SSLサーバー証明書インストール Microsoft IIS 7.0
[更新]ベリサイン セキュア・サーバID

(注意)
本マニュアルページは2010年 10月11日以降に発行された証明書が対象です。
2010年 10月11日以降発行分より、ベリサイン社のルート証明書が1024bitから2048bitに移行しました。
これに伴い、証明書の階層構造が3階層から4階層に変更となり、中間CA証明書とクロスルート証明書のインストールが必要となりました。
2010年 10月11日より前に発行された証明書の場合はこちらをご参照下さい。

SSLサーバ証明書をMicrosoft IIS 7.0に更新インストール手順を説明します。

セキュア・サーバID証明書階層構造

■ステップ1 サーバ証明書と中間CA証明書の保存

  1. サーバ証明書の保存

    受信したサーバ証明書発行完了メール本文中にある
    「サーバ証明書」のすぐ下の
     (—–BEGIN CERTIFICATE—–) から (—–END CERTIFICATE—–) までをコピーし、
    テキストエディタに貼り付け、証明書ファイルとして任意のファイル名で保存します。
     例: 2010cert.txt

    [サーバ証明書]
    Microsoft IIS 7.0 SSLサーバ証明書インストール10

  2. 中間CA証明書
    中間CA証明書は2個あります。2階層目の中間CA証明書はクロスルート設定用の証明書です。本マニュアルでは便宜上「クロスルート証明書」と呼びます。
    中間CA証明書とクロスルート証明書をそれぞれ別々のファイルで保存します。

    >> クロスルート証明書(2階層目) Verisign Class3 Public Primary CA-G5 はこちら

    >> 中間CA証明書 (3階層目) Verisign Class 3 Secure Server CA-G3 はこちら

■ステップ2 クロスルート証明書のインストール

このマニュアルでは、2階層目のクロスルート証明書を(例) 2010inca2.cer 、3階層目の中間CA証明書を(例) 2010inca3.cerのファイル名で解説します。
違うファイル名で保存した場合は、そのファイル名に置き換えて下さい。

  1. クロスルート証明書ファイルをダブルクリック

    保存したクロスルート証明書ファイル(例:2010inca2.cer)をウェブサーバ上の任意の場所に置きダブルクリックします。
    ベリサインクロスルート証明書インストール手順2

  2. クロスルート証明書のインストール

    証明書の情報画面が表示されます。「証明書のインストール」ボタンをクリックします。
    ベリサインクロスルート証明書インストール手順3

  3. 証明書のインポートウィザード起動

    「証明書のインポートウィザード」が表示されます。
    「次へ」をクリックします。
    ベリサインクロスルート証明書インストール手順4

  4. 証明書ストアの選択

    証明書ストアの選択画面が表示されます。
    「証明書をすべて次のストアに配置する」を選択して「参照」をクリックします。
    ベリサインクロスルート証明書インストール手順5

  5. 証明書ストアの参照選択

    証明書ストアの選択画面が表示されます。
    「物理ストアを表示する」のチェックボックスをオンにし、「中間証明機関」の下の「ローカルコンピュータ」を選択します。

    【注記】
    証明書ストアの選択で「ローカルコンピュータ」が表示されない場合はmmcから中間CA証明書とクロスルート証明書をインストールして下さい。
    mmcから中間CA証明書とクロスルート証明書をインストールする手順
    mmcから中間CA証明書とクロスルート証明書をインストールする手順
    ベリサインクロスルート証明書インストール手順6

