- TOP
- サービス一覧
- トラストサービス
- セコムパスポート for Web SR3.0
- お申込み手順 [新規・更新] セコムパスポート for Web SR3.0
- 証明書の設定 Microsoft IIS 10.x 新規/更新用
中間CA証明書、サーバー証明書をダウンロードし、次の手順に従い証明書を設定します。
- チェーン証明書(中間CA証明書)のインストールルート証明書の削除 (OVサービスの場合)
- ルート証明書の削除 (OVサービスの場合)
- サーバー証明書のインストール
- バインド設定(新規/再設定)
- サーバー証明書および秘密鍵のバックアップ
※バックアップファイル (「.pfx」 ファイル) のインポート
負荷分散でサーバーを複数台ご利用されているお客様はこちらをご確認ください。
1.チェーン証明書(中間CA証明書)のインストール
<SR3.0サービスをご利用の場合の注意事項>
- 中間CA証明書が新しくなりました。
2025/4/25以降に発行される証明書より、新しい中間CA証明書をインストールする必要があります。
お客様専用ページから新しい中間CA証明書をダウンロードして、インストールを行ってください。
【1-1】MMCコンソールの立ち上げ
画面左下のスタートより、Wの欄にある[Windows PowerShell]よりPowerShellを立ち上げ、「MMC」と入力しMMCコンソールを立ち上げます。
【1-2】[スナップインの追加と削除(M)...]の選択
“コンソール”より[ファイル(F)]の[スナップインの追加と削除(M)]を選択します。
【1-3】スナップインの追加
“スナップインの追加と削除”が立ち上がりますので、 「利用できるスナップイン(S)」から「証明書」を選択して [追加(A)] をクリックします。
【1-4】「コンピューター アカウント(C)」の選択
“証明書のスナップイン”で「コンピューター アカウント(C)」の選択し、[次へ(N)>] をクリックします。
【1-5】コンピューターの選択
“コンピューターの選択”で「ローカル コンピューター(L)」を選択して、[完了] をクリックします。
【1-6】確認
「選択されたスナップイン(E)」に証明書(ローカル コンピューター)が表示されていることを確認して、[OK]をクリックします。
【1-7】中間CA証明書のインポート
“コンソール”の[証明書(ローカル コンピューター)] → [中間証明機関] → [証明書] を右クリックし、[すべてのタスク(K)] → [インポート(I)...] をクリックします。
【1-8】“証明書のインポート ウィザード”の立ち上げ
“証明書のインポート ウィザード”が立ち上がりますので、[次へ(N)]をクリックします。
“インポートする証明書ファイル“では [参照(R)] をクリックし、管理画面でダウンロードした中間CA証明書を開き、ファイル名(F)に中間CA証明書が表示されていることを確認して、[次へ (N)>] をクリックします。
【1-9】「証明書をすべて次のストアに配置する(P)」の選択
「証明書をすべて次のストアに配置する(P)」を選択し、証明書ストアが“中間証明機関“になっていることを確認して、[次へ(N)>] をクリックします。
【1-10】完了
証明書のインポート ウィザードの[完了]をクリックします。
■OVサービスをご利用の場合
OVサービスは4階層構造となるため、中間CA証明書が2つ必要です。
続けて、クロスルート証明書をインストールしてください。
【1-11】クロスルート証明書(crossRoot_RSA2024.cer)の追加
【1-7】に戻り、手順【1-7】~【1-10】を再実施します。
※【11-8】で“インポートする証明書ファイル“は、ダウンロードしたクロスルート証明書(crossRoot_RSA2024.cer)を選択してください。
以上で中間CA証明書のインストールは完了です
2.ルート証明書の削除 (OVサービスの場合)
Windowsサーバーでは、ルート CA への信頼された証明書パスが複数ある場合、ブラウザーで警告メッセージが表示されることがあり、Microsoft社のサイトに回避策が掲載されております。
証明書にルート CA への信頼された証明書パスが複数ある場合、証明書の検証が失敗します(Microsoft社サイト)
4階層で接続をするため、上記サイトのルート証明書の削除およびルート証明書の自動更新を停止してください。
■回避策(参考)
- システム管理者としてデバイスにログオンします。
- 次の手順に従って、証明書スナップインを Microsoft Management Console に追加します。
