この特集のトップページへ
Chapter 8:プレゼンテーション層の構築

8.3.2 SSLによる暗号化
●証明書サービスのインストール
 公的証明機関に依頼することなく,サーバー証明書を自ら作成するためには,Windows 2000 Serverに添付されている証明書サービスを利用する。証明書サービスは,デフォルトではインストールされていない。そのため,事前に[コントロールパネル]の[アプリケーションの追加と削除]から[Windowsコンポーネント]を選択し,[証明書サービス]をインストールしておく必要がある(Fig.8-67)。

One Point! 証明書サービスをインストールするサーバーは,IISが起動しているサーバーと同じであっても,別々であっても,どちらでもかまわない。
Fig.8-67 証明書サービスのインストール
fig8_67

 [証明書サービス]をインストールしようとすると,Fig.8-68に示すウィザード画面が表示され,どのような証明機関(CA:Certification Authority)として機能するようにするのかを尋ねてくる。

Fig.8-68 証明機関の種類
fig8_68

 詳細は省くが,証明機関は階層構造をとり,ツリー上位の証明機関がツリー配下の証明機関を証明するという構造になっている。独自に新規証明機関を作成する場合には,ツリーのトップという意味である「ルートCA」を指定する。

 Fig.8-68において,ルートCAには「エンタプライズのルートCA」と「スタンドアロンのルートCA」という2つの選択肢がある。このうち,エンタプライズのルートCAはActive Directory環境でしか使えないため,Active Directoryを導入していない環境では,おのずと「スタンドアロンのルートCA」を選択しなければならない。これに対してActive Directoryを導入している環境では,「エンタプライズのルートCA」と「スタンドアロンのルートCA」のどちらでも選択することができる。

 簡単にいえば,「エンタプライズのルートCA」とは,Active Directoryと連携し,必要に応じて自動的に証明書の発行をサポートし,またドメイン内で証明書の信頼関係を締結するものである。「スタンドアロンのルートCA」とは,必要に応じて管理者が手作業で証明書の発行をするものである。証明書サービスは,何もSSLのみに使われるわけではない。Kerberosの初期認証やS/MIME,スマートカードを使った認証など,多種多様なところで使われている。そのため,Active Directory環境では「エンタプライズのルートCA」を作成しておいたほうが便利ではある。しかし半面,Active Directoryの構成に左右されることになるから,WebのSSLの証明書を作るという用途だけに限れば,「スタンドアロンのルートCA」を選択したほうが管理の面倒は少ない。そこで今回は,「スタンドアロンのルートCA」として証明書サービスをインストールする方法についてのみ説明する。

 なお,この設定は,サービスのインストール後にカスタマイズポリシーで変更することができる。そのため,とりあえずスタンドアロンのルートCAとしてインストールしておき,あとでエンタプライズのルートCAとすることも可能である。

 証明書サービスとActive Directoryとの関係はかなり難しいので,詳細は『Microsoft Windows 2000 Serverリソースキット1〜8』(日経BPソフトプレス)などを参照してほしい。

 さて,[スタンドアロンのルートCA]を選択して[次へ]ボタンを押すと,証明書サービスの証明情報を入力する画面が表示される(Fig.8-69)。この画面では,Table 8-4に示すように各種情報を正しく入力する。なお,入力可能な文字列は英数字であり,日本語は利用できない。

One Point!Fig.8-69で入力する情報は,あくまでも証明書サービスの識別情報であり,サーバー証明書の識別情報ではない。サーバー証明書の識別情報は,サーバー証明書を作成するときに,また改めて入力する。その方法については「●サーバー証明書の作成とインストール」で説明する。
Fig.8-69 識別情報
fig8_69

Table 8-4 識別情報
項目解説
CAの名前証明機関の任意の名前。任意の文字列
組織会社名などの組織名
組織単位部署名などの組織単位
市区町村市区町村名。Chiyoda,Yokohamaなど
都道府県都道府県名。Tokyo,Kanagawaなど
国/地域コードISO3166で定められた国コード。日本であればJP
電子メール管理者のメールアドレス
CAの説明証明機関の説明。任意の文字列
有効期間発行する証明書の有効期間

 識別情報を入力して[次へ]ボタンを押すと,Fig.8-70のように証明書データベースを格納する場所を尋ねてくる。この設定は一般に,デフォルトのままでよいので,[次へ]ボタンを押す。

Fig.8-70 データ記憶域の保管場所
fig8_70

 以上で設定は完了する。証明書サービスの実行に必要なシステムファイルがコピーされ,証明書サービスがインストールされる。

Prev 36/43 Next