この特集のトップページへ
>
Chapter 8:プレゼンテーション層の構築
●証明書サービスのインストール
公的証明機関に依頼することなく,サーバー証明書を自ら作成するためには,Windows 2000 Serverに添付されている証明書サービスを利用する。証明書サービスは,デフォルトではインストールされていない。そのため,事前に[コントロールパネル]の[アプリケーションの追加と削除]から[Windowsコンポーネント]を選択し,[証明書サービス]をインストールしておく必要がある(Fig.8-67)。
証明書サービスをインストールするサーバーは,IISが起動しているサーバーと同じであっても,別々であっても,どちらでもかまわない。
Fig.8-67 証明書サービスのインストール
[証明書サービス]をインストールしようとすると,Fig.8-68に示すウィザード画面が表示され,どのような証明機関(CA:Certification Authority)として機能するようにするのかを尋ねてくる。
Fig.8-68 証明機関の種類
詳細は省くが,証明機関は階層構造をとり,ツリー上位の証明機関がツリー配下の証明機関を証明するという構造になっている。独自に新規証明機関を作成する場合には,ツリーのトップという意味である「ルートCA」を指定する。
Fig.8-68において,ルートCAには「エンタプライズのルートCA」と「スタンドアロンのルートCA」という2つの選択肢がある。このうち,エンタプライズのルートCAはActive Directory環境でしか使えないため,Active Directoryを導入していない環境では,おのずと「スタンドアロンのルートCA」を選択しなければならない。これに対してActive Directoryを導入している環境では,「エンタプライズのルートCA」と「スタンドアロンのルートCA」のどちらでも選択することができる。
簡単にいえば,「エンタプライズのルートCA」とは,Active Directoryと連携し,必要に応じて自動的に証明書の発行をサポートし,またドメイン内で証明書の信頼関係を締結するものである。「スタンドアロンのルートCA」とは,必要に応じて管理者が手作業で証明書の発行をするものである。証明書サービスは,何もSSLのみに使われるわけではない。Kerberosの初期認証やS/MIME,スマートカードを使った認証など,多種多様なところで使われている。そのため,Active Directory環境では「エンタプライズのルートCA」を作成しておいたほうが便利ではある。しかし半面,Active Directoryの構成に左右されることになるから,WebのSSLの証明書を作るという用途だけに限れば,「スタンドアロンのルートCA」を選択したほうが管理の面倒は少ない。そこで今回は,「スタンドアロンのルートCA」として証明書サービスをインストールする方法についてのみ説明する。
なお,この設定は,サービスのインストール後にカスタマイズポリシーで変更することができる。そのため,とりあえずスタンドアロンのルートCAとしてインストールしておき,あとでエンタプライズのルートCAとすることも可能である。
証明書サービスとActive Directoryとの関係はかなり難しいので,詳細は『Microsoft Windows 2000 Serverリソースキット1〜8』(日経BPソフトプレス)などを参照してほしい。
さて,[スタンドアロンのルートCA]を選択して[次へ]ボタンを押すと,証明書サービスの証明情報を入力する画面が表示される(Fig.8-69)。この画面では,Table 8-4に示すように各種情報を正しく入力する。なお,入力可能な文字列は英数字であり,日本語は利用できない。
Fig.8-69で入力する情報は,あくまでも証明書サービスの識別情報であり,サーバー証明書の識別情報ではない。サーバー証明書の識別情報は,サーバー証明書を作成するときに,また改めて入力する。その方法については「●サーバー証明書の作成とインストール」で説明する。
Fig.8-69 識別情報
Table 8-4 識別情報
項目 | 解説 |
---|---|
CAの名前 | 証明機関の任意の名前。任意の文字列 |
組織 | 会社名などの組織名 |
組織単位 | 部署名などの組織単位 |
市区町村 | 市区町村名。Chiyoda,Yokohamaなど |
都道府県 | 都道府県名。Tokyo,Kanagawaなど |
国/地域コード | ISO3166で定められた国コード。日本であればJP |
電子メール | 管理者のメールアドレス |
CAの説明 | 証明機関の説明。任意の文字列 |
有効期間 | 発行する証明書の有効期間 |
識別情報を入力して[次へ]ボタンを押すと,Fig.8-70のように証明書データベースを格納する場所を尋ねてくる。この設定は一般に,デフォルトのままでよいので,[次へ]ボタンを押す。
Fig.8-70 データ記憶域の保管場所
以上で設定は完了する。証明書サービスの実行に必要なシステムファイルがコピーされ,証明書サービスがインストールされる。
36/43 |