Active Directory 証明書サービスでIIS7のSSL認証を構成する

Windows Server 2008 R2に証明書サービスをインストールし、
CA証明書の配布(インポート)を行いました。

Windows Server 2008 R2に証明書サービスをインストールする
Active Directory 証明書サービスで発行したCA証明書の配布方法

ここからが本題なのですが、この証明書サービスを使用して
IIS7にSSLを構成してみます。










ドメイン証明書による作成



Active Directory 証明書サービスを実行しているサーバーと、
これからIISにSSL構成を行うサーバーが同じドメインに属しているのなら、
この方法が一番簡単だと思います。


サーバーマネージャーを起動し、
「役割」-「Webサーバー(IIS)」-「インターネットインフォメーションサービス(IIS)マネージャー」
を開きます。

中央のホームに「サーバー証明書」という項目があるので、ダブルクリックして機能を開きます。

85_001.png


画面右側の「ドメイン証明書の作成」を選択します。

85_002.png



証明書の作成ウィザードが開始されます。

ここで注意するのは、「一般名」の項目です。
「一般名」には、httpsでアクセスする際の名称を指定します。

このサーバーの名前は「dc」で、ブラウザからはhttps://dc/でアクセスすることを
想定しているため、一般名には「dc」とだけ入力しています。

もし、https://dc.domain.local/でアクセスすることを想定しているのであれば、
ここの一般名は「dc.domain.local」と入力します。

85_003.png



オンライン証明機関の指定では、まず「選択」ボタンを押します。

85_004.png


使用できる証明機関が表示されますので、選択してOK。

85_005.png



選択後はこのような表示になります。
フレンドリ名には、わかりやすい適当な名称を入力します。

85_006.png


こんな感じで、サーバー証明書が登録出来ました。

85_007.png













証明書要求による証明書の作成




ドメイン証明書の作成が行えない場合は、証明書の要求により証明書の作成を行います。


上記のドメイン証明書の作成の場合と同じく、サーバーマネージャーを起動し、
「役割」-「Webサーバー(IIS)」-「インターネットインフォメーションサービス(IIS)マネージャー」
を開きます。

中央のホームに「サーバー証明書」という項目があるので、ダブルクリックして機能を開きます。

画面右側の「証明書の要求の作成」を選択します。

85_008.png



証明書の要求ウィザードが始まります。
一般名にhttpsでアクセスするときの名称を、それ以外は任意の値を入力します。

85_009.png



暗号化サービスプロバイダーには、デフォルトの「Microsoft RSA SChannel Cryptographic Provider」を、
ビット長はこれもデフォルトの1024としました。

85_010.png


証明書の要求のファイル名を適当に指定します。
今回はデスクトップに「証明書要求.txt」を保存するように指定しました。

85_011.png



デスクトップに証明書要求.txtが作成されます。
ファイルの内容はこんな感じ。

85_012.png




次にブラウザを起動し、http://(認証局サービスを提供しているサーバー)/certsrv/にアクセスします。

Microsoft Active Director証明書サービスの画面が表示されたら、
「タスクの選択」から「証明書を要求する」を選択します。

85_013.png



証明書の要求では、「証明書の要求の詳細設定を送信する」を選択します。

85_014.png



証明書の要求の詳細設定画面では、
「Base64エンコードCMCまたはPKCS#10ファイルを使用して証明書の要求を送信するか、
またはBase64エンコードPKCS#7ファイルを使用し得t更新の要求を送信する。」
を選択します。

85_015.png



証明書の要求または送信要求の送信画面が表示されます。
「保存された要求」のテキストエリアには、先程の証明書の要求ウィザードで
出力した「証明書要求.txt」の内容をコピーし、貼り付けます。

証明書テンプレートは、「Webサーバー」を選択します。

入力と選択が終わったら、送信ボタンをクリック。

85_016.png


証明書は発行されました画面に遷移します。
「証明書のダウンロード」をクリックして、ファイルのダウンロードを行います。

85_017.png



これでブラウザでの作業は終了です。
サーバーマネージャーの画面に戻り、「証明書の要求の作成」の下にある
「証明書の要求の完了」を選択します。

85_018.png


証明書の要求を完了するウィザードが開始されます。
「証明機関の応答が含まれるファイルの名前」に、先程ブラウザでダウンロードした
ファイルを指定します。

フレンドリ名には、わかりやすい適当な名前を入力します。

85_019.png


こんな感じで、サーバー証明書が登録出来ました。

85_020.png











httpsポートのバインド




ドメイン証明書による作成、証明書要求による証明書の作成のいずれかでサーバー証明書を
登録したら、次はhttpsポートのバインドを行い、SSLを有効にします。

サーバーマネージャーを起動し、
「役割」-「Webサーバー(IIS)」-「インターネットインフォメーションサービス(IIS)マネージャー」
を選択します。

さらに、「[サーバー名]」-「サイト」-「Default Web Site」を選択。
画面右側にある「バインド」をクリックします。

85_021.png


サイトバインドという画面が表示されます。
初期状態だと、httpの設定しかないと思います。

右上の「追加」ボタンをクリック。

85_022.png


サイトバインドの追加画面が表示されます。
「種類」を「https」に変更。
「SSL証明書」で、サーバー証明書を登録するときに「フレンドリ名」で入力した項目を選択します。

85_023.png


サイトバインドにhttpsが追加されました。
「閉じる」で終了します。

85_024.png


これで設定は完了です。











接続テスト



ブラウザを起動し、https://(サーバー名)/を開いてみます。
警告なしで画面が表示されれば、設定は上手くいってます。

85_025.png



接続するときは、証明書の作成ウィザードの「一般名」で入力した内容を
意識する必要があります。

今回、ウィザードで一般名に「dc」と入力したので
https://dc/
でアクセスしています。


このサーバー、domain.localに属しているので、正式名はdc.domain.localとなります。
試しに、
https://dc.domain.local/
でアクセスすると・・・

「このWebサイトで提示されたセキュリティ証明書は、別のWebサイトのアドレスです。」
という警告が表示されます。

85_026.png



サイトを表示させることもできますが、警告付きです。

85_027.png





https://dc.domain.local/でアクセスしたいのであれば、
サーバー証明書を発行するとき、「一般名」に「dc.domain.local」と入力します。

85_028.png



証明書を発行しなおせば、https://dc.domain.local/でアクセスしても警告が表示されなくなります。

85_029.png


ただし、今度はhttps://dc/でアクセスした時に警告が表示されます。







また、
「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません。」
という警告が表示される場合は、証明書のインポートが上手く行っていない可能性が高いです。

85_030.png



Active Directory 証明書サービスで発行したCA証明書の配布方法
こちらを参考に、信頼されたルート証明機関に構築した証明書を登録してやります。







関連記事

コメント

非公開コメント

プロフィール

Author:symfo
blog形式だと探しにくいので、まとめサイト作成中です。
Symfoware まとめ

PR




検索フォーム

月別アーカイブ