- [スタート] > [実行] をクリックし、「mmc」と入力して Enter キーを押します。
- [ファイル] メニューの [スナップインの追加と削除] をクリックします。
- [証明書] を選択して [追加] をクリックし、[コンピューター アカウント] を選択して [次へ] をクリックします。
- [ローカル コンピューター (このコンソールを実行しているコンピューター)] を選択して、[完了] をクリックします。
- [OK] をクリックします。
- 管理コンソールで [証明書 (ローカル コンピューター)] を展開し、[信頼されたルート証明機関]-[証明書]をクリックします。
- ルート証明書一覧から、発行先・発行者が[SECOM TLS RSA Root CA 2024]を見つけます。
- 証明書を削除するには、証明書を右クリックし、[削除] をクリックします。
- 証明書を無効にするには、証明書を右クリックし、[プロパティ] をクリックして [この証明書のすべての目的を無効にする] を選択し、[OK] をクリックします。
- 問題がまだ発生している場合は、サーバーを再起動します。
さらに、サーバー上で [ルート証明書を自動更新しない] グループ ポリシー設定が無効になっているか、設定されていない場合は、次回チェーンビルドが発生したときに、使用しない証明書パスの証明書が有効化またはインストールされる可能性があります。 グループ ポリシー設定を変更するには、次の手順を実行します。
- [スタート] > [実行] をクリックし、「gpedit.msc」と入力して Enter キーを押します。
- [コンピューター構成] > [管理用テンプレート] > [システム] > [インターネット通信管理] を展開し、[インターネット通信の設定] をクリックします。
- [ルート証明書を自動更新しない] をダブルクリックし、[有効] を選択して [OK] をクリックします。
- ローカル グループ ポリシー エディターを修了します。
3.サーバー証明書のインストール
【3-1】サーバー証明書の拡張子が *.cer であることの確認
【3-2】インターネット インフォメーション サービス (IIS) マネージャーの実行
画面左下のスタートより、Wの欄にある[Windows管理ツール][インターネット インフォメーション サービス (IIS) マネージャー]タイルを実行します。
【3-3】[サーバー証明書]アイコンの実行
画面左にあるサーバー名を選択し、画面中央にある [サーバー証明書]アイコンを実行します。
画面の中央が[サーバー証明書]に変わり、右の表示が変わります。
【3-4】<証明書の要求を完了する>ダイアログの表示
画面右にある[証明書の要求の完了 ...]メニューを実行します。
<証明書の要求を完了する>ダイアログがポップアップします。
【3-5】サーバー証明書のファイルの名前の入力
証明機関の応答を指定します。
[証明機関の応答が含まれるファイルの名前(R)]は、[…]をクリックしダウンロードしたサーバー証明書を指定します。
[フレンドリ名(Y)]は、証明書を識別するための任意の名前を入力します。
※フレンドリ名はわかりやすいよう、以下のような値をお勧めします。
・ウェブ・サイト名
・有効期間の満了年月
・弊社が発行したこと (従来他社をご使用だった場合)
「新しい証明書の証明書ストアを選択してください(S)」では、証明書ストアを選択し、[OK] ボタンを実行し、ダイアログを閉じます。
【3-6】確認
インストールした証明書が、 [サーバー証明書]中央のリスト・ボックスに追加されたのを確認ください。
以上でサーバー証明書のインストールは完了です。
4.バインドの追加
【4-1】証明書をインストールするサイトの択一
[インターネット インフォメーション サービス (IIS) マネージャー]の画面左にある[サイト]アイコンをクリックし、証明書をインストールするサイトを択一ください。
画面の中央にサイトのホームが表示され、画面右の表示が変わります。
【4-2】[バインド...]の実行
画面右の[操作]メニューから[バインド...]を実行します。
<サイト バインド>ダイアログが表示されます。
※バインドを初めて設定するとき(証明書の初導入)と、バインドを再設定するとき(証明書の再導入)で、手順が違います。
・初めての場合は「新規バインドの設定」を参照ください。
・再設定の場合は「既存バインドの再設定」を参照ください。
ご利用のサイトに初めてサーバー証明書を導入なさる場合
4.新規バインドの設定
こちらは、初めてサーバー証明書を導入する場合の手順です。
【4新規-3】<サイト バインド>の追加
