マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

自己署名証明書は、随分、簡単になった。

詳細

以下を参照

自己証明証明書

自己署名入り証明書は、

  • GUIで簡単に生成&設定可能(ただし、CNが、localhostかNetBIOS名になっている)
  • 開発環境であれば、IIS Expressの証明書を使用することもできる。

証明書発行要求の生成

  • CNに任意のFQDN名を設定する
    (IPアドレスを設定することも可能)
  • 証明書発行要求を生成し、公認CA(認証局)に送信する際、
    CAの公開する手順などを参考にして、生成すると良い。

IIS Manager

PowerShell

OpenSSL

>openssl req -out testsite.csr -key server.key -new
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:jp
State or Province Name (full name) [Some-State]:hoge
Locality Name (eg, city) []:hoge
Organization Name (eg, company) [Internet Widgits Pty Ltd]:open
Organizational Unit Name (eg, section) []:touryo
Common Name (e.g. server FQDN or YOUR name) []:(FQDN名)
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

参考

証明書発行要求に応答

Chromeで、NET::ERR_CERT_COMMON_NAME_INVALIDが出る場合、
SAN(Subject Alternative Name)フィールドを含める必要がある。

証明書サービス (AD CS)

Active Directory証明書サービス (AD CS)を使用する。

OpenSSL

証明書サービス (AD CS)はサーバOSのみなので、
クライアントOSの場合は、OpenSSLを利用する。

  • 普通に証明書発行要求に応答する。
  • 認証局の秘密鍵を作成
    >openssl genrsa -des3 -out server.key 1024
    Generating RSA private key, 1024 bit long modulus (2 primes)
    .................................+++++
    ..................+++++
    e is 65537 (0x010001)
    Enter pass phrase for server.key:(任意のパスフレーズ)
    Verifying - Enter pass phrase for server.key:(任意のパスフレーズ)
  • PEMフレーズ(PEM phrase)で暗号化解除
    >openssl rsa -in server.key -out server.key
    Enter pass phrase for server.key:(任意のパスフレーズ)
    writing RSA key
  • 証明書発行要求に応答する。
    >openssl x509 -in testsite.txt -out testsite.crt -req -signkey server.key -days 3650
    Signature ok
    subject=C = JP, ST = hoge, L = hoge, O = hoge, OU = hoge, CN = FQDN名
    Getting Private key
  • 応答のフォーマットをcrtからpkcs12に変換する。
    >openssl pkcs12 -export -in testsite.crt -inkey server.key -out testsite.pkcs12
    Enter Export Password:(IISで完了するには空白に設定)
    Verifying - Enter Export Password:(IISで完了するには空白に設定)
  • IISで「証明書の要求の完了」を行う。
    新しい証明書の証明書ストアは「個人」を選択する。
  • サイトに証明書をバインドして、
    「信頼されたルート証明機関」にpkcs12をインポートする。
  • SAN(Subject Alternative Name)フィールドを含める場合、
  • 最初の手順は前述と同様。
  • san.txtを準備する。
    subjectAltName = DNS:(FQDN名)
  • 証明書発行要求に応答する
    (-extfile san.txt を指定する)。
    >openssl x509 -in testsite.txt -out testsite.crt -req -signkey server.key -days 3650 -extfile san.txt
    Signature ok
    subject=C = JP, ST = hoge, L = hoge, O = hoge, OU = hoge, CN = FQDN名
    Getting Private key
  • 残りの手順は前述と同様。
  • 参考

参考

証明書

IIS Express


Tags: :インフラストラクチャ, :Windows, :IIS, :障害対応, :性能, :デバッグ


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-06-07 (月) 09:18:36 (177d)