WindowsのwebサーバであるIISのSSLサーバ証明書の設定手順を記録しておきます。
ここでは、すでにサーバ証明書ファイル、秘密鍵ファイル、中間証明書を持っている前提です。
pfx形式のサーバ証明書への変更手順
まず、opensslコマンドで、以下のように実行してpfx形式のサーバ証明書を作成します。
コマンド実行時に指定したパスワードはこの後使用しますので、忘れずにメモしておいてください。
$ openssl pkcs12 -export -inkey 秘密鍵ファイル.key -certfile 中間証明書.pem -in 証明書ファイル.cer -out 出力ファイル.pfx
中間証明書の配置
中間証明書ファイルを、Windowsサーバにコピーして、ダブルクリックしてインストールを進める方法とMMCコンソールから証明書のスナップインからインストールする方法があります。
どちらの方法でも良いので、中間証明書がある場合は、忘れずにインストールしておきましょう。
詳細の手順については、証明書発行ベンダーから出ているマニュアルを参照してください。
SSLサーバ証明書の配置
インターネット インフォメーション サービス(IIS)マネージャを起動し、[サーバ証明書] をダブルクリックします。
右側の操作欄より [インポート] をクリックし、上記で作成した pfxファイルを指定します。
このとき、パスワードの入力も忘れずに実施します。
証明書のインストールが済みましたら、バインドを実施します。
具体的には、SSLサーバ証明書を適用するサイトを選択し、[ バインド ] をクリックします。
httpsの設定を追加して、上記でインストールした証明書を指定します。
サーバ証明書の更新時は、すでにある https の証明書を置き換えることで、対応が完了となります。このバインドをした瞬間にサービスが再起動しますので、運用中はご注意ください。
これでIISのサーバ証明書の組み込みは終了です。
ブラウザよりアクセスして、httpsのサイトがエラーなく見れるか、設定したサーバ証明書が表示されるかを確認します。
pfx形式において中間証明書組み込みの必要性について要調査
pfx形式のファイルを作成した際に、中間証明書も組み込んでいるので、中間証明書の配置は不要だと考えておりました。しかし実際に設定した際に、エラーとなったので、中間証明書の配置をすることで解消しました。これより中間証明書の配置がいるのだと思いますが、いまいち納得ができておりません。また別のサーバで機会があれば、試してみたいと思います。
今回はここまでです。最後までお読みいただきありがとうございました。