Microsoft IIS 10.0 CSR 作成/証明書インストール手順書(新規・更新用)
Microsoft IIS 10.0 CSR 作成/証明書インストール手順書(新規・更新用)
最終更新日:2022 年 6 月 24 日
本ドキュメントは、Microsoft 社の「Internet Information Services 10.0(以下、IIS 10.0)」の環境下でサイバートラストのサーバー証明書をご利用いただく際の CSR 作成とサーバー証明書のインストールについて解説するドキュメントです。
この記事の目次
実際の手順はお客様の環境により異なる場合があり、IIS 10.0 の動作を保証するものではございません。あらかじめご了承ください。
なお、このドキュメントは予告なく変更される場合があり、サイバートラスト株式会社はその内容に対して責任を負うものではありません。また、このドキュメント内に誤りがあった場合、サイバートラスト株式会社は一切の責任を負いません。
このドキュメントの一部または全部を複製することは禁じられており、提供または製造を目的として使用することはできません。ただし、サイバートラスト株式会社との契約または同意文書で定められている場合に限り、この注記の添付を条件として複製することができます。
サーバー証明書お申込みフロー
サーバー証明書のご購入については、以下のお申込みフローをご確認ください。
本手順では、 赤枠 で囲まれた部分のフローをご案内しています。
CSR の作成
1. CSR 作成前のご確認事項
CSR 作成前に以下についてご確認ください。
1.1. 公開鍵長のご指定について
公開鍵長は「2048 bit」をご指定ください。
※クラウド商品(for クラウド)、マルチドメイン商品(SureServer MD など)を含みます。
1.2. CSR 作成時に指定する項目(DN)について
詳細は以下をご確認ください。
≫CSR 作成時に指定する項目について
2. キーペア・CSR の作成
Microsoft Windows Server 2016 以降の【インターネット インフォメーション サービス (IIS) マネージャー】を使って、SSL で使用するキーペア(公開鍵・秘密鍵のペア)と CSR を作成します。
2.1. 作成方法
【スタート】メニューから【インターネット インフォメーション サービス (IIS) マネージャー】を選択して起動します。
以下の画面から、【サーバー証明書】 をダブルクリックします。
画面右側の操作メニューから 【証明書の要求の作成】 をクリックします。
識別名プロパティを入力する画面が表示されますので、CSR に設定する情報を入力して、【次へ】をクリックします。以下のルールに従って正確に入力してください。
※半角英数字で入力してください。
※使用可能文字:スペース 「a-z」「A-Z」「0-9」「'」「,」「.」「( )」「:」「-」「?」「&」
| 入力項目 | 内容 | 入力例 |
|---|---|---|
| 一般名 | 完全なドメイン名(FQDN) | test.cybertrust.ne.jp |
| 組織 | 申請組織の名称(英語) | Cybertrust Japan Co.,Ltd. |
| 組織単位 | 部署名 ※ 2022 年 6 月 23 日以降に発行されるサーバー証明書には含まれません。 |
Test Unit |
| 市区町村 | 申請組織の事業所住所の「市町村名」(英語) ※東京 23 区は区名 |
Minato-ku |
| 都道府県 | 申請組織の事業所住所の「都道府県名」(英語) | Tokyo |
| 国/地域 | 申請組織の国名 | JP |
【暗号化サービス プロバイダー】は、表示された情報(Microsoft RSA SChannel Cryptographic Provider)を選択し、「ビット長」は「2048」と指定してください。
CSR のファイル名と保存先を指定し、【終了】をクリックします。
以上で、CSR の作成は完了です。
3. 証明書のお申し込み
作成した CSR をテキストエディタで開いて内容をコピーし、Web の申請サイト(SureBoard / SureHandsOn)の申請フォームへ貼り付けて、弊社へお申し込みください。
<CSR サンプル>
「-----BEGIN NEW CERTIFICATE REQUEST-----」から、「-----END NEW CERTIFICATE REQUEST-----」までをハイフンを含め、すべてコピーし申請画面に貼り付けてください。1文字でも欠けるとフォーマットエラーとなりますのでご注意ください。
証明書のインストール
4. 証明書のダウンロード
インストールが必要となる中間 CA 証明書・SSL/TLS サーバー証明書をダウンロードします。
4.1. 中間CA証明書のダウンロード
ご選択いただいた商品により必要な証明書が異なりますので、証明書の種類をご確認のうえ、以下 Web ページからダウンロードし、拡張子を【.cer】として保存してください。
ご利用商品や必要な証明書の種類がご不明の場合は、以下をご覧ください。
4.2. SSL/TLS サーバー証明書のダウンロード
SSL/TLS サーバー証明書が発行されましたら、証明書発行のお知らせのメール内リンクより事前にダウンロードし、拡張子を【.cer】として保存してください。
5. 証明書のインストール
中間 CA 証明書と SSL/TLS サーバー証明書のインストールを行います。
5.1. 中間 CA 証明書のインストール
中間 CA 証明書を「Microsoft 管理コンソール (Microsoft Management Console:MMC)」からインストールします。
- ※
- 証明書更新時、すでに同じ内容の中間 CA 証明書がインストールされている場合は、この手順をスキップしてください。
- ※
- SureServer EV および SureServer 用クロスルート方式では、同様の手順で「クロスルート用中間 CA 証明書」と「中間 CA 証明書」をインストールしてください。
