...
改版履歴 |
版数 | 日付 | 内容 | 担当 |
V.1.1 | 2014/12/22 | 初版 | NII |
V.1.2 | 2015/5/25 | 中間CA証明書のファイル名を修正 | NII |
V.1.3 | 2016/11/17 | ルートCA証明書のインストールより、[OCSP署名]のチェックを削除 | NII |
V.2.0 | 2018/2/26 | SHA1の記載内容の削除 | NII |
V.2.1 | 2018/3/26 | CT対応版の中間CA証明書について説明を追加 | NII |
V.2.2 | 2018/7/9 | ECDSA対応版のルート証明書、中間CA証明書について説明を追加 | NII |
V.2.4 | 2019/4/22 | ECC認証局 中間CA証明書の名称を変更 | NII |
V.2.5 | 2020/4/13 | 中間CA証明書のファイル名を修正 | NII |
V.2.6 | 2020/8/25 | 中間CA証明書の記載内容を修正 | NII |
V.2.7 | 2020/12/22 | 中間CA証明書を修正 | NII |
目次
1. IIS8.0・IIS8.5 によるサーバ証明書の利用
1-1. 前提条件 前提条件
1-2. 証明書のインストール 証明書のインストール
1-2-1. 事前準備 事前準備
1-2-2. ルートCA証明書のインストール ルートCA証明書のインストール
1-2-3. 中間CA証明書のインストール 中間CA証明書のインストール
1-2-4. サーバ証明書のインストール サーバ証明書のインストール
1-3. サーバ証明書の置き換えインストール サーバ証明書の置き換えインストール
1-4. 起動確認
アンカー |
---|
| _Toc505611501 |
---|
| _Toc505611501 |
---|
|
1. IIS8.0・IIS8.5 によるサーバ証明書の利用 アンカー |
---|
| _Toc505611502 |
---|
| _Toc505611502 |
---|
|
1-1. 前提条件
...
前提条件 |
- 鍵ペア及びCSRを生成する端末にOpenSSLがインストールされていること。
- 証明書をインストールする端末にIISがインストールされていること。
|
...
アンカー |
---|
| _Toc229553989 |
---|
| _Toc229553989 |
---|
|
アンカー |
---|
| _Toc505611508 |
---|
| _Toc505611508 |
---|
|
1 1-2. 証明書のインストール
本章ではIISへのサーバ証明書のインストール方法について記述します。
...
事前準備 |
- [証明書の申請から取得まで]で受領したサーバ証明書をserver.cerという名前で任意の場所に保存してください。
(本マニュアルではローカルディスクのworkディレクトリ[C:\work]に保存しています。)
中間CA証明書を準備します。 次のURLにアクセスすることでリポジトリにアクセスすることが可能です。 リポジトリ: ●リポジトリ(証明書の発行日時が2020年12月25日0時以降の場合):https://repo1.secomtrust.net/sppca/nii/odca3odca4/index.html 【2018年3月26日 14時以前に発行されたサーバー証明書(sha256WithRSAEncryption)をインストールする場合】 SHA-2認証局 CA証明書をnii-odca3sha2.cerという名前で保存したと仮定して以降記載します。 【2018年3月26日 19時以降に発行されたサーバー証明書(sha256WithRSAEncryption)をインストールする場合】 SHA-2認証局 CA証明書(CT対応版)をnii-odca3sha2.cerという名前で保存したと仮定して以降記載します。 【サーバー証明書(ecdsa-with-SHA384)をインストールする場合】 ECC認証局 中間CA証明書はnii-odca3ecdsa******.cer(※)をnii-odca3ecdsa.cerという名前で保存したと仮定して以降記載します。 ※CA Issuersのcerファイル名の******部分には、年月が入ります。(例:nii-odca3ecdsa201903.cer) ルートCA証明書を確認します。Internet Explorerを立ち上げ、[ツール(T)]→[インターネットオプション(O)]で表示される インターネットオプション画面より[コンテンツタブ]を選択し、[証明書(C)]ボタンを押して証明書ストアを表示してください。 証明書画面で[信頼されたルート証明機関]のタブを選択します。 発行先[Security Communication RootCA2]、発行者[Security Communication RootCA2]の証明書、または 発行先[Security Communication ECC RootCA1]、発行者[Security Communication ECC RootCA1]の証明書がある場合は、ルートCA証明書の取得は不要となります。 無い場合は、以下、「1-2-2 ルートCA証明書のインストール手続き」に従い、ルートCA証明書の取得、インストールを実施してください。
|
...
以下の手続きに従って、ルートCA証明書のインストールを行ってください。
※ [1-2-1 事前準備]でルートCA証明書が存在した場合は、本手続きは不要となります。次の「1-2-3 中間CA証明書のインストール」へ進んでください。
...
