IT自己署名セキュリティ（SSL）証明書を作成してクライアントマシンに展開する方法

開発者やIT管理者は、間違いなく、SSL証明書を使用してHTTPS経由でWebサイトを展開する必要があります。このプロセスは本番サイトではかなり簡単ですが、開発とテストの目的のために、ここでもSSL証明書を使用する必要があるかもしれません。.

年間証明書を購入して更新する代わりに、Windows Serverの機能を活用して、便利で簡単な自己署名証明書を生成することができます。これらの種類のニーズを完全に満たす必要があります。.

IISで自己署名証明書を作成する

自己署名証明書を作成するタスクを実行するにはいくつかの方法がありますが、マイクロソフトのSelfSSLユーティリティを使用します。残念ながら、これはIISには同梱されていませんが、IIS 6.0 Resource Toolkitの一部として無料で入手できます（この記事の最後にあるリンク）。 「IIS 6.0」という名前にもかかわらず、このユーティリティはIIS 7で問題なく動作します。.

必要なのはselfssl.exeユーティリティを取得するためにIIS6RTを抽出することです。ここからあなたはそれをあなたのウィンドウズディレクトリまたは他のマシンで将来使用するためにネットワークパス/ USBドライブにコピーすることができます。.

SelfSSLユーティリティを用意したら、次のコマンドを（管理者として）実行し、必要に応じて値を置き換えます。

selfssl / N：CN = / V：

次の例では、「mydomain.com」に対する自己署名ワイルドカード証明書を作成し、それを9,999日間有効に設定します。また、プロンプトにyesと答えると、この証明書はIISの既定のWebサイト内のポート443にバインドするように自動的に構成されます。.

この時点で証明書は使用できるようになっていますが、サーバー上の個人用証明書ストアにのみ保存されています。この証明書を信頼されたルートにも設定することをお勧めします。.

スタート>ファイル名を指定して実行（またはWindowsキー+ R）の順に選択し、「mmc」と入力します。 UACのプロンプトが表示されたら、それを受け入れます。空の管理コンソールが開きます。.

コンソールで、[ファイル]> [スナップインの追加と削除]の順に選択します。.

左側から証明書を追加する.

コンピュータアカウントを選択.

ローカルコンピュータを選択.

[OK]をクリックしてローカル証明書ストアを表示します。.

[Personal]> [Certificates]に移動して、SelfSSLユーティリティを使用して設定した証明書を見つけます。証明書を右クリックして[コピー]を選択します。.

信頼されたルート認証局>認証にナビゲートして下さい。 Certificatesフォルダを右クリックして[貼り付け]を選択します。.

SSL証明書のエントリがリストに表示されます。.

これで、あなたのサーバーは自己署名証明書を扱うのに問題がないはずです。.

証明書のエクスポート

証明書の誤りや警告の可能性のある猛攻撃を避けるために、任意のクライアントマシン（つまり、サーバーではない任意のコンピュータ）で自己署名SSL証明書を使用するサイトにアクセスする場合は、自己署名証明書をインストールする必要があります。各クライアントマシン上で（これについては後で詳しく説明します）。これを行うには、最初に各証明書をエクスポートして、クライアントにインストールできるようにする必要があります。.

証明書管理がロードされたコンソールの内側で、[信頼されたルート証明機関]> [証明書]に移動します。証明書を見つけて右クリックし、[すべてのタスク]> [エクスポート]を選択します。.

秘密鍵をエクスポートするように指示されたら、「はい」を選択します。次へをクリック.

ファイル形式のデフォルトの選択をそのままにして、「次へ」をクリックします。.

パスワードを入力します。これは証明書を保護するために使用され、ユーザーはこのパスワードを入力しないと証明書をローカルにインポートすることはできません。.

証明書ファイルをエクスポートする場所を入力します。 PFX形式になります.

設定を確認して[完了]をクリックします。.

作成されたPFXファイルは、クライアントマシンにインストールされ、自己署名証明書が信頼できる発行元からのものであることを知らせます。.

クライアントマシンへのデプロイ

サーバー側で証明書を作成してすべてが機能するようになると、クライアントマシンがそれぞれのURLに接続すると証明書の警告が表示されることに気付くでしょう。これは、認証局（サーバー）がクライアント上のSSL証明書の信頼できる発行元ではないために発生します。.

警告をクリックしてサイトにアクセスすることはできますが、強調表示されたURLバーの形式で繰り返し通知が表示されたり、証明書の警告が繰り返し表示されることがあります。この煩わしさを避けるには、クライアントマシンにカスタムSSLセキュリティ証明書をインストールするだけです。.

使用しているブラウザによっては、このプロセスが異なる場合があります。 IEとChromeはどちらもWindows証明書ストアから読み込みますが、Firefoxにはセキュリティ証明書を処理するためのカスタムメソッドがあります。.

重要な注意点： あなたがすべき 決して 未知のソースからセキュリティ証明書をインストールします。実際には、証明書を生成した場合にのみローカルにインストールする必要があります。合法的なWebサイトでは、これらの手順を実行する必要はありません。.

Internet ExplorerとGoogle Chrome - 証明書をローカルにインストールする

注：FirefoxはWindowsのネイティブ証明書ストアを使用しませんが、これはまだ推奨ステップです。.

サーバーからエクスポートされた証明書（PFXファイル）をクライアントマシンにコピーするか、ネットワークパスで利用できるようにします。.

上記とまったく同じ手順を使用して、クライアントマシンのローカル証明書ストア管理を開きます。あなたは最終的に以下のような画面になってしまうでしょう.

左側で、Certificates> Trusted Root Certification Authoritiesの順に展開します。 Certificatesフォルダを右クリックして、All Tasks> Importの順に選択します。.

あなたのマシンにローカルにコピーされた証明書を選択してください.

証明書がサーバーからエクスポートされたときに割り当てられたセキュリティパスワードを入力します.

目的地として、ストア「信頼されたルート証明機関」を事前に入力する必要があります。次へをクリック.

設定を確認して[完了]をクリックします。.

成功のメッセージが表示されるはずです.

[信頼されたルート証明機関]> [証明書]フォルダの表示を更新すると、ストアにサーバーの自己署名証明書が表示されます。.

これが行われれば、これらの認証を使用し、警告もプロンプトも表示されないHTTPSサイトを閲覧できるはずです。.

Firefox - 例外を許可する

Firefoxは、Windowsストアから証明書情報を読み取らないため、このプロセスを少し異なる方法で処理します。証明書をインストールするのではなく、特定のサイトでSSL証明書の例外を定義できます。.

証明書エラーのあるサイトにアクセスすると、次のような警告が表示されます。青い領域には、アクセスしようとしているそれぞれのURLが表示されます。それぞれのURLでこの警告を回避するための例外を作成するには、[例外を追加]ボタンをクリックします。.

[セキュリティ例外の追加]ダイアログで、[セキュリティ例外の確認]をクリックしてこの例外をローカルに構成します。.

特定のサイトがそれ自体の中からサブドメインにリダイレクトすると、複数のセキュリティ警告プロンプトが表示されることがあります（URLは毎回わずかに異なります）。上記と同じ手順を使用して、これらのURLに対する例外を追加します。.

結論

あなたがするべきことは、上記の通知を繰り返す価値があります 決して 未知のソースからセキュリティ証明書をインストールします。実際には、証明書を生成した場合にのみローカルにインストールする必要があります。合法的なWebサイトでは、これらの手順を実行する必要はありません。.

リンク集

MicrosoftからIIS 6.0 Resource Toolkit（SelfSSLユーティリティを含む）をダウンロードします。