Microsoft IIS 10.0 CSR 作成/証明書インストール手順書(新規・更新用)

最終更新日:2022 年 6 月 24 日

本ドキュメントは、Microsoft 社の「Internet Information Services 10.0(以下、IIS 10.0)」の環境下でサイバートラストのサーバー証明書をご利用いただく際の CSR 作成とサーバー証明書のインストールについて解説するドキュメントです。

この記事の目次

    実際の手順はお客様の環境により異なる場合があり、IIS 10.0 の動作を保証するものではございません。あらかじめご了承ください。
    なお、このドキュメントは予告なく変更される場合があり、サイバートラスト株式会社はその内容に対して責任を負うものではありません。また、このドキュメント内に誤りがあった場合、サイバートラスト株式会社は一切の責任を負いません。
    このドキュメントの一部または全部を複製することは禁じられており、提供または製造を目的として使用することはできません。ただし、サイバートラスト株式会社との契約または同意文書で定められている場合に限り、この注記の添付を条件として複製することができます。

    サーバー証明書お申込みフロー

    サーバー証明書のご購入については、以下のお申込みフローをご確認ください。
    本手順では、 赤枠 で囲まれた部分のフローをご案内しています。

    iis10-figure01.jpg

    CSR の作成

    1. CSR 作成前のご確認事項

    CSR 作成前に以下についてご確認ください。

    1.1. 公開鍵長のご指定について

    公開鍵長は「2048 bit」をご指定ください。
    ※クラウド商品(for クラウド)、マルチドメイン商品(SureServer MD など)を含みます。

    1.2. CSR 作成時に指定する項目(DN)について

    詳細は以下をご確認ください。
    CSR 作成時に指定する項目について

    2. キーペア・CSR の作成

    Microsoft Windows Server 2016 以降の【インターネット インフォメーション サービス (IIS) マネージャー】を使って、SSL で使用するキーペア(公開鍵・秘密鍵のペア)と CSR を作成します。

    2.1. 作成方法

    【スタート】メニューから【インターネット インフォメーション サービス (IIS) マネージャー】を選択して起動します。
    以下の画面から、【サーバー証明書】 をダブルクリックします。

    iis10-figure02.jpg

    画面右側の操作メニューから 【証明書の要求の作成】 をクリックします。

    iis10-figure03.jpg

    識別名プロパティを入力する画面が表示されますので、CSR に設定する情報を入力して、【次へ】をクリックします。以下のルールに従って正確に入力してください。

    ※半角英数字で入力してください。
    ※使用可能文字:スペース 「a-z」「A-Z」「0-9」「'」「,」「.」「( )」「:」「-」「?」「&」

    入力項目 内容 入力例
    一般名 完全なドメイン名(FQDN) test.cybertrust.ne.jp
    組織 申請組織の名称(英語) Cybertrust Japan Co.,Ltd.
    組織単位 部署名
    ※ 2022 年 6 月 23 日以降に発行されるサーバー証明書には含まれません。
    Test Unit
    市区町村 申請組織の事業所住所の「市町村名」(英語)
    ※東京 23 区は区名
    Minato-ku
    都道府県 申請組織の事業所住所の「都道府県名」(英語) Tokyo
    国/地域 申請組織の国名 JP

    iis10-figure04.jpg

    「組織(O)」と「組織単位(OU)」の表示順は、IIS の入力画面と以下で異なります。CSR 作成時ならびにご確認の際はご注意ください。

    iis10-figure05.jpg

    【暗号化サービス プロバイダー】は、表示された情報(Microsoft RSA SChannel Cryptographic Provider)を選択し、「ビット長」は「2048」と指定してください。

    iis10-figure06.jpg

    CSR のファイル名と保存先を指定し、【終了】をクリックします。

    iis10-figure07.jpg

    以上で、CSR の作成は完了です。

    3. 証明書のお申し込み

    作成した CSR をテキストエディタで開いて内容をコピーし、Web の申請サイト(SureBoard / SureHandsOn)の申請フォームへ貼り付けて、弊社へお申し込みください。

    <CSR サンプル>

    csr-sample.png

    「-----BEGIN NEW CERTIFICATE REQUEST-----」から、「-----END NEW CERTIFICATE REQUEST-----」までをハイフンを含め、すべてコピーし申請画面に貼り付けてください。1文字でも欠けるとフォーマットエラーとなりますのでご注意ください。