ルートCA証明書のインストール
...
【サーバー証明書(ecdsa-with-SHA384)利用の場合】
URL:https://repository.secomtrust.net/SC-ECC-Root1/index.html
「Security Communication ECC RootCA1 Certificate(SCECCRoot1ca.cer)」と記述されたリンクを選択してください。
...
2.以降の説明はSCRoot2ca.cerを利用した場合の説明になります。
SCECCRoot1ca.cerを利用する場合もファイル名以外は同様の手順となります。
...
【ルート証明書がSCECCRoot1ca.cerの場合】
発行先「Security Communication ECC RootCA1」、発行者「Security Communication ECC RootCA1」、
「Fingerprint (SHA-1) = b8 0e 26 a9 bf d2 b2 3b c0 ef 46 c9 ba c7 bb f6 1d 0d 41 41」であることを確認してください。
サーバー証明書 RSA認証局 中間CA証明書 「NII Open Domain CA - G7 RSA(SC Organization Validation CA) CA証明書(nii-odca4g7rsa.cer)」 サーバー証明書 ECC認証局 中間CA証明書 「NII Open Domain CA - G7 ECC(SC Organization Validation CA) CA証明書(nii-odca4g7ecc.cer)」
●リポジトリ(証明書の発行日時が2020年12月25日0時以前の場合):https://repo1.secomtrust.net/sppca/nii/odca3/index.html SHA-2認証局CT対応版サーバ証明書 「国立情報学研究所 オープンドメイン SHA-2認証局 CT対応版 CA証明書(nii-odca3sha2ct.cer)」 ECC認証局サーバ証明書 「国立情報学研究所 オープンドメイン ECC認証局 CA証明書(nii-odca3ecdsa201903.cer)」
|
...
以下の手続きに従って、中間CA証明書のインストールを行ってください。
...
中間CA証明書のインストール
...
新規でサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。
...
サーバ証明書のインストール
...
[1-2-1.事前準備]で取得したサーバ証明書と[鍵ペアの生成]で生成した私有鍵をPKCS#12ファイルにします。
サーバ証明書と私有鍵を同じフォルダ内に配置し、以下のコマンドを実行してください。
カレントフォルダ内に、鍵ペアとサイト証明書(SSL/TLS証明書)を連結したPKCS#12の[servername.pfx]が作成されます。
...
CSRをIISで作成した場合(RSA)
...
[証明書の要求を完了する]ウィザードが起動します。[OK]ボタンを押下します。
証明機関の応答が含まれるファイルの名前:【...】ボタンより保存したサーバ証明書を指定します。
フレンドリ名:任意で証明書を識別するための名前を指定します。
新しい証明書の証明書ストアを選択してください:[個人]を指定します。
...
CSRをIISで作成した場合(ECDSA)
...
Microsoft Management Console が表示されます。
...
[ツールバー] > [ファイル] > [スナップインの追加と削除] を選択してください。
Image Removed
...
[コンソールルート] > [証明書 - ローカル コンピューター] > [個人] > [証明書]を選択し、
右クリックメニューから[すべてのタスク] > [インポート]を選択してください。
...
以下の設定になっていることを確認し、[次へ]ボタンを押下してください。
[証明書をすべて次のストアに配置する]を選択
[証明書ストア]で[個人]を指定
...
更新したサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。
既に対象のサーバに証明書をインストールしている場合は、事前にインストールしている証明書の削除が必要となります。
...
サーバ証明書の置き換えインストール
...
本章ではインストールした証明書によるSSL通信に問題がないか確認する方法を記述します。
...
証明書の反映・確認
...
改版履歴
...
版数
...
日付
...
内容
...
担当
...
V.1.1
...
2014/12/22
...
初版
...
NII
...
V.1.2
...
2015/5/25
...
中間CA証明書のファイル名を修正
...
NII
...
V.1.3
...
2016/11/17
...
ルートCA証明書のインストールより、[OCSP署名]のチェックを削除
...
NII
...
V.2.0
...
2018/2/26
...
SHA1の記載内容の削除
...
NII
...
IIS8.0及びIIS8.5(以下IIS)でサーバ証明書を使用する場合の前提条件について記載します。
適時、サーバ証明書をインストールする利用管理者様の環境により、読み替えをお願いします。
(本マニュアルではWindows Server2012、OpenSSL1.0.1eでCSRを作成し、IIS8.0及びIIS8.5へインストールする方法での実行例を記載しております)
...
前提条件
...
- 鍵ペア及びCSRを生成する端末にOpenSSLがインストールされていること。
- 証明書をインストールする端末にIISがインストールされていること。
...
