AC-5

某SEの雑記帳

Windows Server のIIS 8にSSL証明書を設置する

   

IISのインストール

まずはWebサーバーをインストールする必要があります。
LinuxなどではApache等が有名ですが、Windows ServerではIISを利用するのが一般的です。

サーバーマネージャーの役割と機能の追加から、Webサーバー(IIS)をインストールしておいてください。

CSRの作成

管理ツールから、「インターネット インフォメーション サービス(IIS)マネージャー」を起動させます。

左側からサーバーを選択します。

サーバー証明書をダブルクリックします。

右側にある、証明書の要求の作成という箇所をクリックします。

ウィザードが立ち上がるので、それぞれ入力します。
全てアルファベットで入力する必要があります。
言い回しが一部独特ですが、
一般名:コモンネーム
組織:会社名
組織単位:部署など
市区町村:市区町村名
都道府県:都道府県
国/地域:JP
となります。

暗号化サービスプロバイダー:Microsoft RSA SChannel Cryptographic Provider
ビット長:2048
を選んで次へを押します。

適当に保存する場所を選択して、テキストファイルで保存します。

CSRが作成されました。

SSL証明書の設置

今回はFUJI SSLというのを申し込んだところ、下記のようなファイルが納品されました。
メールベタ打ちで納品される事もありますが、その際はテキストエディタに貼り付けて保存すれば大丈夫です。
今回の場合は、server.crtがサーバ証明書で、ca-bundle.caが中間証明書になります。

証明書の要求の完了という項目から設置する方法が他のサイトにはありましたが、今回それだとエラーが出てうまくいきませんでした。
単純に、先程のserver.crtファイルをダブルクリックすると、ウィザードが立ち上がりインストールができます。
server.crtをダブルクリックします。
すると証明書の画面が立ち上がるので、証明書のインストールを押します。

証明書のインポートウィザードが立ち上がるので、保存場所をローカルコンピューターにします。

証明書ストアは自動で大丈夫です。

すると、IISに証明書が表示されてインストールが完了します。

中間証明書の設置

コマンドプロンプトでmmc.exeと入力して、コンソールを開きます。

[ファイル]から[スナップインの追加と削除]をクリックします。

利用できるスナップインから証明書を選択して、追加ボタンを押します。

証明書スナップインでコンピューターアカウントをクリックして、次へを押します。

コンピューターの選択画面で、完了をクリックします。

スナップインの追加と削除の画面もOKを押して閉じます。
証明書MMCスナップインで証明書→中間証明書を右クリックして、すべてのタスク→インポートをクリックします。

証明書のインポートウィザードが表示されるので、中間証明書を選んでインポートします。

バインディングの設定

証明書をインストールしていなくても、ブラウザに警告が出るだけでhttpsでアクセスできるはずなのですが、アクセスできない状態でした。
ファイアウォールでも有効になっているので、
netstat -aで確認してみたところ、443ポートがリッスン(LISTEN)状態で無い事が分かりました。
調べたところ、バインディングの設定を行わないと443ポートがLISTENにならないようです。

IISマネージャーの左側の「接続」パネルで、サーバーの名前→サイトから証明書を設置するサイトを選択します。

右側からバインドを選択します。

サイトバインドが表示されるので、追加を押して、
種類:https
IPアドレス:未使用のIPアドレスすべて
ポート:443
SSL証明書:先程インポートしたサーバー証明書

を選択して追加して終了します。

右側で再起動を押すか、サーバー自体を再起動してhttpsでアクセスして確認します。

 - Windows