Windowsサーバー:ECC対応証明書インストール方法
ECC(楕円曲線暗号)証明書はWindowsサーバーで利用することができますが、古いOSのスマートフォンの中にはECC証明書未対応のものもあります。
ECC(楕円曲線暗号)の概要と特徴については楕円曲線暗号(ECC)を参照してください。
ECC対応証明書を未取得の場合は、まずWindowsサーバー:ECC対応CSR作成方法を参照し、対応の証明書を取得してください。
ECC対応証明書インストール手順
WindowsサーバーでECC対応証明書を利用するには、サーバーにインストール後、IIS等のアプリケーションサーバーでの設定を行う必要があります。
証明書ストアにECC証明書をインポートする
- ECC対応CSRを作成したサーバー上でお送りしたZIPファイルを展開し、SSL証明書ファイルを保存してください。
-
Microsoft 管理コンソール (MMC) を管理者権限で開きます。
- Windows スタートで mmc と入力します。
- mmc.exe アイコンを右クリックし、[管理者として実行] をクリックします。
- ユーザーアカウント制御ウィンドウで [はい] をクリックします。
-
Microsoft 管理コンソール (MMC) で証明書 > 個人と展開し、証明書を右クリックして、すべてのタスク > インポートと進みます。
-
証明書のインポートウィザードの開始ページで [次へ] をクリックします。
-
インポートする証明書ファイルページで参照をクリックし、保存した証明書ファイル (例 your_domain_com.crt) を指定し、[次へ] をクリックします。
-
証明書ストアページで以下を行います。
- [証明書をすべて次のストアに配置する] を選択します。
- [参照] をクリックします。
- 証明書ストアの選択ウィンドウで [個人] を選択します。
- [OK] をクリックします。
- [次へ] をクリックします。
-
証明書のインポートウィザードの完了ページで指定内容をチェックし、間違いなければ [完了] をクリックします。
-
以下のように表示されれば証明書は正しくインポートされています。
証明書ストアに DigiCert中間証明書をインポートする
-
Microsoft 管理コンソール (MMC) を管理者権限で開きます。
- Windows スタートで mmc と入力します。
- mmc.exe アイコンを右クリックし、[管理者として実行] をクリックします。
- ユーザーアカウント制御ウィンドウで [はい] をクリックします。
-
Microsoft管理コンソール (MMC) で証明書 > 個人と展開し、証明書を右クリックしてすべてのタスク > インポートと進みます。
-
証明書のインポートウィザードの開始ページで [次へ] をクリックします。
-
インポートする証明書ファイルページで [参照] をクリックし、保存したDigiCertCA.crt証明書ファイルを指定して、[次へ] をクリックします。
-
証明書ストアページで以下を行います。
- [証明書をすべて次のストアに配置する] を選択します。
- [参照] をクリックします。
-
証明書ストアの選択ウィンドウで [中間証明書機関] を選択し、[OK] をクリックします。
-
証明書ストアに中間証明機関と入力されていることを確認し、[次へ] をクリックします。
-
証明書のインポートウィザードの完了ページで指定内容をチェックし、間違いなければ [完了] をクリックします。
-
以下のように表示されれば証明書は正しくインポートされています。
インストールした証明書と秘密キーを紐づける
- ECC 証明書のシリアル番号を確認します。
- Microsoft 管理コンソール (MMC) を管理者権限で開きます。
- Windows スタートで mmc と入力します。
- mmc.exe アイコンを右クリックし [管理者として実行] をクリックします。
- ユーザーアカウント制御ウィンドウで [はい] をクリックします。
-
Microsoft 管理コンソール (MMC) で証明書 - ローカルコンピューターをクリックし、個人を展開したら、証明書の中からインストールした証明書をダブルクリックします。
-
証明書ウィンドウで詳細タブを開き、シリアル番号欄から証明書のシリアル番号を取得します。
- Microsoft 管理コンソール (MMC) を管理者権限で開きます。
-
コマンドプロンプトを管理者権限で実行します。
- Windows スタートで cmd と入力します。
- コマンドプロンプトアイコンを右クリックし [管理者として実行] をクリックします。
- ユーザーアカウント制御ウィンドウで [はい] をクリックします。
-
管理者として実行しているコマンドプロンプトウィンドウで以下のコマンドを実行します。
"serial number"の部分には、上の手順で取得したシリアル番号を指定してください。
ダブルコート" "は必要です。また、シリアル番号内の空白(スペース)は削除してください。C:\WINDOW\system32>certutil -repairstore my "serial number"
-
certutil: –repairstore コマンドは正常に完了しましたと表示されれば、証明書と秘密キーの紐づけは完了です。
アプリケーションサーバーでの設定を行う
証明書のインポート完了後、各アプリケーションサーバーで「バインド(割り当て)」設定を行います。
手順は以下のリンク先をご確認ください。
証明書の移動
ECC 証明書は別のサーバーでも利用できます。
別のサーバーで利用したり、バックアップしたりする場合は、秘密キーを含め .pfx ファイルとしてエクスポートする必要があります。
Windowsサーバーでのエクスポート・インポートについては、サーバ証明書を複数サーバー上で利用を参照してください。