明日、私の Web サイトの SSL 証明書の有効期限が切れます。今すぐに新しい証明書を古い証明書に置き換えるべきか、それとも古い証明書の有効期限が切れるまで待つべきか迷っています。訪問者が私の Web サイトにアクセスしてセキュリティ警告を表示しないようにしたいのですが、古い証明書も完全に利用したいと考えています。両方の懸念を管理できるように SSL を変更するにはどのようなプロセスを採用すればよいでしょうか。アドバイスをお願いします。
編集:
パスワード付きのpfxファイルがあります
ありがとう
答え1
期限が切れる前に交換することをお勧めします。証明書はいつもの有効期限日の朝に期限切れになります。たとえば、2013 年 9 月 3 日に期限が切れる証明書は、通常、2013 年 9 月 2 日の深夜 (ローカル サーバー時間) から有効ではなくなります。
また、Web サイトのピーク使用状況を確認して、証明書を置き換える最適なタイミングを見つけることをお勧めします (置き換え中に非常に短い停止が発生する可能性があります)。理想的には、ユーザー層への影響が最も少ないタイミングで置き換える必要があります。
証明書をインストールして IIS6 Web サイトにバインドするプロセス
証明書のインストール (.PFX ファイルを使用) サポートしているサイトの中には複雑なセットアップを持つものもあるため、次のガイドではより手動のプロセスを使用していることに注意してください。
事前チェック
IIS マネージャーを起動する
サーバー名(ローカルコンピュータ)を展開します
Webサイトオプションを展開する
あなたのサイトを探してください - これは以下のいずれかになりますデフォルトの Web サイトまたはあなたが名前を付けたウェブサイト
サイトを右クリックしてプロパティを選択します
下Webサイトタブで、Web サイトの識別を確認し、TCP ポートと SSL ポートのオプションが有効になっていることを確認します (正しいサイトにいることを再度確認します)。
IP、Web サイトの URL、SSL ポートをメモし、サーバーのローカル ブラウザーを使用してテストし、提示されている証明書とその有効期限を確認します。変更の最後にこのプロセスを繰り返して、Web サーバーが正しい証明書を提示していることを確認します。
- プロパティ ダイアログ ボックスを閉じます。
インストール
スタートメニューから実行コマンドを選択し、mmcと入力します。
OKをクリック
MMCアプレットからコンソールメニューを選択し、スナップインの追加と削除をクリックします。
追加ボタンをクリックします
を選択証明書オプション
追加ボタンをクリックします
を選択コンピュータアカウントオプションを選択し、「次へ」をクリックします
デフォルトを受け入れるローカルコンピュータ[完了]ボタンをクリックします。
閉じるボタンをクリックします
OKボタンをクリックします
証明書オプションを展開する
個人証明書ストアを展開する
証明書フォルダをクリックすると、個人ストアにインストールされている証明書が表示されます。既存の証明書とその発行機関および有効期限がここにリストされます。
既存の証明書の詳細と証明書パスを表示する場合は、その証明書をダブルクリックします。
ここで新しい証明書をインストールします。
個人ストアの証明書フォルダを右クリックします。
すべてのタスクを選択
インポートを選択
証明書のインポート ウィザードが起動します。
次へをクリック
ここで、提供された証明書を選択します。[参照] ボタンをクリックすると、ファイルの場所に移動できるダイアログが表示されます。
個人情報交換のファイルの種類 (*.pfx、.p12) を選択し、証明書ファイルが格納されているドライブとフォルダーを参照します。
インストールする証明書が表示されます
それをクリックして開くを選択します
ファイルへのパスは参照ダイアログに表示されます。次へをクリックします。
証明書にパスワードがある場合(ほぼすべてのサーバー証明書にパスワードがあります)、パスワードを入力するか貼り付けます。このキーをエクスポート可能としてマークするするないこれにチェックを入れます。直接アクセスできる人が証明書をエクスポートしてサイトを偽装できないようにする必要があります。[次へ] をクリックします。
個人ストアのデフォルトを受け入れて、[次へ] をクリックします。
「完了」をクリックすると、ファイルがインポートされます。
インポートが成功したかどうかを示すメッセージが表示されます。
個人証明書ストアに、有効期限とともにインストールされた新しい証明書が表示されます。また、前述のように、ストア内に古い証明書も表示されます。
念のため、通常は新しい証明書をダブルクリックして、証明書が有効であることが報告されていることを確認します。
インターネット インフォメーション サービス マネージャを起動または切り替える
証明書を置き換える Web サイトのプロパティを選択します (Web サイトを右クリックし、[プロパティ] を選択します)
ディレクトリセキュリティタブを選択します
「セキュア通信」セクションで、「サーバー証明書」をクリックします。
さまざまなオプションを提供する IIS 証明書ウィザードが表示されます。
を選択現在の証明書を置き換えるオプション
次へをクリック
ダイアログに、Web サイトに関連付けることができる利用可能な証明書のリストが表示されます。この場合、新しい有効期限を持つ新しくインストールされた証明書を選択します。
ファイルをハイライトし、[次へ]をクリックします。
証明書の詳細が表示されます。これが Web サイトに関連付ける証明書であることを再確認し、「次へ」をクリックします。
IIS 証明書ウィザードは、Web サイト上の証明書の置き換えが正常に完了したかどうかを報告します。
技術実装後検証 (PIV)
ローカル サーバー テスト (ブラウザーが無効になっていないことを前提とします)
サーバー上でブラウザを起動し、安全な接続、IP アドレス、ポート番号 (例
https://mywebsiteaddress:443)を入力します。サイトの SSL ポートに接続できることを確認します。
IP アドレス経由で接続している場合、または入力したアドレスが証明書の詳細と一致していない場合は、証明書エラーが表示されることがあります。サイトに進み、証明書の詳細を表示して、IIS によって提示されている証明書の有効期限が新しいことを確認してください。
- ユーザーが Web サイトにアクセスするために使用する通常のデバイスから確認し、正しい証明書がブラウザーに提示されていることを確認します。
掃除
証明書が更新され、ローカル サーバーおよびリモート クライアント レベルで動作していることを確認したら、
IIS マネージャー アプレットを閉じます。
証明書 MMC で古い証明書を選択し (まず正しい証明書であることを再確認してください)、削除します。これにより、将来的に古い証明書が誤って Web サイトにバインドされることがなくなります。
また、Web サイトの特定のサービス アカウントに証明書をバインドする必要がある場合は、サービス アカウントにバインドする前に古い証明書を削除することをお勧めします。質問では、Web サイトと連携してサービス アカウントを使用するアプリがあることが示されていなかったため、これについては言及しませんでした。
証明書 MMC を閉じて保存しないでください (将来使用する場合を除きます)。