<サイト バインド>の[追加(A)...]ボタンを実行します。
<サイト バインドの追加>ダイアログがポップアップします。
【4新規-4】種類の選択
[種類(T)]プルダウンから[https]を択一して、[SSL 証明書(F)]を表示させます。
【4新規-5】IPアドレスとポートの入力
[IP アドレス(I)]と[ポート(O)](通常、ポートとして443番を利用します) を入力します。
【4新規-6】証明書の択一
[SSL 証明書(F)]のプルダウン・リストから、サイトに設定する証明書を択一します。
[OK]ボタンをクリックし、<サイト バインドの追加>のダイアログを閉じます。
【4新規-7】<サイト バインド>リストへの追加の確認
<サイト バインド>のリスト・ボックスに、「https」のバインドが追加されたことを確認します。
[閉じる(C)]ボタンを実行し、ダイアログを閉じます。
【4新規-8】[Web サイトの管理]の[再起動]の実行
画面右[操作]の[Web サイトの管理]の[再起動]を実行します。[再起動]の実行できないときは[開始]を実行してください。
以上で証明書のインストール(初導入) は完了です。
すでにご利用中のサーバー証明書を変更なさる場合
4.既存バインドの再設定
こちらは、すでに利用しているサーバー証明書を変更する場合の手順です。
バインドを初めて設定するとき(証明書の初導入)と、バインドを再設定するとき(証明書の再導入)で、手順が違いますので、ご注意ください。
【4再設定-3】インストールするバインドの択一
リスト・ボックスから証明書をインストールするバインドを択一します。[編集(E)...]ボタンが実行できるようになりますので、 [編集(E)...]ボタンを実行します。
<サイト バインドの編集>ダイアログがポップアップします。
【4再設定-4】インストールする証明書の択一
[SSL証明書(F)]プルダウン・リストから、サイトへ新しく設定する証明書を択一します。
[OK]ボタンを実行し、ダイアログを閉じます。
以上で証明書のインストール (再導入)は完了です。もしサーバーを起動していないときは[開始]を実行してください。
5.サーバー証明書および秘密鍵のバックアップ方法
【5-1】[インターネット インフォメーション サービス (IIS) マネージャ] の実行
画面左下のスタートより、Wの欄にある[Windows管理ツール][インターネット インフォメーション サービス (IIS) マネージャー]タイルを実行します。
【5-2】[サーバー証明書]アイコンの実行
画面左の「接続」にあるサーバー名を選択し、画面中央にある [サーバー証明書]アイコンを実行します。
【5-3】バックアップをとる証明書の択一
画面の中央のリスト・ボックスから バックアップをとる証明書を択一します。 画面右の [操作] に [エクスポート...] が表示されますので、 [エクスポート...] を実行します。
<証明書のエクスポート>ダイアログがポップアップします。
【5-4】エクスポート先の指定
[エクスポート先(E)]と[パスワード(P)][パスワードの確認入力(M)]を指定します。
【5-5】エクスポートの完了
[OK]ボタンを実行し、ダイアログを閉じます。
以上でバックアップ作業は完了です。
決してパスワードを忘れないでください。忘れると二度とバックアップファイルは使用できなくなります。
負荷分散でサーバーを複数台ご利用されているお客様
※バックアップファイル (「.pfx」 ファイル) のインポート
この作業は、負荷分散で使用する別サーバーへ証明書のインポートを行う方法です。
別のサーバーに証明書をインポートをする必要があるお客様は、以下の作業を行ってください。
バックアップファイルを移動させてください。
【1】[インターネット インフォメーション サービス (IIS) マネージャー] の実行
画面左下のスタートより、Wの欄にある[Windows管理ツール][インターネット インフォメーション サービス (IIS) マネージャー]タイルを実行します。
【2】[サーバー証明書]アイコンの実行
画面左の「接続」にあるサーバー名を選択し、画面中央にある [サーバー証明書]アイコンを実行します。
【3】インポートの実行
画面右の[操作]より、[インポート...]を実行します。
<証明書のインポート> ダイアログがポップアップします。
【4】<証明書のインポート>ダイアログの表示
[証明書ファイル(.pfx)(C)][パスワード(P)]を指定します。
【5】インポートの完了
[OK]ボタンを実行してダイアログを閉じます。
以上でバックアップファイル (「.pfx」 ファイル) のインポート作業は完了です。