  6. 証明書ストアの選択から次へ

    証明書ストアの選択画面に戻ります。
    「次へ」をクリックします。
    ベリサインクロスルート証明書インストール手順7

  7. 証明書インストールの完了

    ウィザードの完了画面が表示されます。
    「完了」をクリックします。
    ベリサインクロスルート証明書インストール手順8

  8. 証明書インストールの完了確認

    「正しくインポートされました」と表示されます。
    「OK」をクリックします。
    ベリサインクロスルート証明書インストール手順9

■ステップ3 中間CA証明書3階層目のインストール

続けて中間CA証明書3階層目も上記の2階層目と同じ手順でインストールします。
違うファイル名で保存した場合は、そのファイル名に置き換えて下さい。

  1. 中間CA証明書ファイルをダブルクリック

    保存した中間CA証明書ファイル(例:2010inca3.cer)をウェブサーバ上の任意の場所に置きダブルクリックします。
    ベリサイン中間CA証明書インストール手順2

  2. 中間CA証明書のインストール

    証明書の情報画面が表示されます。「証明書のインストール」ボタンをクリックします。
    ベリサイン中間CA証明書インストール手順3

  3. 証明書のインポートウィザード起動

    「証明書のインポートウィザード」が表示されます。
    「次へ」をクリックします。
    ベリサイン中間CA証明書インストール手順4

  4. 証明書ストアの選択

    証明書ストアの選択画面が表示されます。
    「証明書をすべて次のストアに配置する」を選択して「参照」をクリックします。
    ベリサイン中間CA証明書インストール手順5

  5. 証明書ストアの参照選択

    証明書ストアの選択画面が表示されます。
    「物理ストアを表示する」のチェックボックスをオンにし、「中間証明機関」の下の「ローカルコンピュータ」を選択します。

    【注記】
    証明書ストアの選択で「ローカルコンピュータ」が表示されない場合はmmcから中間CA証明書とクロスルート証明書をインストールして下さい。
    mmcから中間CA証明書とクロスルート証明書をインストールする手順
    mmcから中間CA証明書とクロスルート証明書をインストールする手順
    ベリサイン中間CA証明書インストール手順6

  6. 証明書ストアの選択から次へ

    証明書ストアの選択画面に戻ります。
    「次へ」をクリックします。
    ベリサイン中間CA証明書インストール手順7

  7. 証明書インストールの完了

    ウィザードの完了画面が表示されます。
    「完了」をクリックします。
    ベリサイン中間CA証明書インストール手順8

  8. 証明書インストールの完了確認

    「正しくインポートされました」と表示されます。
    「OK」をクリックします。
    ベリサイン中間CA証明書インストール手順9

■ステップ4 サーバ証明書のインストール

  1. Microsoft IIS 7.0を起動し、「機能ビュー」から「サーバ証明書」を選択します。
    (「管理ツール」→「インターネットインフォメーションサービス(IIS)マネージャ」)
    Microsoft IIS 7.0 SSLサーバ証明書インストール03
  2. サーバ証明書の機能ビューの右側「操作」メニューから、「証明書の要求の完了…」を選択します。
    Microsoft IIS 7.0 SSLサーバ証明書インストール04

  3. 証明書ファイルを指定する画面が表示されます。
    「証明期間の応答が含まれるファイルの名前」で手順(1.)で保存したサーバ証明書ファイル名を指定します。
    「フレンドリ名」には任意の文字列(フレンドリ名)を指定して「OK」をクリックします。
    Microsoft IIS 7.0 SSLサーバ証明書インストール05

    【注 意】 インストールの際、以下のようなエラーが表示されることがあります。
    Microsoft IIS 7.0 SSLサーバ証明書インストール05

    エラーが表示されても実際にはインストールが完了していることがあります。
    「インターネットインフォメーションサービス(IIS)マネージャ」画面に戻り、
    「F5」キーを押下して最新の状態を確認してください。

    このエラーは、マイクロソフト社も認識済みの不具合です。詳細はマイクロソフト社の技術情報を確認してください。

    Microsoft サポートオンライン(文書番号: 959216)

  4. サーバ証明書の有効化

    「インターネットインフォメーションサービス(IIS)マネージャ」画面に戻り、SSLを有効にするサイトを選択して「操作」メニューの「バインド」を選択します。
    Microsoft IIS 7.0 SSLサーバ証明書インストール06

