IIS サーバーを実行している EC2 Windows インスタンスに SSL/TLS 証明書をインストールするにはどうすればよいですか?

簡単な説明

注: Elastic Load Balancing (ELB) を使用している場合は、Amazon が提供する証明書を AWS Certificate Manager (ASM) から使用できます。詳細については、ACM SSL/TLS 証明書を Classic、Application、または Network Load Balancer と関連付ける方法を教えてくださいを参照してください。

EC2 Windows インスタンスに SSL/TLS 証明書をインストールするには、次の 3 つのステップを実行します。

1. Certificate Signing Request (CSR) を作成し、SSL 証明書をリクエストします。
2. SSL 証明書をインストールします。
3. SSL 証明書を IIS デプロイに割り当てます。

サイトに割り当てられた既存の SSL 証明書を変更することもできます。

解決方法

ステップ 1: CSR を作成し、SSL 証明書をリクエストする

1.    [Start] (スタート)、[Control Panel] (コントロールパネル)、[Administrative Tools] (管理ツール)、[Internet Information Services (IIS) Manager] を選択して IIS Manager を開きます。

2.    [Connections] (接続) を選択し、証明書をインストールするサーバーの名前を選択します。

3.    ホームページの [IIS] セクションで、[Server Certificates] (サーバー証明書) を選択します。

4.    Server Certificates コンソールで、[Actions] (アクション) を選択し、[Create Certificate Request] (証明書リクエストを作成) を選択します。[Request Certificate] (証明書の要求) ウィザードが開きます。

5.    [Request Certificate] (証明書の要求) ウィザードで次の値を入力します。

• [Common name] (共通名): ドメインの完全修飾ドメイン名 (FQDN) を入力します (例: www.example.com)。
• [Organization] (組織): 会社名を入力します。
• [Organizational unit] (組織単位): オプションで、組織内の部門の名前を入力します。
• [City/locality] (市区町村): 会社の法律上の所在地の市町村を入力します。
• [State/province] (都道府県): 会社の法律上の所在地の都道府県を入力します。
• [Country] (国): 会社の法律上の所在地の国を入力します。

6.    [Cryptographic Service Provider Properties] (暗号化サービスプロバイダーのプロパティ) で、次の情報を入力します。

• [Cryptographic service provider] (暗号化サービスプロバイダー):[Microsoft RSA Channel Cryptographic Provider] (Microsoft RSA チャネル暗号化プロバイダー) を選択します。必要に応じて、他のオプションを選択できます。
• [Bit length] (ビット長): より高い値が必要でない限り、現在のベストプラクティスである 2048 を使用します。

7.    [Specify a file name for the certificate request] (証明書の要求ファイル名を指定してください) フィールドの横にある [Browse] (参照) を選択して、CSR を保存する場所を参照します。

注: 場所を選択しない場合、ファイルは C:\windows\system32 に保存されます。

8.    [Next] (次へ) を選択します。

9.    [Finish] (完了) を選択します。

10.    テキストエディタを使用して、作成したファイルからテキストをコピーします。以下にテキストの例を示します。

-----BEGIN NEW CERTIFICATE REQUEST-----
<examplekey>
-----END NEW CERTIFICATE REQUEST-----

11.    この値 (最初と最後の行を含む) を、選択した証明書プロバイダーに送信して、証明書を発行できるようにします。

証明書が利用可能になったら、ステップ 2: SSL 証明書をインストールするに進みます。

ステップ 2: SSL 証明書をインストールする

1.    選択したプロバイダーによって発行された証明書ファイルを、Certificate Signing Request (CSR) を作成したサーバーに保存します。

2.    [Start] (スタート)、[Control Panel] (コントロールパネル)、[Administrative Tools] (管理ツール)、[Internet Information Services (IIS) Manager] を選択して IIS Manager を開きます。

3.    [Connections] (接続) を選択し、証明書をインストールするサーバーの名前を選択します。

4.    [IIS] セクションで、[Server Certificates] (サーバー証明書) を選択します。

5.    [Actions] (アクション)、[Complete Certificate Request] (証明書リクエストを完了) の順に選択します。ウィザードが起動します。

6.    [Specify Certificate Authority Response] (証明機関の応答を指定します) で、次の情報を入力します。

• [File name containing the certificate authority's response] (証明機関の応答を含むファイル名): 証明書 (.cer) ファイルを選択します。
• [Friendly name] (フレンドリ名): 証明書を識別するための名前を入力します。識別しやすくするために、有効期限とユースケースを追加することを検討してください。
• [Select a certificate store for the new certificate] (新しい証明書の証明書ストアを選択): [Web Hosting] (ウェブホスティング) を選択します。

SSL 証明書がサーバーにインストールされ、使用できる状態です。ここで、その証明書をサイトに割り当てる必要があります。

ステップ 3: SSL 証明書を IIS デプロイに割り当てる

1.    [Start] (スタート)、[Control Panel] (コントロールパネル)、[Administrative Tools] (管理ツール)、[Internet Information Services (IIS) Manager] を選択して IIS Manager を開きます。

2.    [Connections] (接続) で、証明書をインストールしたサーバーのセクションを展開します。

3.    [Sites] (サイト) セクションを展開し、証明書を割り当てるサイトを選択します。

4.    サイトのホームページで、[Bindings] (バインド) を選択します。

5.    [Site Bindings] (サイトバインド) ウィザードで、[Add] (追加) を選択します。

6.    [Add Site Binding] (サイトバインドの追加) で、次の情報を入力します。

• [Type] (タイプ): [HTTPS] を選択します。
• [IP Address] (IP アドレス): サイトの IP アドレスを選択するか、[All Unassigned] (未使用の IP アドレスすべて) を選択します。
• [Port] (ポート): 443 と入力します。ポート 443 は、SSL セキュリティで保護されたトラフィックのために HTTPS で使用されるポートです。
• [SSL Certificate] (SSL 証明書): このサイト用の SSL 証明書 (例: example.com) を選択します。

これで、SSL 証明書は、HTTPS で使用するためにこの特定のサイトに割り当てられます。

サイトに割り当てられた既存の SSL 証明書を変更する

サイトに割り当てられている証明書を変更するには、次の手順を実行します。

1.    ステップ 1: CSR を作成し、SSL 証明書をリクエストするの手順を実行します。

2.    ステップ 2: SSL 証明書をインストールするの手順を実行します。

3.    ステップ 3: SSL 証明書を IIS デプロイに割り当てるの手順 1～4 を実行します。

4.    [Site Bindings] (サイトバインド) ウィザードで、[HTTPS] バインディングを見つけて選択し、[Edit] (編集) を選択します。

5.    [SSL Certificate] (SSL 証明書) ドロップダウンリストから新しい証明書を選択し、[OK] を選択します。

---