本章ではIISへのサーバ証明書のインストール方法について記述します。
...
事前準備として、サーバ証明書、中間CA証明書を取得してください。また、ルートCA証明書がインストールされているか確認を行ってください。
事前準備 |
- [証明書の申請から取得まで]で受領したサーバ証明書をserver.cerという名前で任意の場所に保存してください。
(本マニュアルではローカルディスクのworkディレクトリ[C:\work]に保存しています。)
中間CA証明書を準備します。 次のURLにアクセスすることでリポジトリにアクセスすることが可能です。 リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3/index.html 【2018年3月26日 14時以前に発行されたサーバー証明書(sha256WithRSAEncryption)をインストールする場合】 SHA-2認証局 CA証明書をnii-odca3sha2.cerという名前で保存したと仮定して以降記載します。 【2018年3月26日 19時以降に発行されたサーバー証明書(sha256WithRSAEncryption)をインストールする場合】 SHA-2認証局 CA証明書(CT対応版)をnii-odca3sha2.cerという名前で保存したと仮定して以降記載します。
【サーバー証明書(ecdsa-with-SHA384)をインストールする場合】 ECC認証局 CA証明書をnii中間CA証明書 をnii-odca3ecdsa.cerという名前で保存したと仮定して以降記載します。
- ルートCA証明書を確認します。Internet Explorerを立ち上げ、[ツール(T)]→[インターネットオプション(O)]で表示される
インターネットオプション画面より[コンテンツタブ]を選択し、[証明書(C)]ボタンを押して証明書ストアを表示してください。 証明書画面で[信頼されたルート証明機関]のタブを選択します。
発行先[Security Communication RootCA2]、発行者[Security Communication RootCA2]の証明書、または 発行先[Security Communication ECC RootCA1]、発行者[Security Communication ECC RootCA1]の証明書がある場合は、ルートCA証明書の取得は不要となります。
無い場合は、以下、「1-2-2 ルートCA証明書のインストール手続き」に従い、ルートCA証明書の取得、インストールを実施してください。
|
アンカー |
---|
| _Toc229553991 |
---|
| _Toc229553991 |
---|
|
アンカー |
---|
| _Toc235004571 |
---|
| _Toc235004571 |
---|
|
アンカー |
---|
| _Toc505611510 |
---|
| _Toc505611510 |
---|
|
...
1-2-2. ルートCA証明書のインストール
以下の手続きに従って、ルートCA証明書のインストールを行ってください。
※ [1-2-1 事前準備]でルートCA証明書が存在した場合は、本手続きは不要となります。次の「1-2-3 中間CA証明書のインストール」へ進んでください。
アンカー |
---|
| _Toc505611511 |
---|
| _Toc505611511 |
---|
|
...
1-2-3. 中間CA証明書のインストール
以下の手続きに従って、中間CA証明書のインストールを行ってください。
中間CA証明書のインストール |
- [1-2-1.事前準備]で取得した中間CA証明書をダブルクリックしてください。
[証明書]ダイアログが表示されます。発行先と発行者を確認した後、[全般]タブの[証明書のインストール(I)...]を選択してください。 【SHA-2認証局 CA証明書をインストールする場合】 ●証明書の発行日時が2020年12月25日0時以降の場合
【RSA認証局 中間CA証明書をインストールする場合】 発行先:NII Open Domain CA - G7 RSA 発行者:Security Communication RootCA2 【ECC認証局 中間CA証明書をインストールする場合】 発行先:NII Open Domain CA CA - G4G7 ECC 発行者:Security Communication ECC RootCA1 ●証明書の発行日時が2020年12月25日0時以前の場合 RootCA2
【SHA-2認証局 CA証明書 CT対応版をインストールする場合】 発行先:NII Open Domain CA CA - G5 発行者:Security Communication RootCA2
【ECC認証局 CA証明書をインストールする場合】 発行先:NII Open Domain CA CA - G6 発行者:Security Communication RootCA2ECC RootCA1
- 証明書インポートウィザード]が表示されますので、[ローカルコンピュータ(L)]を選択し、[次へ(N)]を選択してください。
- [証明書をすべて次のストアに配置する(P)]を択一し、[参照(R)...]を選択してください。
Image Added
- [証明書ストアの選択]ダイアログが表示されますので、[中間証明機関] を選択し、[OK]を選択してください。
Image Removed
- 証明書ストアに[中間証明機関]が表示されていることを確認し、[次へ(N)>]を選択してください。
- 以下の確認画面が表示されたら、[完了]を選択してください。
- 証明書のインポートウィザードが表示されます。[OK]を押してください。
|
アンカー |
---|
| _Toc229553992 |
---|
| _Toc229553992 |
---|
|
アンカー |
---|
| _Toc505611512 |
---|
| _Toc505611512 |
---|
|
...
