の概要が表示されます。情報が正しいことを確認し、[次へ] をクリックして続行します。
  7. [完了] をクリックして処理を完了します。

証明書を構成してテストする

証明書の構成およびテストを行うには、以下の手順を実行します。
  1. [ディレクトリ セキュリティ] タブの [セキュリティ保護された通信] で 3 つのボタンがクリックできるようになったことに注意してください。Web サイトでセキュリティ保護された通信を必須とするように設定するには、[編集] をクリックします。[セキュリティ保護された通信] ダイアログ ボックスが表示されます。
  2. [保護されたチャンネル (SSL) を要求する] チェック ボックスをオンにし、[OK] をクリックします。
  3. [適用] をクリックし、[OK] をクリックして、[プロパティ] ウィンドウを閉じます。
  4. サイトを表示して、証明書が機能していることを確認します。
    1. ブラウザに http://localhost/Postinfo.html と入力し、HTTP を経由してサイトにアクセスします。以下のようなエラー メッセージが表示されます。
      HTTP 403.4 - アクセスは許可されていません: SSL が必要です。
    2. ブラウザに https://localhost/postinfo.html と入力し、セキュリティ保護された接続 (https) を使用して、同じ Web ページにアクセスします。

      : Postinfo.html ページは、デフォルトの Web サイトのルートにある基本的な HTML ページです。

    3. 証明書が信頼されたルート証明機関のものではないことを示すセキュリティの警告が表示されたら、[はい] をクリックして Web ページを続行します。

      : ブラウザの信頼されたルート証明機関一覧に自分のルート証明機関を追加する方法については、付録 B を参照してください。
ページが表示される場合は、証明書は正常にインストールされています。

付録 A : 証明書の発行ポリシーを変更する方法

証明書を要求に応じて (承認なしで) 発行するか、すべての要求を証明機関 MMC スナップインにて送信し事前に承認するかを選択できます。これを行うには、以下の手順を実行します。
  1. 証明機関ツールを起動します。起動するには、[スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[証明機関] をクリックします。
  2. 証明機関名を右クリックし、[プロパティ] をクリックします。
  3. [プロパティ] ウィンドウで、[ポリシー モジュール] タブをクリックし、[構成] をクリックします。
  4. [既定の操作] タブで、次のいずれかのオプションをクリックします。
    • [証明書の要求の状態を保留に設定する] : 管理者は明示的に証明書を発行する必要があります。
    • [常に証明書を発行する] : これにより、承認を必要とせず直ちに証明書が発行されます。

      : 証明書がネットワーク上で認識されている場合、2 番目のオプションをクリックする必要があります。

付録 B : ルート証明機関証明書を Internet Explorer 5.x の信頼されたルート証明機関一覧にインストールする

Web サイトのユーザーがルート証明機関証明書を取得する方法はいくつかあります。1 つの方法は、電子メールで証明書を送信し、ユーザーは電子メールから証明書をインストールします。もう 1 つの方法は、Web サイト上に証明書へのリンクを設けたダウンロード ページを追加します。企業全体のソリューションとして、Internet Explorer 管理者キット (IEAK) を使用して、ユーザーの Internet Explorer ブラウザの信頼されたルート証明機関一覧に、ルート証明機関証明書を Web サイトからインストールするという方法があります。ただし、この付録で説明されているように、ユーザーが証明書を入手した後、Internet Explorer の信頼されたルート証明機関一覧に証明書をインストールする方法は同じです。

: Internet Explorer は、サイト証明書が後から作成された証明書ではなく、証明書サーバーのインストール時に作成されたルート証明機関の証明書であることを信頼する必要があります。このためには、証明書のインストールが必要です。

この資料の目的のために、http://<YourServerName>/certsrv/ にある証明書サービス Web インターフェイスを使用して証明書をダウンロードします。最初のページが表示されたら、[CA 証明書または証明書失効リストの取得] をクリックし、[次へ] をクリックします。

ここでは、2 つのオプションがあります。
  • [この CA 証明書のパスのインストール] : 現在接続中のブラウザにルート証明機関の証明書をインストールする場合、[この CA 証明書のパスのインストール] リンクをクリックすると、自動的にルート証明機関の証明書が Internet Explorer ブラウザの信頼されたルート証明機関一覧にインストールされます。

