SSL証明書のインストール・設定 Microsoft IIS 8.X

以下は、Microsoft IIS 8.0(Windows Server 2012)及び、Microsoft IIS 8.5(Windows Server 2012 R2)にSSLサーバ証明書をインストールする手順です。

一般的なウェブサーバでの基本的な手順を記載していますので、参考資料として確認してください。お客様のシステム環境や構成・設定状況などにより、手順や画面表示が変わることがありますので、ウェブサーバの仕様及び、設定手順等のご不明な点など、詳細は、レンタルサーバ会社・サーバマニュアルで確認してください。

以下の内容によって生じた結果について、弊社では一切の責任を負いかねることをご了承ください。

なお、PKCS7形式(サーバ証明書と中間CA証明書を1つにまとめた形式)をIISにインストールすれば、必要な証明書が同時にインストールできるため、別途中間CA証明書のインストール操作は必要ありません。

証明書のインストール

  1. 証明書を管理しやすいように、任意の名前に変更します。
    証明書発行メールまたは、マイページからダウンロードした証明書ファイルから[PKCS7 File]のデータをコピーしてサーバに保存してください。
    • 証明書ファイル名の例:cer2012.txt
  2. [ツール]から、インターネットインフォメーションサービス(IIS)マネージャを開いてください。続いて、[サーバー証明書]をダブルクリックしてください。
  3. 右側の操作メニューから、[証明書の要求の完了…]をクリックしてください。
  4. 証明書ファイルを指定する画面が表示されますので、以下を指定・選択して[OK]をクリックしてください。
    証明期間の応答が含まれるファイルの名前
    [1]で保存した証明書ファイル名
    フレンドリ名
    任意の文字列
    新しい証明書の証明書ストアを選択してください
    個人

証明書の有効化

  1. インターネットインフォメーションサービス(IIS)マネージャに戻り、SSLを有効にするサイトを選択して[操作]メニューの[バインド]を選択してください。
  2. サイトバインド画面が表示されますので、
    • 初めてSSLを設定する場合は、[追加]
    • 更新で新しい証明書に置き換える場合は[https]を選択し[編集]
    をクリックしてください。
  3. サイトバインドの追加・編集画面が表示されますので、以下を選択して、[OK]をクリックしてください。
    • 種類:[https]
    • SSL証明書:証明書のインストール[4]で指定したフレンドリ名

    【注意】
    SSL証明書のプルダウンは、フレンドリ名でなく、コモンネームが表示されることもあります。その場合はコモンネームを選択してください。

    【注意】
    IPアドレスを指定しない場合、システムで作成されたすべての仮想サーバーに同じ証明書が使用されます。単一のサーバーで複数のサイトをホストしている場合、特定のサーバーIPアドレスにのみ証明書を使用するように指定できます。

    【注意】
    インストールができたように見えても証明書の一覧から消えたり、バインドできない場合があります。
    IIS8.Xは、過去に使用したCSRで更新・再発行をした場合、発行された証明書をインストールできない仕様です。
    インストールできたように見えても証明書の一覧から消えてしまったり、バインドの際に表示されない場合は、インストールできていません。新しいCSRを生成し再発行してください。
    再発行手順

サーバの再起動

再起動しないで更新後の証明書が確認できる場合、サーバの再起動は不要です。

更新した証明書が反映されない場合は、サーバを再起動してください。

  1. インターネットインフォメーションサービス(IIS)マネージャに戻り、SSLを有効にするサイトを選択して[操作]メニューの[再起動]をクリックしてください。
  2. サーバの再起動を確認してください。

キーペア(秘密鍵と証明書)のバックアップ

ハードウェア障害などに備え、キーペア(秘密鍵と証明書)ファイルをバックアップ(エクスポート)してください。

サーバを移転する場合など、キーペアファイルを新しい環境にインポートすることで利用できます。

キーペアファイルを紛失した場合、取得したSSL証明書を利用できなくなりますので、確実にバックアップしてください。

  1. インターネットインフォメーションサービス(IIS)マネージャを開き、[機能ビュー]から[サーバ証明書]を選択してください。
  2. インストールしたサーバIDを選択し、[操作]メニューの[エクスポート…]をクリックしてください。
  3. 証明書のエクスポート画面が表示されますので、エクスポート(バックアップ)ファイルの保存先・ファイル名を指定し、パスワードを(2回)設定して[OK]をクリックしてください。

パスワードは、忘れないように大切に管理してください。

エクスポート(バックアップ)が完了すると、指定した場所にファイル名(拡張子:*.pfx)のキーペアファイルが保存されます。

秘密鍵の重要性について

キーペアファイルには、セキュリティを保つために大切な秘密鍵の情報が含まれています。秘密鍵が漏洩した場合、SSL暗号化の安全性が失われてしまいます。

以下の点に注意のうえ、厳重に管理してください。

  • キーペアファイルをEメールに添付して送信しない
  • キーペアファイルを共有ドライブに保存しない
  • キーペアファイルは、ハードディスク以外のメディアにもバックアップを取る
  • キーペア情報を他人に渡さない(認証局・弊社がキーペアを受け取ることは絶対にありません)
  • 設定したパスワードは絶対に忘れない