none
IIS7自己署名入り証明書の有効期間について RRS feed

  • 質問

  • お世話になります。

    Windwos2008+IIS7を利用しています。
    IISの自己署名入り証明書を使ったSSLを利用しようと思っています。
    証明書の発行とSSLの設定自体は問題なくでき、実際にhttpsでのアクセスも可能になりました。
    ただ、証明書の有効期間が1年間になっているため、期間を伸ばす方法を探しています。

    なかなか情報が探せなくて苦心しています。宜しくお願いします。
    2009年12月18日 8:42

回答

  • 直接の回答ではなく、代案ですが・・・

    > Windwos2008+IIS7を利用しています。

    Windows Server 2008 を使用しているのでしたら、Active Direcory 証明書サービスを
    利用してサーバー証明書を発行してはいかがですか?

    CA 証明書もインストールすれば「この Web サイトのセキュリティ証明書には問題があ
    ります。」という、例のわずらわしい警告メッセージも出なくなります。(AD ドメイ
    ンサービスと連携したエンタープライズ環境であれば CA 証明書は自動配布されます)

    Active Direcory 証明書サービスを利用してのサーバー証明書取得の手順は、以下のペ
    ージが参考になると思います。

    HTTPS メッセージング用のサーバー証明書を取得する
    http://technet.microsoft.com/ja-jp/library/cc731370(WS.10).aspx

    2009年12月19日 7:20
  • ただ、証明書の有効期間が1年間になっているため、期間を伸ばす方法を探しています。
    有効期限 (Not After、Valid To) を書き換える方法を私は知らないので・・・

    (step 1) 有効期限を数年先に設定したオレオレ証明書を作る。
    (step 2) 今埋め込んである (有効期限が一年先程度で切れる) オレオレ証明書を web サイトから取り外す。
    (step 3) step 1で作ったオレオレ証明書を web サイトに埋め込む。

    でいかがでしょう。

    2009年12月20日 13:39

すべての返信

  • 直接の回答ではなく、代案ですが・・・

    > Windwos2008+IIS7を利用しています。

    Windows Server 2008 を使用しているのでしたら、Active Direcory 証明書サービスを
    利用してサーバー証明書を発行してはいかがですか?

    CA 証明書もインストールすれば「この Web サイトのセキュリティ証明書には問題があ
    ります。」という、例のわずらわしい警告メッセージも出なくなります。(AD ドメイ
    ンサービスと連携したエンタープライズ環境であれば CA 証明書は自動配布されます)

    Active Direcory 証明書サービスを利用してのサーバー証明書取得の手順は、以下のペ
    ージが参考になると思います。

    HTTPS メッセージング用のサーバー証明書を取得する
    http://technet.microsoft.com/ja-jp/library/cc731370(WS.10).aspx

    2009年12月19日 7:20
  • ただ、証明書の有効期間が1年間になっているため、期間を伸ばす方法を探しています。
    有効期限 (Not After、Valid To) を書き換える方法を私は知らないので・・・

    (step 1) 有効期限を数年先に設定したオレオレ証明書を作る。
    (step 2) 今埋め込んである (有効期限が一年先程度で切れる) オレオレ証明書を web サイトから取り外す。
    (step 3) step 1で作ったオレオレ証明書を web サイトに埋め込む。

    でいかがでしょう。

    2009年12月20日 13:39
  • (step 1) 有効期限を数年先に設定したオレオレ証明書を作る。


    お世話になります。

    STEP1の方法自体がわからないのですが・・・・
    参考になるようなサイトとかないでしょうか?
    よろしくお願いします。
    2009年12月20日 17:26
  • Windows Server 2008 を使用しているのでしたら、Active Direcory 証明書サービスを

    利用してサーバー証明書を発行してはいかがですか?

    お世話になります。
    この方法ですが、Windows2000が管理しているADで、このWindows Server 2008はなんの役目も割り当てていないのですが、問題ないでしょうか?(正直今まで知らなかったやり方なので・・・・)
    よろしくお願いします。
    2009年12月20日 17:36
  • > この方法ですが、Windows2000が管理しているADで、このWindows Server
    > 2008はなんの役目も割り当てていないのですが、問題ないでしょうか?

    スタンドアロン CA で役割追加すれば影響はなさそうな気はしますが、保証の
    限りではありません。管理者の方に確認していただくほかないと思います。

    Windows Server 2000 にも Active Direcory 証明書サービスはあるので、
    それを利用できませんか?

    もし、証明書サービスをインストール済みなら、先に紹介した Web に書いて
    ある手順でサーバー証明書を取得できるはずです。

    ただし、Windows Server 2000 の場合、有効期間の変更は簡単ではない
    ようです。

    Windows Server 2003 または Windows 2000 Server 証明機関により発行
    される証明書の有効期限を変更する方法
    http://support.microsoft.com/kb/254632/ja

    2009年12月21日 13:55
  • (step 1) 有効期限を数年先に設定したオレオレ証明書を作る。


    お世話になります。

    STEP1の方法自体がわからないのですが・・・・
    参考になるようなサイトとかないでしょうか?
    よろしくお願いします。

    どうぞ ttp://tryiis7.spaces.live.com/blog/cns!A57DF6C28B81A8C1!1182.entry

    今回初めて openssl を使ってみました。
    2009年12月22日 18:45
  • こんにちは、フォーラムオペレーターの三沢健二です。

    SurferOnWww さん、0gata さん、アドバイスありがとうございます。

    案内いただいた内容は参考になる情報と思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。
    よろしければ、その後 kz69com さんの方で、実際に行われた方法などをお知らせいただければと思います。


    それでは、これからも皆様の情報交換の場として、ぜひ TechNet フォーラムをご利用ください。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年1月21日 9:23
    モデレータ