  5. 「サイトバインド」画面が表示されます。
    [https] の表示を選択し「編集」ボタンをクリックします。
    Microsoft IIS 7.0 SSLサーバ証明書インストール07
  6. 「サイトバインドの編集」画面が表示されます。
    「SSL証明書」ではインストール手順 (5.) で指定したフレンドリ名(*)を選択します。
    Microsoft IIS 7.0 SSLサーバ証明書インストール08
    (*)フレンドリ名ではなく、コモンネームが表示されることがあります。その場合はコモンネームを選択してください。
    「OK」をクリックすると設定は完了です。

■ステップ5 インストールチェッカーで正しくインストールできたか確認

  1. インストールチェッカーで確認

    認証機関の提供するインストールチェッカーで サーバ証明書と中間CA証明書が正しくインストールできたか確認して下さい。

  2. インストールチェッカーで証明書が2個しか表示されない場合
    通常は下記の画像のように、サーバ証明書と中間CA証明書とクロスルート証明書、合計3個の証明書が表示されます。
    しかし、IISでは2個しか表示されない 場合があります。 そのような場合には、証明書ストアに 「Verisign Class3 Public Primary CA-G5」が 「信頼されたルート証明書機関」にすでにインストールされている可能性があります。 2個の証明書しか表示されなくても、PCブラウザからのアクセスではほとんどの場合問題ありません。
    しかし、携帯端末ではエラーが出てアクセスできない場合があります。 以下の手順で「信頼されたルート証明書機関」にインストールされている「Verisign Class3 Public Primary CA-G5」のプロパティを変更して下さい。 証明書のプロパティを変更するには
    • mmcを起動します。
    • コンピューターの証明書スナップインを開きます。
    • コンソール ツリーで「信頼されたルート証明書機関」 をクリックします。
    • 詳細ウィンドウで、変更する証明書「Verisign Class3 Public Primary CA-G5」をクリックします。
    • [操作] メニューの [プロパティ] をクリックします。
    • [全般]の [この証明書の目的をすべて無効にする] をクリックします。
    • [OK] をクリックして、すべての変更を保存します。
    • IISを停止・起動して下さい。停止・起動しても反映されない場合は、サーバを再起動して下さい。
    米国ベリサイン社マニュアルもご参照下さい。

    インストールチェッカーで以下のように3個の証明書が表示されます。
    Microsoft IIS 7.0 SSLサーバ証明書インストール08

■ステップ6 キーペア(秘密鍵と証明書)のバックアップ

ハードウェア障害などに備え、キーペア(秘密鍵 と 証明書)ファイルをバックアップ(エクスポート)しておきます。

サーバをリプレイスする場合などには、キーペアファイルを新しい環境にインポートすることで移行して利用できます。
  1. [スタート]→[コントロールパネル]→[管理ツール]→[インターネットインフォメーションサービスマネージャ]にアクセスします。 以下の画面が開きますので、[サーバ証明書]をダブルクリックします。
    Microsoft IIS 7.0 SSLサーバ証明書インストール01
  2. エクスポートしたいSSLサーバ証明書を選択、右側の操作メニューの[エクスポート]をクリックます。 iis7.0バックアップ説明画像2

  3. ファイル名とパスワードを入力する画面が表示されます。
    わかりやすいファイル名(拡張子は *.pfx になります)を指定し、 エクスポートするキーペアを保護するための任意のパスワードを入力(2回)し、[OK]をクリックします。
    ここで入力するパスワードは、絶対に忘れないように大切に管理してください。
    iis7.0バックアップ説明画像3

  4. バックアップ(エクスポート)が完了すると、 指定した場所、ファイル名で拡張子 (*.pfx) のキーペアファイルが保存されます。
    キーペアファイルには、セキュリティ上最も大切な秘密鍵の情報が含まれています。
    必ずバックアップを取り、厳重に管理をしてください。




-