    CSR 作成後の注意事項:IIS10.0 では、CSR 作成後にキーペアのバックアップを取ることができない仕様となっております。そのため、SSL/TLS サーバー証明書のインストールが完了するまでは、証明書の登録要求を絶対に削除しないでください。証明書の登録要求を削除されますと、元の CSR で発行した SSL/TLS サーバー証明書のインストールができなくなり、サイバートラストへの再申請が必要になります。あらかじめ、ご注意ください。

    証明書のインストール

    4. 証明書のダウンロード

    インストールが必要となる中間 CA 証明書・SSL/TLS サーバー証明書をダウンロードします。

    4.1. 中間CA証明書のダウンロード

    ご選択いただいた商品により必要な証明書が異なりますので、証明書の種類をご確認のうえ、以下 Web ページからダウンロードし、拡張子を【.cer】として保存してください。

    ルート・中間 CA 証明書のダウンロード

    ご利用商品や必要な証明書の種類がご不明の場合は、以下をご覧ください。

    どの中間 CA 証明書をダウンロードすればよいですか?

    4.2. SSL/TLS サーバー証明書のダウンロード

    SSL/TLS サーバー証明書が発行されましたら、証明書発行のお知らせのメール内リンクより事前にダウンロードし、拡張子を【.cer】として保存してください。

    SSL/TLS サーバー証明書のダウンロードについて

    5. 証明書のインストール

    中間 CA 証明書と SSL/TLS サーバー証明書のインストールを行います。

    5.1. 中間 CA 証明書のインストール

    中間 CA 証明書を「Microsoft 管理コンソール (Microsoft Management Console:MMC)」からインストールします。

    証明書更新時、すでに同じ内容の中間 CA 証明書がインストールされている場合は、この手順をスキップしてください。
    SureServer EV および SureServer 用クロスルート方式では、同様の手順で「クロスルート用中間 CA 証明書」と「中間 CA 証明書」をインストールしてください。

    なお、必要な中間 CA 証明書のコモンネームが不明な場合は、SSL/TLS サーバー証明書ファイルを開いて発行者のコモンネームの項目をご確認ください。

    【例】SureServer EV の場合

    iis10-figure10.jpg

    → 必要な中間 CA 証明書のコモンネーム:Cybertrust Japan SureServer EV CA G3

    【Windows ロゴ+R キー】から【ファイル名を指定して実行】を開きます。【名前】に「mmc」と入力して【OK】をクリックします。

    iis10-figure11.jpg

    MMC 画面左上の【ファイル】メニューをクリックし、【スナップインの追加と削除】をクリックします。

    iis10-figure12.jpg

    【利用できるスナップイン】から【証明書】を選択し、【追加】をクリックします。

    iis10-figure13.jpg

    【コンピューターアカウント】を選択し、【次へ】をクリックします。

    iis10-figure14.jpg

    【ローカルコンピューター(このコンソールを実行しているコンピューター)】を選択し、【完了】をクリックします。

    iis10-figure15.jpg

    【選択されたスナップイン】に【証明書(ローカルコンピューター)】が追加されていることを確認し、【OK】をクリックします。

    iis10-figure16.jpg

    コンソールルートへ【証明書(ローカルコンピューター)】が追加されたことを確認し、【証明書(ローカルコンピューター)】→【中間証明機関】→【証明書】をクリックします。

    iis10-figure17.jpg

    MMC 画面の左上の【操作】メニュー→【すべてのタスク】→【インポート】の順にクリックします。

    iis10-figure18.jpg

    証明書のインポートウィザードが表示されますので、【次へ】をクリックします。

    iis10-figure19.jpg

    【参照】をクリックしてインストールする中間 CA 証明書を指定し、【次へ】をクリックします。

    iis10-figure20.jpg

    次の画面が表示されたら内容を確認して、【完了】をクリックします。

    iis10-figure22.jpg

    インポート正常終了のメッセージが表示されますので、【OK】をクリックします。

    iis10-figure23.jpg

    証明書の一覧にインストールした中間 CA 証明書が表示されていることを確認します。

    iis10-figure24.jpg

    上記画面を閉じる際に、「コンソールの設定をコンソール1に保存しますか?」と表示されますので、「いいえ」を選択して終了してください。

    以上で中間 CA 証明書のインストールが完了します。

    5.2. SSL/TLS サーバー証明書のインストール

    SSL/TLS サーバー証明書のインストールを行います。

    【スタート】メニューから→【インターネット インフォメーション サービス (IIS) マネージャー】を選択して起動し、以下の画面から、【サーバー証明書】をダブルクリックします。

