none
IIS7.0でSSLサイトを作成する方法 RRS feed

  • 質問

  • chonmage です。よろしくお願いします。

     

    OS:Windows Server 2008 β3 を使い、IIS7.0で仮想ディレクトリをSSL対応にしようとしています。

     

    IISマネージャで、仮想ディレクトリを作成し、左側の接続ペインでこの仮想ディレクトリを選択します。

    中央に表示されている「SSLの設定」アイコンをダブルクリックし、" □SSLが必要 " をチェックしました。

     

    この仮想ディレクトリに、

    1. http://localhost/dir1 のように接続を試みると、サイトはSSLが必要というエラーページ表示されます。
      これは正しい動作だと思います。
    2. https://localhost/dir1 のようにすると、「インターネット エクスプローラではこのページは表示できません」となります。
      これで困っています。

     

    このマシンには、AD証明書サービスも入っています。

    ですのでIISマネージャの証明書では、

    • AD証明書サービスをインストールした時に作成されたサーバー証明書(かな)
    • リモート接続で使用するWMSvc~の証明書

    が見えています。

     

    また、IEの[インターネットオプション]-[コンテンツ]タブ-[証明書]ボタン-[信頼されたルート証明機関]タブ にも、

    AD証明書サービスをインストールした時に作成された証明書が見えています。

     

    【質問1】

    IEからサイトを見ることができるようにするには、クライアントからcertsrvへ接続して、別途証明書を入れ込む必要があるのでしょうか?

     

    【質問2】

    クライアント証明書をcertsrvから手動で入れる事が必要だとして、これはやりたくありません。
    ですのでインターネットでよくあるような、ダイアログが表示され証明書がインストールされるというような仕掛けを構成すること(可能であればIIS7.0だけで)はできないのでしょうか?

     

    以上、よろしくお願いします。

     

    2007年8月1日 6:49

回答

  •  

    それ以前に、

    https://localhost/dir1

    は正常にアクセスできるのですか?

     

    SSLが必要チェックをはずして、

    http

    https

    両方で正しく動いているかを確認してください。

    2007年8月1日 12:27
  • chonmageです。

    コメントありがとうございます。

     

    それ以前に、

    https://localhost/dir1

    は正常にアクセスできるのですか?

     

    については、問題なくアクセスできます。

     

    SSLが必要チェックをはずして、http / https それぞれを試した場合、

    http では普通に参照でき、

    https の場合は、保護された云々のダイアログが表示され、接続を試みると「IEでではこのページは表示できない」メッセージが出ます。

     

    以上、よろしくお願いします。
    2007年8月2日 2:56
  • chonmage です。

     

    色々悩んだあげく、AD証明書サービスの使い方があまりよく判っていないために、知っている人から見れば「ありえない」操作をしているかもしれないと思い、

     

    ・AD証明書をいったん削除

    ・アプリケーションサーバーを再度構成しなおし

     

    とし、アプリケーションサーバの構成しなおし時に、SSL証明書について「自己署名証明書」を選択し入れ込みました。

    これでIIS7.0が自動的に証明書を用意したところで、当該仮想ディレクトリをSSL設定すると、すんなりと動作しました。

     

    問題点がハッキリとしたわけではありませんが、少なくともAD証明書サービスについて不都合な操作がないか等を探るという方向性ははっきりしたので、これでいったん解決としたいと思います。

    (別にPOSTしたDTCで使うSSL証明書もこれ絡みだとすると・・・)

     

    どうもありがとうございました。

     

    2007年8月2日 4:40

すべての返信

  •  

    それ以前に、

    https://localhost/dir1

    は正常にアクセスできるのですか?

     

    SSLが必要チェックをはずして、

    http

    https

    両方で正しく動いているかを確認してください。

    2007年8月1日 12:27
  • chonmageです。

    コメントありがとうございます。

     

    それ以前に、

    https://localhost/dir1

    は正常にアクセスできるのですか?

     

    については、問題なくアクセスできます。

     

    SSLが必要チェックをはずして、http / https それぞれを試した場合、

    http では普通に参照でき、

    https の場合は、保護された云々のダイアログが表示され、接続を試みると「IEでではこのページは表示できない」メッセージが出ます。

     

    以上、よろしくお願いします。
    2007年8月2日 2:56
  • chonmage です。

     

    色々悩んだあげく、AD証明書サービスの使い方があまりよく判っていないために、知っている人から見れば「ありえない」操作をしているかもしれないと思い、

     

    ・AD証明書をいったん削除

    ・アプリケーションサーバーを再度構成しなおし

     

    とし、アプリケーションサーバの構成しなおし時に、SSL証明書について「自己署名証明書」を選択し入れ込みました。

    これでIIS7.0が自動的に証明書を用意したところで、当該仮想ディレクトリをSSL設定すると、すんなりと動作しました。

     

    問題点がハッキリとしたわけではありませんが、少なくともAD証明書サービスについて不都合な操作がないか等を探るという方向性ははっきりしたので、これでいったん解決としたいと思います。

    (別にPOSTしたDTCで使うSSL証明書もこれ絡みだとすると・・・)

     

    どうもありがとうございました。

     

    2007年8月2日 4:40
  • とりあえず、対象の client に root 証明書が install されていることを確認してください。

    Install されていない場合には install しましょう。大量にある場合には、group policy 使って展開できます。

     

    なお、client 証明書はより上の security (client 認証) を用いるために必須なわけで、ただ単に SSL で暗号化するための必須要件ではありません。

     

    どちらにしろ独自の CA を立てていることになるので、まともな運用を行うのであれば PKI に対する深い理解が必要になります。

    ということで、書籍なりでちゃんと勉強することをお勧めします。
    2007年8月2日 16:00
  • ちゃっぴさん、どうもありがとうございます。

     

    まともな運用もするつもりはまったく無く、ただ、local環境でMS-DTC(WS-AT)をテストしたいという事の延長で、作成したサーバー証明書がそもそも使えるのか?ということから、このHTTPSの件も試してみたというのが、実際のところです。

     

    IIS7.0で分散トランザクションを選択した場合に、SSL関係の証明書選択で「自己署名証明書」という選択枝があります。

    これがさくっと使えていれば問題はなかったのですが・・・(これが、秘密キー読めないというエラーになるものですから)

     

    皆さんは使えていて自分のところがおかしいだけなのか、それともちゃっぴさんがおっしゃるように、そもそもPKI自体の深い理解が無いと、WS-AT(MS-DTC)のテストは不可能なのでしょうか。

     

    ふぅ。

    2007年8月3日 4:27
  • 澤田です。

    少しずれるかもしれませんが、ベリサインさんでテスト用のサーバIDを使うことができます。
    私はこちらのサーバIDを使って様々なSSLの検証をさせていただいております。

    よろしければ、使って見てはいかがしょうか。

    有効期間14日間、無料のテスト用サーバIDをご利用いただけます。
    http://www.verisign.co.jp/server/trialserver/index.html


    2008年4月10日 10:04