JPRSサーバー証明書
これまでも、格安のSSL証明書が発行されていましたが、今回はJPRSのサーバー証明書を使用することにしました。
JPRSは「.JP」のドメインを管理する会社です。当サイトも「co.jp」と「.jp」を使用しており、ここが発行するということで、かなり安心感があります。
また、価格は「さくらインターネット」では、
JPRS ドメイン認証型 990円 DV 即日発行
となっています。
サブドメインがそれほど多くなく、ドメインだけの証明があればいい場合はこれで十分と思われます。
JPRSサーバー証明書のポイント
1枚の証明書で複数のサーバーに導入可能
コモンネーム単位でサーバー証明書が発行されるため、同一のコモンネームを持つサーバーであれば台数に関係なく、
一つの証明書をコピーして利用することができます。サーバーを増設する場合にも追加購入の必要がありません。
つまり、サーバーのIPアドレス等の縛りがないため、柔軟な運用ができるようです。
ここでは、この証明書をWindowsサーバーで使用する手順を紹介します。
証明書の要求を作成
IIS7.0以上では、サーバー証明書というアイコンがあります。これを起動します。右のメニューの中に「証明書の要求の作成」を実行します。
半角英数字で記入します。
以下はさくらインターネットの記入例です。
コモンネームが、今回証明書を申請するドメイン名(サイト名)になります。
一般名(コモンネーム) www.sakura.ad.jp
組織 Technical Division
組織単位 SAKURA Internet Inc.
市区町村 Osaka-shi
都道府県 Osaka
国 JP
暗号化サービスプロバイダのプロパティの設定
作成する鍵のビット長は「2048」を選択します。
CSRを保存するファイル名を入力して終了する。
CSRファイルは、暗号化されたテキストファイルで、メモ帳等で見ることができます。
例、csr_sakura.txt
証明書を申し込む
さくらインターネットのJPRS一覧で、申し込みます。
支払い方法等の設定をします。
「CSRの入力へ進む」のところで、用意したCSRファイル(テキスト)を使用します。
正常に申し込みが終了し、支払いが完了すると、以下のような返事がきます。
お申込みいただきましたSSLサーバ証明書の発行申請を行いました。
引き続き、認証局より申請いただいたドメインの使用権確認がございますので以下の重要事項と手順をご確認の上、ご利用サーバへ認証ファイルのアップロードをお願いいたします。
認証ファイルのアップロード
申請したドメインが実際に存在するか、確認するための手続きです。
指定のページから認証ファイルをダウンロードします。
例、abc*********.txt
このファイルを指定のURLにアップロードします。
例、http://(申請サイト名)/.well-known/pki-validation/abc*********.txt
Windowsサーバーの場合は、直接「.well-known」フォルダは作成できないので、申請サイトに「/well-known/pki-validation/」フォルダを作成し、そこに「abc*********.txt」ファイルを置きます。
IISでこの「well-known」フォルダを仮想フォルダに変換します。
仮想フォルダ名を「.well-known」に変えます。
認証局のクローラー(ロボット)がこのURLを読みに来ます。このURLが確認されれば、すぐにサーバー証明書が発行されます。
クローラーは夕方から夜にかけて訪れるようです。
サーバー証明書のインストール
発行を知らせるメールが届いたら、指定のページからサーバー証明書をダウンロードします。
サーバー証明書とは別に「中間証明書」が必要ですのです。
これはJPRSの指定ページからダウンロードします。
JPRS ルート証明書、中間CA証明書
ルート証明書は特に必要ありません。
証明書のインストールは以下に詳しい説明があります。
JPRS 証明書のインストール IIS7
以下にその概要を載せておきます。
中間CA証明書のインストール概略
MMC>スナップインの追加と削除>証明書>追加
>コンピューターアカウント>ローカルコンピューター>完了
証明書(ローカルコンピューター)>中間証明機関>証明書>インポート>*.cer
>証明書をすべて次のストアに配置する>完了
作成したMMCは名前をつけて保管しておきます。
サーバー証明書のインストール概略
JPRSのサーバー証明書の拡張子は「*.crt」となっていますので、拡張子を「*.cer」に変更します。
IISマネージャ>サーバー証明書>証明書の要求の完了>
ファイル名「*.cer」とフレンドリ名(自由)の入力>完了
>確認
インストールした証明書が、[サーバー証明書]中央のリスト・ボックスに追加されます。
サーバー証明書のバックアップ
IISマネージャ>サーバー証明書>該当する証明書をクリック>エクスポート
>エクスポート先、パスワード、パスワードの確認 を入力
完了
バックアップファイル:***.pfx
バインドの追加
該当するサイトのバインドに、httpsを追加します。
これでhttps通信が可能になります。
Windows2008の場合
最新のブラウザでアクセスすると「TLS 1.2 以降を有効にする必要があります。」というエラーが出ます。
TLS1.2を有効にする方法。
更新プログラム一覧で「KB3140245」が入っていることを確認。
レジストリにキーを2個作成。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
それぞれ、キー2個を追加。
「DisabledByDefault」で値は「0」
「Enabled」で値は「1」
これでTLS1.2が可能になりますが、うまくいかない場合もあるようです。
なお、レジストリ操作は、自己責任でおこなってください。
Windows OS SSLv2 SSLv3 TLS 1.0 TLS 1.1 TLS 1.2 Windows Server 2008 〇 〇 〇 △ △ Windows 7 Windows Server 2008 R2 〇 〇 〇 △ △ Windows Serer 2012 △ 〇 〇 〇 〇 Windows 8.1 Windows Server 2012 R2 △ 〇 〇 〇 〇 Windows 10 △ 〇 〇 〇 〇 Windows Server 2016 × △ 〇 〇 〇