    インストールの完了後、確認のページが表示されます。

  • [CA 証明書のダウンロード] : ルート証明機関の証明書を別の Internet Explorer ブラウザのルート証明機関一覧にインストールする必要がある場合、証明書のダウンロード後、以下の手順に従ってインストールを行えます。
    1. [CA 証明書のダウンロード] をクリックします。
    2. [このファイルをディスクに保存する] をクリックします。
    3. ルート証明機関の証明書を保存した場所に移動し、証明書をダブルクリックして、その証明書の [プロパティ] ウィンドウを開きます。
    4. [証明書のインストール] をクリックして証明書のインポート ウィザードを開始します。[次へ] をクリックして続行します。
    5. [証明書をすべて次のストアに配置する] をクリックします。
    6. [参照] をクリックして [信頼されたルート証明機関] をクリックします。[次へ] をクリックします。
    7. 設定内容を確認し、[完了] をクリックします。

      次のメッセージが表示されます。
      正しくインポートされました。
    8. [OK] をクリックしてこのメッセージを閉じ、[OK] をクリックして [プロパティ] ウィンドウを閉じます。
    信頼されたルート証明機関の警告が再度表示されるかどうかを確認するには、ブラウザを閉じて再度開き、次の Web サイトを表示します。
    https://<MySecureWebsite>/Postinfo.html
    : Postinfo.html ページは、デフォルトの Web サイトのルートにある基本的な HTML ページです。

    このサイトが表示できれば、ルート証明機関は Internet Explorer ブラウザの信頼されたルート証明機関一覧に正しく追加されています。

先頭へ戻る | フィードバック

関連情報

IIS 5.0 での証明書の使用の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
232136
(http://support.microsoft.com/kb/232136/ )
[HOW TO] Internet Information Services 5.0 のサーバー証明書のバックアップ方法
概要 : IIS 5.0 を使用する場合、サーバー証明書のバックアップ作業が必要な場合があります。Windows 2000 で新しく導入された証明書スナップインを使用すると、この処理を容易に実行できます。

232137
(http://support.microsoft.com/kb/232137/ )
[IIS] サーバー証明書をインポートして IIS 5.0 で使用する方法
概要 : IIS 5.0 を使用する場合に、たとえば、ある Web サイトを Web ファーム内の別の Web サーバーに移行するときなど、サーバー証明書の復元作業が必要な場合があります。Windows 2000 と IIS 5.0 により提供される Web サイトの証明書ウィザードと証明書マネージャのインポート ウィザードを使用すると、この作業を非常に容易に実行できます。
248107
(http://support.microsoft.com/kb/248107/ )
[IIS]Certificate Services の Web フォームを使用してサーバー証明書を作成する
概要 : IIS 5.0 コンピュータで、セキュリティで保護された通信 (SSL および TLS (Transport Layer Security) など) を有効にする場合、最初にサーバー証明書を入手する必要があります。Windows 2000 の証明書と IIS 5.0 の新機能を組み合わせると、複数の方法でサーバー証明書を入手できます。
227888
(http://support.microsoft.com/kb/227888/ )
[IIS] Internet Information Services 5.0 で使用するキー バックアップ ファイルのインポート
概要 : IIS 5.0 のインストール後、以前のバージョンの IIS (Internet Information Server) からバックアップ キー ファイルをインポートする作業が必要な場合があります。インポートすると、新しいサーバー上で SSL 機能が使用可能になり、古いサーバーと交換できます。
201255
(http://support.microsoft.com/kb/201255/ )
[IIS]IIS で SGC を有効にする
概要 : この資料では、IIS (Internet Information Server) を実行するコンピュータで SGC (Server Gated Cryptography) を要求して有効にする方法について説明します。
295298
(http://support.microsoft.com/kb/295298/ )
[IIS] INFO: IIS 5: 保留中の要求のチェックによって発生する動作
概要 : この資料では、証明書サービス Web ページを使用して証明書要求を Certificate Services 2.0 に送信したときに発生する動作、および証明書サービス Web ページで未処理の要求を表示したときに発生する動作を簡単に説明します。
323470
(http://support.microsoft.com/kb/323470/ )
セキュリティで保護された WebDAV 発行ディレクトリを作成する方法
概要 : この資料では、セキュリティで保護された WebDAV (Web Distributed Authoring and Versioning) 発行ディレクトリを作成する方法について説明します。
313071
(http://support.microsoft.com/kb/313071/ )
[HOWTO] Internet Information Services 5.0 で証明書信頼リストを構成する方法
概要 : この資料では、IIS 5.0 の証明書信頼リスト ウィザードを使用して CTL (証明書信頼リスト) を作成および構成する方法について説明します。
先頭へ戻る | フィードバック

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 290625
(http://support.microsoft.com/kb/290625/EN-US/ )
(最終更新日 2004-07-01) を基に作成したものです。
先頭へ戻る | フィードバック

プロパティ

文書番号: 290625 - 最終更新日: 2005年9月26日 - リビジョン: 2.1
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
  • Microsoft Certificate Services 2.0
キーワード:?
kbhowto kbhowtomaster KB290625
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る