サーバー証明書を取得する方法には、独自に証明書を発行する方法と、証明機関から取得する方法の 2 つがあります。ここでは、サーバーに証明書を実装する手順について説明します。証明書の詳細については、「証明書について」を参照してください。
重要 証明書とキー ペアの安全対策は重要です。この 2 つは "必ず" ディスクにバックアップして、安全な場所に保管してください。
独自のサーバー証明書を発行するには
独自のサーバー証明書を発行するかどうかを決定する際には、次の点を考慮する必要があります。
- 証明書サービスが提供する機能を考慮する。Microsoft 証明書サービス 2.0 では、証明書の形式を複数使用することが可能で、証明書に関連する活動の監査またはログの収集を実行できる。
- 独自の証明書を発行する場合のコストを、証明機関から証明書を購入する場合のコストと比較する。
- 証明書サービスの理解と導入、さらに既存のセキュリティ システムやセキュリティ ポリシーとの統合のための準備期間が必要になる場合がある。
- 証明書サービスを使って、証明書の発行と管理を行うカスタマイズ可能なサービスを構築します。イントラネット用にサーバー証明書を作成して、組織の中で証明書管理のポリシーを完全に制御することが可能です。詳細については、Microsoft 証明書サービスのマニュアルを参照してください。
- サーバー証明書ウィザードを使って、サーバー証明書の要求とインストールを行います。
注
- サーバー証明書のオンライン要求は、エンタプライズ証明書サービスに対してのみ可能です。IIS サーバー証明書ウィザードは、同じコンピュータ上のスタンドアロン証明書サービスを認識しません。オフライン証明書要求を使って、要求をファイルに保存し、オフライン要求として処理します。詳細については、証明書サービスのマニュアルを参照してください。ローカルのエンタプライズ証明書サービスを使ったオンライン登録には影響しません。
- SGC 証明書を開く際に、[全般] タブに "情報不足のため、この証明書を検証できません。" というメッセージが表示される場合があります。このメッセージが表示されるのは、SGC 証明書と Windows がデータをやりとりするためであり、必ずしも、証明書に問題があるということを意味するものではありません。
証明機関からサーバー証明書を取得するには
現在のサーバー証明書を置き換える場合、新しい証明書の要求が完了するまで IIS は旧証明書を使用します。
- ビジネス ニーズに合うサービスを提供している証明機関を探し、サーバー証明書を要求します。
証明機関を選ぶ際には、次の点を考慮する必要があります。
- その証明機関は、サーバーにアクセスするすべてのブラウザと互換性がある証明書を発行できるかどうか。
- その証明機関は信頼できる組織かどうか。
- その証明機関は、どのように身元を確認するか。
- その証明機関には、サーバー証明書ウィザードで生成される要求などの、オンラインの証明書要求を受信するシステムがあるかどうか。
- 初めて証明書を取得する際にかかるコスト、また更新その他のサービスにかかるコスト。
- その証明機関は、証明書を利用する組織または会社の業務分野に精通しているかどうか。
- サーバー証明書ウィザードを使って、証明機関に送信する証明書要求を作成します。
- 証明機関に要求を送信します。証明機関は、要求を処理して証明書を発行します。
注 証明機関によっては、要求を処理する前または証明書を発行する前に、身元確認を要求する場合があります。
- サーバー証明書ウィザードを使って、取得した証明書をインストールします。
注 IIS スナップインでサーバー証明書ウィザードを使用してサーバーに割り当てるサーバー証明のオンライン要求を送信すると、証明機関 (CA) に割り当てられた証明書がサーバーにインストールされます。"Issued Certificates" フォルダに、サーバーに対して発行された証明書が表示されますが、その証明書は実際は CA に対して発行されています。
この問題に対処するには、証明要求を作成しているときにオフラインにします。サーバー証明書ウィザードで、[証明書の要求を作成して後で送信する] を選択します。[オンライン証明期間に直ちに要求を送信する] は選択しないでください。
IIS の旧バージョンでは、キー マネージャを使ってサーバー証明書をバックアップしていました。このバージョンでは、キー マネージャに代わってサーバー証明書ウィザードを使用します。IIS は Windows と密接に連動するため、証明書管理ツールを使って、サーバー証明書をエクスポートおよびバックアップすることができます。
サーバー証明書をバックアップするには
- 正しい証明書ストアを特定します。通常は、証明書マネージャのローカル コンピュータのストアです。
注 証明書マネージャが MMC にインストールされていない場合は、インストールしてください。
- 個人ストアで証明書を選択します。
- [操作] メニューの [タスク] をポイントし、[エクスポート] をクリックします。
- Certificate Manager Export ウィザードまたは証明書のエクスポート ウィザードで、[はい、秘密キーをエクスポートします] をクリックします。
- ウィザードの既定の設定をそのまま使用します。画面の指示に従って、証明書バックアップ ファイルのパスワードを入力します。
重要 [正しくエクスポートされたときは秘密キーを削除する] はクリック "しないで" ください。これを選択すると、現在使用中のサーバー証明書が使用できなくなります。
- ウィザードを終了すると、サーバー証明書のバックアップ コピーがエクスポートされます。
MMC に証明書マネージャを追加するには
証明書マネージャが既に MMC にインストールされている場合は、MMC に正しいローカル コンピュータの証明書ストアが示されます。
- MMC コンソールを開き、[ファイル] メニューの [スナップインの追加と削除] をクリックします。
- [追加] をクリックします。
- [証明書] をクリックします。
- [追加] をクリックします。
- [コンピュータの管理] をクリックします。
- [ローカル コンピュータ] をクリックします。
- [完了] をクリックします。
サーバー証明書とアップグレード
IIS 5.1 がサーバー証明書を使用する方法が変更されたため、Microsoft Windows XP にアップグレードした後にサーバー証明書の削除と再割り当てに問題が発生する場合があります。この問題に対処するには、次の Visual Basic スクリプトを使用してメタベース設定を変更し、証明書を削除します。さらに、IIS のサーバー証明書ウィザードを使用して証明書を再割り当てします。
'Set Machinename to the name of the machine or localhost
Set PathObj = GetObject("IIS://" & MachineName & "/w3svc")
PathObj.PutEx 1, "SSLCertHash", ""
PathObj.PutEx 1, "SSLStoreName", ""
PathObj.Setinfo
© 1997-2001 Microsoft Corporation.All rights reserved.