SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

ISA でリバプロ – HTTPS 編 – その 1

leave a comment

HTTPS で ISA を公開する場合の手順になります。
HTTP の設定と大きく異なるのは証明書の設定です。

手順としては

  1. ルート証明書のインポート
  2. サイト用証明書のインポート
  3. Web リスナ の作成  (SSL)
  4. ファイアウォール ポリシーの作成

になります。

まずは [その 1] として証明書のインポート関連の手順をまとめてみたいと思います。

verisign 等の証明機関から発行されている証明書を使用する場合は [ルート証明書のインポート] は不要です。
私は AD CS (Active Directory 証明書サービス) で発行している証明書を使用しており、ISA はワークグループの
環境で配置しているため、AD CS のルート証明書をインポートしています。

[ルート証明書のインポート]

  1. ルート証明書をエクスポートします。
    Windows Server 2008 の AD CS の場合には、管理ツールの [証明機関] を実行して、証明機関のプロパティを開き、
    [証明書の表示] → [詳細タブ] → [ファイルにコピー] からルート証明書をエクスポートし、エクスポートしたファイルを
    ISA にコピーします。
    # 検証で証明書を使っているので塗りつぶしだらけです・・・。
    image image
  2. ISA でファイル名を指定して実行から [mmc] を起動します。
  3. [ファイル] → [スナップインの追加と削除] →[証明書] → [追加] をクリックします。
    image
  4. [コンピュータ アカウント] を選択し、[次へ] をクリックします。
    image
  5. [完了] をクリックして、スナップインを追加します。
  6. [信頼されたルート証明機関] → [右クリック] → [すべてのタスク] → [インポート] をクリックします。
    image
  7. [次へ] をクリックし、[参照] でコピーしておいた証明書を選択し、[次へ] をクリックします。
  8. [証明書をすべて次のストアに配置する] が選択され、[信頼されたルート証明機関] が表示されていることを確認し、
    [次へ] をクリックします。
    image
  9. [完了] をクリックし、ルート証明書をインポートします。

これで、AD CS で発行された証明書が有効なルート証明機関から発行された証明書として認識できるようになります。

[サイト用証明書のインポート]

続いてサイト用の証明書をインポートします。

IIS 7.0 では IIS マネージャからドメイン証明書が簡単に作成できます。
サイト用の証明書はこの機能を使用して作成しました。
以下、簡単ですがサイト用証明書の作成手順です。
[Domain Admins] のメンバーで操作をしないとうまくいかないかも知れないです。
# [Cert Publishers] で大丈夫かなと思っていたのですが駄目でした・・・。

  1. IIS マネージャを起動します
  2. サーバーを選択して、[サーバー証明書] をクリックします。
    image
  3. [ドメイン証明書] の作成をクリックします。
    image
  4. [一般名] に SSL を使用するサイトの名称を入力し、他の情報も入力して [次へ] をクリックします。
    一般名を [*.ドメイン名] として証明書を作成しておくと複数のサイト用の証明書として使用できます。
    [*.test.local] で証明書を作成した場合は、[www.test.local] [www2.test.local] というサイト名を
    一つの証明書で使用することが可能となります。
    image
  5. [オンライン証明機関の指定] で AD CS サーバーを選択し、[フレンドリ名] を入力し、[終了] をクリックします。
    フレンドリ名は実際のサイト名とは異なる証明書の管理名を入力すれば問題ありません。
    # AD CS サーバーの構築が正常に終了していないと [選択] ボタンで AD CS のサーバーを選択できないようです。
    IIS 7.0: IIS 7.0 でドメイン サーバー証明書を作成する

これでサイト用の証明書の作成は終了です。
IIS マネージャのサーバー証明書に以下のような表示がされていれば成功です。
この証明書は AD CS 側では自動的に [発行した証明書] として設定されています。
image

証明書を右クリックして [エクスポート] をするとファイルにエクスポートすることが可能です。
image image

これでファイルにエクスポートした証明書を ISA にコピーして登録します。

  1. MMC を実行して、スナップインを追加するところまでは [ルート証明書のインポート] と同じです。
  2. [個人] → [右クリック] → [すべてのタスク] → [インポート] をクリックします。
    image
  3. [次へ] をクリックし、[参照] でコピーしておいた証明書を選択し、[次へ] をクリックします。
    IIS マネージャでエクスポートした証明書は [pfx] のファイルですので、ファイルの種類で [*pfx,*p12] を選択しておきます。

    image

  4. パスワードの入力画面では、エクスポート時に指定したパスワードを入力し、[次へ] をクリックします。
    image
  5. [証明書をすべて次のストアに配置する] が選択され、[個人] が表示されていることを確認し、[次へ] をクリックします。
    image
  6. [完了] をクリックし、サイト用証明書をインポートします。

これで ISA で SSL サイトを設定するための事前準備が完了です。
次の投稿で実際に HTTPS でサイトを公開するための ISA の設定をまとめたいと思います。
# リモートデスクトップ ゲートウェイ (以前の TS ゲートウェイ) を公開するときの設定も少し書きたいと思っています。

Written by masayuki.ozawa

9月 24th, 2009 at 2:32 pm

Posted in ISA

Leave a Reply

*