前回は、証明書をインストールするための準備としてPFX形式のファイル(以降「PFX証明書」と呼ぶ)を作成しました。
本記事では、PFX証明書をIISサーバーにインストールします。
※ SSL証明書の概要と基本的な構造を紹介した記事もあるので、よろしければ併せてご覧ください。
はじめに
本記事では、以下2つの場面における手順を紹介します。
- 【ケース1】SSLの新規導入:SSLを導入していないIISサーバーに新規にPFX証明書をインストールする
- 【ケース2】証明書の更新:SSLを導入しているIISサーバーの既存証明書を更新する
前提条件
本記事の手順の中で、設定値を明示しない項目は既定値を選択します。
本記事では、下表の設定値、およびファイル名を使用します。各名称は、自身の環境に合わせて置き換えてください。
対象 | 名称 |
---|---|
サーバー名 | srv01 |
ウェブサイト用のFQDN | srv01test.example.com |
サイト名 | srv01test |
PFX証明書 | ssl.pfx |
【ケース1】SSLの新規導入
ケース1では、IISサーバーにSSLを新規に導入します。
なお、本記事では、IISでWebサイトを構築する手順は割愛します。Webサイトの構築は、以下のサイトに詳しい説明がありますので、参考にしてください。
IIS で静的な Web サイトを構築する | Microsoft Learn
(1)初期状態の確認
初期の状態は以下の通りです。ブラウザで「http://srv01.example.com」にアクセスすると、SSL化していないウェブサイトが表示されます。
URL左の「セキュリティ保護なし」をクリックすると、「このサイトへの接続は安全ではありません」という情報が表示されます。
(2)事前準備
srv01の任意のフォルダに、これからインストールするPFX証明書(ssl.pfx)を配置します。
以降の作業はsrv01上で実行します。
(3)PFX証明書のインストール
1. IISマネージャーの左ペインでサーバーノード「SRV01」をクリックし、中央ペインで「サーバー証明書」をダブルクリックします。
2. 右ペインで「インポート」をクリックします。
3. 証明書のインポート画面が開きますので、以下を選択し、「OK」をクリックします。
- 証明書ファイル:ssl.pfx
- パスワード:PFX証明書(ssl.pfx)作成時に指定したパスワード
4. 中央ペインにPFX証明書が追加されたことを確認します。
(4)バインド作成
1. IISマネージャーの左ペインでサイト「srv01test」をクリックし、右ペインで「バインド」をクリックします。
2. サイトバインドの設定画面が開くので、「追加」をクリックします。
3. サイトバインドの追加画面が開きますので、以下を選択し、「OK」をクリックします。
- 種類:https
- ホスト名:srv01test.example.com
- SSL証明書:~でインストールしたPFX証明書
4. サイトバインドの設定画面に、SSLバインドが追加されたことを確認します。
(5)SSL設定
1. IISマネージャーの左ペインでサイト「srv01test」をクリックし、中央ペインで「SSL設定」をダブルクリックします。
2. 中央ペインで以下を選択し、右ペインで「適用」をクリックします。
- SSLが必要:チェックあり
(6)設定後の状態確認
以上で、IISサーバーへのSSL導入が完了しました。
設定後の状態は以下の通りです。ブラウザで「http://srv01.example.com」にアクセスすると、SSL化したウェブサイト「https://srv01.example.com」が表示されます*1。
URL左の「鍵マーク」をクリックすると、「接続がセキュリティで保護されています」という情報が表示されます。
【ケース2】証明書の更新
ケース2では、既にSSLを導入しているIISサーバーの、既存の証明書を更新します。
本記事の手順では有効期限が切れた証明書を新しい証明書に更新していますが、有効期限が切れた証明書が使われている場合、クライアントがウェブサイトを正常に閲覧できない恐れがあります。そのため、有効期限が切れる前に証明書を更新することが望ましいです。
(1)初期状態の確認
初期の状態は以下の通りです。ブラウザで「http://srv01.example.com」または「https://srv01.example.com」にアクセスすると、セキュリティ保護されていないウェブサイトが表示されます。
URL左の「セキュリティ保護なし」をクリックし、「このサイトへの接続は安全ではありません」という情報をクリックします。
「証明書のアイコン」をクリックします。
証明書の情報が表示され、有効期限が切れていることが確認できます。*2
(2)事前準備
srv01の任意のフォルダに、これからインストールするPFX証明書(ssl.pfx)を配置します。
以降の作業はsrv01上で実行します。
(3)PFX証明書のインストール
1. IISマネージャーの左ペインでサーバーノード「SRV01」をクリックし、中央ペインで「サーバー証明書」をダブルクリックします。
2. 右ペインで「インポート」をクリックします。
3. 証明書のインポート画面が開いたら、以下を選択し、「OK」をクリックします。
- 証明書ファイル:ssl.pfx
- パスワード:PFX証明書(ssl.pfx)作成時に指定したパスワード
4. 中央ペインにPFX証明書が追加されたことを確認します。
(4)バインド設定
1. IISマネージャーの左ペインでサイト「srv01test」をクリックし、右ペインで「バインド」をクリックします。
2. サイトバインドの設定画面が開くので、SSL化されたサイト(種類がhttps)を選択し「編集」をクリックします。
3. サイトバインドの編集画面が開いたら、SSL証明書で「手順(3)PFX証明書のインストール」で追加したPFX証明書を選択し、「表示」をクリックします。
4. 表示された証明書の有効期限が正しいことを確認し、「OK」をクリックします。
5. サイトバインドの編集画面で「OK」をクリックします。
(5)設定後の状態確認
以上で、IISサーバーの証明書更新が完了しました。
設定後の状態は以下の通りです。ブラウザで「http://srv01.example.com」または「https://srv01.example.com」にアクセスすると、セキュリティ保護されたウェブサイトが表示されます。
URL左の鍵マークをクリックし、「接続がセキュリティで保護されています」という情報をクリックします。
「証明書のアイコン」をクリックします。
証明書の情報が表示され、有効期限が更新されたことが確認できます。
補足情報
サーバーに証明書を正しくインストールすることは、クライアントが安全かつ安心してウェブサイトを閲覧するうえで大切です。
ウェブサイトが外部公開されている場合、中間認証局が提供するチェックツールや、第三者が公開しているチェックツールを使い、証明書が正しくインストールされているか確認することが可能です。
以下のサイトで、証明書のインストールで起こりやすいエラーや、証明書のチェックツールについて詳しく説明されています。
中間証明書とは?SSL中間CA証明書の必要性やエラー・確認方法を紹介 | Webmedia
おわりに
本記事では、SSLの新規導入、および証明書の更新、それぞれの場面で証明書をインストール手順を紹介しました。
本記事が、証明書のインストール手順を理解するうえでの参考になれば幸いです。
山﨑 優美(日本ビジネスシステムズ株式会社)
ハイブリッドクラウド本部に所属。Windows Server・Linux、どちらのOSでもさわれるインフラエンジニアです。3児のママも兼務しています。
担当記事一覧