none
IIS 10.0 で更新用SSL証明書をサイトに紐付けできない RRS feed

  • 質問

  • 運用中のウェブサーバがSSL証明書の更新期限が近付いたため、以下の手順でCSRを作成し、認証局に発行を依頼しました。

    発行されたSSL証明書をサーバに導入したのですが、サイトへ紐付けするドロップダウンリストの中に証明書が出てこず紐付けできません。

    証明書マネージャを参照したところ、更新用証明書の秘密鍵がサーバー内に見当たらないと判断されているようでした。

    以下の手順のどこに問題があるのか、原因が何なのかおわかりになる方はおられますでしょうか?

    再チャレンジしたいのですが、現状では同じ結果になるだけの様に思えて手を出しかねています。

    どうぞよろしくお願いいたします。

    [環境]

    OS:WIndows Server 2016 Datacenter バージョン1607 ビルド14393.2828

    IIS:バージョン 10.0.14393.0

    [手順]

    1. IISマネージャの「サーバー証明書」の操作メニューから「証明書の要求の作成」を行う。コモンネームや利用者情報は適切に設定し、暗号化サービスプロバイダは「Microsoft RSA SChannel Cryptographic Provider」を選択、鍵長を「2048bits」とする。

    2. 作成したCSRを基に認証局に発行依頼を行う。この際、認証局のUIでCSR内の情報が正しい事を確認した。

    3. 発行されたSSL証明書の「証明書」および「中間証明書」を基にPKCS7形式の証明書ファイルを準備する。拡張子をp7bにした上で作業マシン上でファイルを開き、この証明書の内容が意図したとおりになっていることも確認した。

    4. 前述のKCS7形式の証明書ファイルを、IISマネージャの「サーバー証明書」の操作メニューから「証明書の要求の完了」を利用して取り込む。フレンド名も適宜設定し、証明書ストアは「Webホスティング」とする。この時点では取り込みに成功したように見える。

    5. IISマネージャ上でバインドさせたいサイトを選び、操作メニューから「バインド」を選ぶ。サイトバインドの一覧から適切なhttpsのバインド情報を選んで「編集」を選択。その後にSSL証明書のドロップダウンリストで手順4で取り込んだ証明書を選ぼうとするのだが、リスト内に意中の証明書が見当たらない。

    6. IISマネージャの「サーバー証明書」の画面に戻ると、手順4で取り込んだはずの証明書が一覧から消えている。仕方がないので手順4~5を繰り返す。2、3回繰り返しても同じ結果となり証明書を更新できない。

    [手順の後に確認したこと]

    7. コンピューター証明書の管理(certlm)アプリで手順4で取り込んだ証明書を探してみた。「Webホスティング」の証明書ストア内に取り込まれている事が確認できた。ただし、以下の状態となっていてこれが紐付けできない理由ではないかと想定した。

    ・期限切れ間近の証明書にはアイコンに「鍵」のマークがついている。証明書の内容を確認すると「全般」のタブ内に「この証明書に対応する秘密キーを持っています。」と表示されている。

    ・更新用の証明書にはアイコンに「鍵」のマークがついていない。証明書の内容を確認すると「全般」のタブ内に前述した秘密キーに関する表示が見当たらない。

    [補足]

    a. このサーバとほぼ同じ構成のサーバがもう1台あり、こちらは上記手順1~5で証明書を紐付けできました。2台の違いはハードウェア構成とドメイン名程度です。(いずれもAWS上にホスティングしており、問題の出ている方がm5(比較的高性能)、うまく更新できた方がt2(廉価で低性能)インスタンスを利用しています)

    以上です。

    2019年3月29日 10:26

回答

  • 認証局の方から「同一サーバでCSRを再発行すれば、それを基に新しい証明書を発行しなおします」との提案を頂きました。

    そこで1~4の手順を再度進めた結果、5の手順でインストールしたSSL証明書がバインドできました。

    最初の手順で発行したCSRの秘密鍵がなぜ見つからないかは、残念ながら不明なままです。

    (わたくしの管理している他のTLS認証の必要なサーバーで秘密鍵のマッチするものがないか探してみましたが、見つかりませんでした)

    • 回答としてマーク LR99 2019年6月12日 10:12
    2019年6月12日 10:12

すべての返信

  • LR99さん、こんにちは。フォーラムオペレーターのナナエです。
    TechNetフォーラムにご投稿くださいましてありがとうございます。

    2台のサーバーの違いに関しては、もっと詳しくお教えいただけますでしょうか。
    イベントビューアに関連するイベントはありますでしょうか?

    注意:ウェブサイトはマイクロソフトによってホストされていないので、リンクは予告なしに変更されるかもしれません。 マイクロソフトはこの情報の正確性を保証していません。

    これがお役に立てれば幸いです。

    どうぞよろしくお願いします。


    MSDN/ TechNet Community Support ナナエ

    ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、
    ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2019年4月3日 9:18
  • 認証局の方から「同一サーバでCSRを再発行すれば、それを基に新しい証明書を発行しなおします」との提案を頂きました。

    そこで1~4の手順を再度進めた結果、5の手順でインストールしたSSL証明書がバインドできました。

    最初の手順で発行したCSRの秘密鍵がなぜ見つからないかは、残念ながら不明なままです。

    (わたくしの管理している他のTLS認証の必要なサーバーで秘密鍵のマッチするものがないか探してみましたが、見つかりませんでした)

    • 回答としてマーク LR99 2019年6月12日 10:12
    2019年6月12日 10:12
  • 回答を頂いていたにも関わらず放置となってしまい申し訳ありませんでした。

    自己レスで回答としてマークした通り、今回は、認証局の方の好意で再チャレンジを行った結果、SSL/TLS証明書の更新を行うことができました。

    しかし、原因はまだわかっておりません。

    情報を頂いたstack overflowのリンクについては後程内容を追ってみたいと思います。

    ご回答くださいましてまことにありがとうございました。

    2019年6月12日 10:15