1-2-4. サーバ証明書のインストール
新規でサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。
サーバ証明書のインストール |
CSRをOpenSSLで作成した場合[1-2-1.事前準備]で取得したサーバ証明書と[鍵ペアの生成]で生成した私有鍵をPKCS#12ファイルにします。 サーバ証明書と私有鍵を同じフォルダ内に配置し、以下のコマンドを実行してください。 カレントフォルダ内に、鍵ペアとサイト証明書(SSL/TLS証明書)を連結したPKCS#12の[servername.pfx]が作成されます。 C:\work> openssl pkcs12 -export -inkey servername.key -in server.cer -out servername.pfx
Enter pass phrase for servername.key: ←[鍵ペアの生成で入力したパスフレーズを入力] Enter Export Password: ←PKCS#12保護パスワード入力 Verifying - Enter Export Password: ←PKCS#12保護パスワード再入力 |
- 次に、サーバ証明書をIISに設定します。[インターネットインフォメーションサービス(IIS)マネージャ]を起動し、
該当のサーバを選択し、[サーバー証明書]をダブルクリックします。
- [操作]メニューの[インポート]をクリックします。
- [...]ボタンをクリックし、手続き1.で準備した[servername.pfx]を指定します。
パスワード欄にPKCS#12ファイルを作る際に指定したPKCS#12保護パスフレーズを入力します。 [この証明書のエクスポートを許可する]をチェックし、[OK]を押してください。
- サーバ証明書に、インポートした証明書が登録されていることを確認してください。
|
CSRをIISで作成した場合(RSA) - サーバ証明書をIISに設定します。[インターネットインフォメーションサービス(IIS)マネージャ]を起動し、該当のサーバを選択し、[サーバー証明書]をダブルクリックします。
- [操作]メニューの[証明書の要求の完了...]をクリックします。
[証明書の要求を完了する]ウィザードが起動します。[OK]ボタンを押下します。 証明機関の応答が含まれるファイルの名前:【...】ボタンより保存したサーバ証明書を指定します。 フレンドリ名:任意で証明書を識別するための名前を指定します。 新しい証明書の証明書ストアを選択してください:[個人]を指定します。
- サーバ証明書に、インポートした証明書が登録されていることを確認してください。
|
CSRをIISで作成した場合(ECDSA) [スタート] メニューの [すべてのプログラム] をクリックします。[アクセサリ] をクリックして、[ファイル名を指定して実行] をクリックします。 [名前] ボックスに「mmc」と入力し[OK]ボタンを押下します。
Microsoft Management Console が表示されます。
[ツールバー] > [ファイル] > [スナップインの追加と削除] を選択してください。
- [利用できるスナップイン] > [証明書] を選択し、[追加]ボタンを押下してください。
- [コンピュータアカウント]を選択し、[次へ]ボタンを押下してください。
- ローカルコンピュータ(このコンソールを実行しているコンピュータ)]を選択し、[完了]ボタンを押下してください。
- 選択されたスナップインに [証明書 - ローカル コンピューター]が表示されていることを確認し、[OK]ボタンを押下してください。
[コンソールルート] > [証明書 - ローカル コンピューター]が表示されていることを確認してください。
[コンソールルート] > [証明書 - ローカル コンピューター] > [個人] > [証明書]を選択し、 右クリックメニューから[すべてのタスク] > [インポート]を選択してください。
[次へ]ボタンを押下してください。
- ダウンロードしたサーバ証明書を選択し、[次へ]ボタンを押下してください。
以下の設定になっていることを確認し、[次へ]ボタンを押下してください。 [証明書をすべて次のストアに配置する]を選択 [証明書ストア]で[個人]を指定
内容を確認し、[完了]ボタンを押下してください。
証明書の一覧に、インポートした証明書が登録されていることを確認してください。
|
アンカー |
---|
| _Toc229553994 |
---|
| _Toc229553994 |
---|
|
アンカー |
---|
| _Toc505611513 |
---|
| _Toc505611513 |
---|
|
1-3. サーバ証明書の置き換えインストール更新したサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。
既に対象のサーバに証明書をインストールしている場合は、事前にインストールしている証明書の削除が必要となります。
アンカー |
---|
| _Toc229553995 |
---|
| _Toc229553995 |
---|
|
アンカー |
---|
| _Toc505611514 |
---|
| _Toc505611514 |
---|
|
...
1-4. 起動確認
本章ではインストールした証明書によるSSL通信に問題がないか確認する方法を記述します。
...