    iis10-figure25.jpg

    画面右側の操作メニューから 【証明書の要求の完了】 をクリックします。

    iis10-figure26.jpg

    【証明機関の応答が含まれるファイルの名前】に事前にダウンロードしたお客様の SSL/TLS サーバー証明書ファイルを指定し、【OK】をクリックします。

    iis10-figure27.jpg

    【フレンドリ名】は任意の文字列を入力してください。わかりやすい文字列の入力をおすすめいたします。
    【新しい証明書の証明書ストアを選択してください】は「個人」を選択してください。「Web ホスティング」を選択するとエラーが発生します。

    以上で SSL/TLS サーバー証明書のインストールは完了です。

    6. SSL/TLS サーバー証明書の適用

    インストールした SSL/TLS サーバー証明書をご利用の Web サイトへ適用します。

    【インターネット インフォメーション サービス (IIS) マネージャー】画面に戻り、SSL/TLS サーバー証明書を適用したいWeb サイトを選択し、画面右側の操作メニューから【バインド】をクリックします。

    iis10-figure28.jpg

    「サイトバインド」画面が表示されますので、新規の場合は【追加】をクリックします。

    項目 入力内容
    種類 https
    IP アドレス サーバー証明書を適用する Web サイトの IP アドレス
    ポート 443(もしくは任意のポート番号)
    SSL 証明書 インストール時に指定したフレンドリ名や証明書のコモンネームが表示されますので、
    適用したい SSL/TLS サーバー証明書を選択します。

    注:インストールした証明書が表示されない場合は、以下の FAQ をご確認ください。
    ■[IIS 7.0 以降] 証明書をインストールした後に画面更新や遷移を行うと、証明書の表示が消えてしまいます。

    新規の場合

    iis10-figure29.jpg

    更新の場合

    iis10-figure30.jpg

    証明書更新の場合は既に https のバインド設定が存在しますので、そちらを選択して【編集】をクリックします。

    【サイトバインドの追加】または【サイトバインドの編集】画面が表示されますので、以下の情報を選択して【OK】をクリックします。

    Windows Server 2016 の場合

    Windows Server 2016 の場合

    Windows Server 2019 の場合

    Windows Server 2019 の場合

    Windows Server 2022 の場合

    Windows Server 2022 の場合

    以上で SSL/TLS サーバー証明書の適用は完了です。

    7. 鍵ペアファイルのバックアップ

    鍵ペアファイルをバックアップします。

    【スタート】メニューから【インターネット インフォメーション サービス (IIS) マネージャー】を選択して起動します。以下の画面から、【サーバー証明書】をダブルクリックします。

    iis10-figure32.jpg

    バックアップしたい SSL/TLS サーバー証明書を選択し、画面右側の操作メニューから【エクスポート】をクリックます。

    iis10-figure33.jpg

    【エクスポート先】に保存先のフォルダとファイル名を指定します。ファイルの拡張子は【.pfx】を指定し、【パスワード】、【パスワードの確認入力】に同じパスワードを入力し、【OK】をクリックします。

    iis10-figure34.jpg

    以上で、鍵ペアファイルのバックアップは終了です。

    SSL/TLS 通信の確認

    8. SSL/TLS 通信の確認

    SSL/TLS サーバー証明書が正しくインストールされ、エラーやセキュリティ警告が表示されず、正常に SSL/TLS 通信が可能であることを確認します。

    SSL/TLS 通信の確認は設定を行っているサーバー以外の Web ブラウザや携帯電話、スマートフォンなどの携帯端末、「サーバー証明書の設定確認」から行うことを推奨します。

    設定確認例

    Internet Explorer 11

    SureServer EV

    iis10-figure40.jpg

    SureServer

    iis10-figure41.jpg

    Firefox 49.0

    SureServer EV

    iis10-figure42.jpg

    SureServer

    iis10-figure43.jpg

    なお、接続時にセキュリティ警告やエラーが表示される場合は、以下よくある質問の「SSL/TLS 通信時のセキュリティ警告やエラーについて」をご参照ください。
    SSL/TLS 通信時のセキュリティ警告やエラーについて