質問

Advanced Search

Solution ID : SO23584

Last Modified : 05/09/2018

Share Via Email

  • WSS

Microsoft IIS 7.0 / 7.5 サーバIDインストール手順 (更新)

Problem

Microsoft IIS 7.0 / 7.5 サーバIDインストール手順 (更新)

Solution

必ずお読みください

  • 本文書の内容によって生じた結果の影響について、弊社では一切の責任を負いかねますこと予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、製品のマニュアルをお読みいただくか、開発元にご確認ください。
  • サーバID発行通知メールでは、サーバ証明書 と 中間CA証明書 を1つにまとめた形式(PKCS7)も記載されています。
    PKCS7形式をMicrosoft IIS にインストールすれば、必要な証明書が同時にインストールできるため、別途中間CA証明書のインストール操作は必要ありません。
     

シマンテックCA発行のクロスルート証明書を利用している場合の注意

サーバの証明書ストア 「 信頼されたルート証明書機関 」 に VeriSign Class 3 Public Primary Certification Authority - G5 がインストールされている場合、クロスルート証明書をクライアントへ送出できない問題を確認しています。
以下のサイトの手順で該当するルート証明書がないかを確認し、ある場合は必ず無効化してください。

Step 1:サーバIDのインストール

  1. 受信したサーバID通知メール本文中にある
    (-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----) までをコピーし、
    テキストエディタに貼り付け、証明書ファイルとして任意のファイル名で保存します。
    例: cert2008.txt

  2. Microsoft IIS 7.0 / 7.5を起動し、「機能ビュー」から「サーバ証明書」を選択します。
    (「管理ツール」→「インターネットインフォメーションサービス(IIS)マネージャ」)

  3. サーバ証明書の機能ビューの右側「操作」メニューから、「証明書の要求の完了…」を選択します。

  4. 証明書ファイルを指定する画面が表示されます。
    「証明期間の応答が含まれるファイルの名前」で手順(1.)で保存したサーバ証明書ファイル名を指定します。
    「フレンドリ名」には任意の文字列(フレンドリ名)を指定して「OK」をクリックします。

    • フレンドリ名は既存の名称と一致しない新規の文字列を指定してください。(例:Sample2)

    【注意1】 インストールの際、以下のようなエラーが表示されることがあります。

    エラーが表示されても実際にはインストールが完了していることがあります。
    「インターネットインフォメーションサービス(IIS)マネージャ」画面に戻り、「F5」キーを押下して最新の状態を確認してください。
     

    「機能ビュー」から「サーバ証明書」を選択し、以下の様にインストールしたサーバIDの情報が確認できる場合、インストールは完了しています。
    「名前」がブランクになっている場合でも、削除せず「サーバ証明書の有効化」へ進んでください。

    • エラーが表示された場合、インストール時に指定したフレンドリ名が表示されない場合があります。
    • インストールが完了している状態で再度インストールをすると、以下のエラーが表示されます。

    このエラーは、マイクロソフト社も認識済みの不具合です。詳細はマイクロソフト社の技術情報を確認してください。


    【注意2】 インストールができたように見えても証明書の一覧から消えたり、バインドできない場合があります。

    IISは過去に使用したCSRで更新、再発行をした場合、発行された証明書をインストールできない仕様です。
    インストールできたように見えても証明書の一覧から消えてしまったり、バインドの際に表示されない場合は、
    インストールできていません。新しいCSRを生成し再発行して下さい。

    SO22888 - 証明書を「再発行」できますか

Step 2:サーバ証明書の有効化

  1. 「インターネットインフォメーションサービス(IIS)マネージャ」画面に戻り、SSLを有効にするサイトを選択して「操作」メニューの「バインド」を選択します。

  2. 「サイトバインド」画面が表示されます。
    [https] の表示を選択し「編集」ボタンをクリックします。

  3. 「サイトバインドの編集」画面が表示されます。
    「SSL証明書」ではインストール手順 (4.) で指定したフレンドリ名(例:Sample2) またはコモンネームを選択します。
     

    • フレンドリ名ではなく、コモンネームが表示されることがあります。その場合はコモンネームを選択してください。
       
  4. 「OK」をクリックすると設定は完了です。

Webサーバの再起動(必要な場合のみ)

  • 再起動せず更新後の証明書が確認できる場合は再起動は不要です。
    更新した証明書が反映されない場合は、再起動を行い反映されるかご確認ください。
  • Webサーバの再起動中は、ウェブサイトに接続できなくなります。
  • アクセスの少ない時間帯に作業するなど、事前に検討してください。
     

  1. 「インターネットインフォメーションサービス(IIS)マネージャ」画面に戻り、SSLを有効にするサイトを選択して「操作」メニューの「再起動」を選択します。

  2. 再起動の完了を確認します。以上で設定は完了です。
     

Step 3:キーペア(秘密鍵と証明書)のバックアップ


ハードウェア障害などに備え、キーペア(秘密鍵 と 証明書)ファイルをバックアップ(エクスポート)しておきます。

  • サーバをリプレイスする場合などには、キーペアファイルを新しい環境にインポートすることで移行して利用できます。
  • キーペアファイルを紛失した場合、取得したサーバIDを利用できません。確実にバックアップを取ってください。

  1. Microsoft IIS 7.0 / 7.5を起動し、「機能ビュー」から「サーバ証明書」を選択します。
    インストールしたサーバIDを選択し、「操作」メニューの「エクスポート…」をクリックします。

  2. 「証明書のエクスポート」画面が表示されます。
    エクスポート(バックアップ)ファイルの保存先・ファイル名を指定し、パスワードを(2回)設定して「OK」をクリックします。

    ここで入力するパスフレーズは、絶対に忘れないように大切に管理してください。

    エクスポート(バックアップ)が完了すると、指定した場所、ファイル名で拡張子 (*.pfx) のキーペアファイルが保存されます。
    キーペアファイルには、セキュリティ上最も大切な秘密鍵の情報が含まれています。
    必ずバックアップを取り、厳重に管理をしてください。

お客様の秘密鍵情報について

  • キーペアファイルに含まれる秘密鍵は、セキュリティ上最も大切な情報です。秘密鍵が漏洩した場合、暗号化の安全性が失われます。
  • キーペアファイルをEメールに添付して送信したり、共有のドライブで保存するなどの行為は絶対にお止めください。
  • シマンテックがお客様のキーペア情報を受け取ることは絶対にありません。
  • キーペアファイルは必ずハードディスク以外のメディアにもバックアップを取り、厳重管理してください。
  • 設定したパスワードを忘れないように十分注意してください。