今回は、IIS 8.0 で 自己署名入り証明書 を作成して、SSL/TLS(https) 通信できるように設定します。 自己署名入り証明書(いわゆる オレオレ証明書)はいくつか問題がありますが、とりあえず https 通信を試したい場合、簡単にテストできるので便利です。
自己署名入り証明書 の 作成
ここでは、SSL/TLS 通信するために必要となる 電子証明書 を作成する手順を示します。 なお、ここで作成する 電子証明書 は自分自身で署名する証明書…いわゆる オレオレ証明書 になります。
- インターネット インフォメーション サービス (IIS) マネージャー を起動
- コンピューター名を選択
おそらく、IISマネージャー 起動直後は コンピューター名 が選択された状態のハズです。
- 機能ビューから[IIS]-[サーバー証明書]を選択
- 操作パネルから「機能を開く」を選択
- 操作パネルから「自己署名入り証明書の作成」を選択
- フレンドリ名を指定
フレンドリ名は表示名のようなので、分かりやすい任意の名称を付けます。
- [OK]を選択
- 自己署名入り証明書が作成されていることを確認
「自己署名入り証明書の作成」ダイアログにある「証明書ストア」の選択肢の「個人」と「Web ホスティング」の主な違いは、「Web ホスティング」の方が「個人」よりも多くの証明書発行に対応している点だそうです。
Webサイト の 設定
ここでは、上記の手順で作成した電子証明書を利用して、SSL(https) 通信できるように Webサイト を 構成 する手順を示します。
- IIS マネージャー において、HTTPS通信したい Webサイト を選択
- 操作パネルから [バインド] を選択
- 「サイト バインド」ダイアログで [追加] を選択
- 「サイト バインドの追加」画面で以下を設定
- 種類
- https
- SSL 証明書
- self-signed digital certificate
「SSL 証明書」は上記で作成した自己署名入り証明書のフレンドリ名を選択します。
- [OK] を選択
- https が追加されたことを確認し、[閉じる] を選択
https通信 の テスト
上記 Webサイト に対してアクセスします。 アクセスの仕方は以下の4パターンがあるかと思います。
- https://SERVERNAME/
- https://IPアドレス/
- https://localhost/
- https://127.0.0.1/
どの方法でアクセスしてもおそらく以下のような警告画面がでると思います。
この警告画面において、「このサイトの閲覧を続行する(推奨されません)。」を選択すれば、IISポータル画面が表示されます。
自己署名入り証明書を利用する場合、以下に示す3点の問題があります。
- 電子証明書が、信頼された証明機関から発行されたものではない(信頼されたルート証明機関でない)
- 電子証明書が、別の Web サイトのアドレス用に発行されたもの(一般名が変更できない)
- 電子証明書が、有効期限切れ(有効期限を変更できない)
これらの対策は…また別の記事にします。
関連記事
- Windows Servier 2012 で 証明書サービス(認証局) の 構築
- Active Directory 証明書サービス(AD CA) の ルート証明書 を エクスポート する 方法
- 信頼されたルート証明機関 に 電子証明書 を インポート する方法
- IIS で SSL/TLS を AD CA 発行の証明書 で 設定 する方法
参考記事
- @IT - SSLテスト用にサーバ証明書を自己発行する(IIS 5.0編)
- MSDN - IIS で HTTPS サービスをセットアップする方法
- IIS.net - IIS 8.0 Server Name Indication (SNI): SSL Scalability
最後に… このブログに興味を持っていただけた方は、 ぜひ 「Facebookページ に いいね!」または 「Twitter の フォロー」 お願いします!!