今回は、Active Directory 証明書サービス (AD CS) で 電子証明書 を作成し、その証明書を IIS に登録することで SSL/TLS(https) 通信できるように設定します。
IIS で 証明書の要求の作成
インターネットインフォメーションサービス (IIS) マネージャー から要求の作成を行います。
- IIS で コンピュータ を選択
- [サーバー証明書] を ダブルクリック して開く
- [証明書の要求の作成] を選択
- 必要事項を入力して「次へ」を選択※[注意] [一般名](=CN) には クライアントからみた Webサービス の ホスト名 を記載します。
- 「次へ」を選択
- 「証明書の要求」(=テキストファイル)の出力先を指定して、「終了」を選択
- "request.txt" ができる
AD CA で 電子証明書の発行
上記手順で作成した「証明書の要求」を元に、Active Directory 証明書サービス (AD CA) で電子証明書を発行します。
- サーバーマネージャーから [ツール]-[証明機関] を選択
- 電子証明書を発行したい証明機関を右クリック、[すべてのタスク]-[新しい要求の送信] を選択
- 上記手順で作成した「証明書の要求」(テキストファイル)を選択
- [証明機関(ローカル)]-[証明機関]-[保留中の要求] を開く
- 「証明書の要求」を右クリック、[すべてのタスク]-[発行] を選択
- [証明機関(ローカル)]-[証明機関]-[発行した証明書] を開く
- 「作成した証明書」を右クリック、[開く] を選択
- 「詳細」タブ へ移動
- 「ファイルにコピー」を選択
- 「次へ」を選択
- 「次へ」を選択
- ファイル出力先を指定して、「次へ」を選択
- 出力内容を確認して、「完了」を選択
- "response.cer" ができる
IIS で 証明書の要求の完了
上記で作成された証明書ファイルを IIS に登録します。
- 「接続」パネルから コンピューター を選択して、[証明書の要求の完了] を選択
- 証明書ファイル、フレンドリ名を指定して「OK」を選択※「証明書ストア」選択肢の「個人」と「Web ホスティング」の主な違いは、「Web ホスティング」の方が「個人」よりも多くの証明書発行に対応している点だそうです。
- サーバー証明書のリストに追加されていることを確認
IIS で https 通信 の設定
IIS に登録された 電子証明書 を利用して、SSL/TLS (https) 通信できる構成を行います。
- 接続パネルから [コンピューター]-[サイト]-[Default Web Site] を選択
- [バインド] を選択
- 「追加」を選択
- 種類を "https"、SSL 証明書を "IIS に登録した 証明書 の フレンドリ名" を指定して「OK」を選択
- https が追加されていることを確認して閉じる
以上で作業は終わりです…が、このままの状態でクライアントからWebサーバーへアクセスすると警告が表示されるハズです。 AD CA が安全かどうかわからないことが原因で、次の2つを行えば警告が出ないようにできます。
関連記事
- IIS で SSL/TLS を 自己署名入り証明書 で 設定 する方法
- Windows Servier 2012 で 証明書サービス(認証局) の 構築
- Active Directory 証明書サービス(AD CA) の ルート証明書 を エクスポート する 方法
- 信頼されたルート証明機関 に 電子証明書 を インポート する方法
最後に… このブログに興味を持っていただけた方は、 ぜひ 「Facebookページ に いいね!」または 「Twitter の フォロー」 お願いします!!