なお、必要な中間 CA 証明書のコモンネームが不明な場合は、SSL/TLS サーバー証明書ファイルを開いて発行者のコモンネームの項目をご確認ください。
【例】SureServer EV の場合
→ 必要な中間 CA 証明書のコモンネーム:Cybertrust Japan SureServer EV CA G3
【Windows ロゴ+R キー】から【ファイル名を指定して実行】を開きます。【名前】に「mmc」と入力して【OK】をクリックします。
MMC 画面左上の【ファイル】メニューをクリックし、【スナップインの追加と削除】をクリックします。
【利用できるスナップイン】から【証明書】を選択し、【追加】をクリックします。
【コンピューターアカウント】を選択し、【次へ】をクリックします。
【ローカルコンピューター(このコンソールを実行しているコンピューター)】を選択し、【完了】をクリックします。
【選択されたスナップイン】に【証明書(ローカルコンピューター)】が追加されていることを確認し、【OK】をクリックします。
コンソールルートへ【証明書(ローカルコンピューター)】が追加されたことを確認し、【証明書(ローカルコンピューター)】→【中間証明機関】→【証明書】をクリックします。
MMC 画面の左上の【操作】メニュー→【すべてのタスク】→【インポート】の順にクリックします。
証明書のインポートウィザードが表示されますので、【次へ】をクリックします。
【参照】をクリックしてインストールする中間 CA 証明書を指定し、【次へ】をクリックします。
次の画面が表示されたら内容を確認して、【完了】をクリックします。
インポート正常終了のメッセージが表示されますので、【OK】をクリックします。
証明書の一覧にインストールした中間 CA 証明書が表示されていることを確認します。
上記画面を閉じる際に、「コンソールの設定をコンソール1に保存しますか?」と表示されますので、「いいえ」を選択して終了してください。
以上で中間 CA 証明書のインストールが完了します。
5.2. SSL/TLS サーバー証明書のインストール
SSL/TLS サーバー証明書のインストールを行います。
【スタート】メニューから→【インターネット インフォメーション サービス (IIS) マネージャー】を選択して起動し、以下の画面から、【サーバー証明書】をダブルクリックします。
画面右側の操作メニューから 【証明書の要求の完了】 をクリックします。
【証明機関の応答が含まれるファイルの名前】に事前にダウンロードしたお客様の SSL/TLS サーバー証明書ファイルを指定し、【OK】をクリックします。
- ※
- 【フレンドリ名】は任意の文字列を入力してください。わかりやすい文字列の入力をおすすめいたします。
- ※
- 【新しい証明書の証明書ストアを選択してください】は「個人」を選択してください。「Web ホスティング」を選択するとエラーが発生します。
以上で SSL/TLS サーバー証明書のインストールは完了です。
6. SSL/TLS サーバー証明書の適用
インストールした SSL/TLS サーバー証明書をご利用の Web サイトへ適用します。
【インターネット インフォメーション サービス (IIS) マネージャー】画面に戻り、SSL/TLS サーバー証明書を適用したいWeb サイトを選択し、画面右側の操作メニューから【バインド】をクリックします。
「サイトバインド」画面が表示されますので、新規の場合は【追加】をクリックします。
| 項目 | 入力内容 |
|---|---|
| 種類 | https |
| IP アドレス | サーバー証明書を適用する Web サイトの IP アドレス |
| ポート | 443(もしくは任意のポート番号) |
| SSL 証明書 | インストール時に指定したフレンドリ名や証明書のコモンネームが表示されますので、 適用したい SSL/TLS サーバー証明書を選択します。 注:インストールした証明書が表示されない場合は、以下の FAQ をご確認ください。 |
新規の場合
更新の場合
証明書更新の場合は既に https のバインド設定が存在しますので、そちらを選択して【編集】をクリックします。
【サイトバインドの追加】または【サイトバインドの編集】画面が表示されますので、以下の情報を選択して【OK】をクリックします。
Windows Server 2016 の場合
Windows Server 2019 の場合
Windows Server 2022 の場合
以上で SSL/TLS サーバー証明書の適用は完了です。
7. 鍵ペアファイルのバックアップ
鍵ペアファイルをバックアップします。
【スタート】メニューから【インターネット インフォメーション サービス (IIS) マネージャー】を選択して起動します。以下の画面から、【サーバー証明書】をダブルクリックします。
バックアップしたい SSL/TLS サーバー証明書を選択し、画面右側の操作メニューから【エクスポート】をクリックます。
【エクスポート先】に保存先のフォルダとファイル名を指定します。ファイルの拡張子は【.pfx】を指定し、【パスワード】、【パスワードの確認入力】に同じパスワードを入力し、【OK】をクリックします。
以上で、鍵ペアファイルのバックアップは終了です。
SSL/TLS 通信の確認
8. SSL/TLS 通信の確認
SSL/TLS サーバー証明書が正しくインストールされ、エラーやセキュリティ警告が表示されず、正常に SSL/TLS 通信が可能であることを確認します。
SSL/TLS 通信の確認は設定を行っているサーバー以外の Web ブラウザや携帯電話、スマートフォンなどの携帯端末、「サーバー証明書の設定確認」から行うことを推奨します。
設定確認例
Internet Explorer 11
SureServer EV
SureServer
Firefox 49.0
SureServer EV
SureServer
なお、接続時にセキュリティ警告やエラーが表示される場合は、以下よくある質問の「SSL/TLS 通信時のセキュリティ警告やエラーについて」をご参照ください。
SSL/TLS 通信時のセキュリティ警告やエラーについて
