IIS7/7.5 クライアント証明書設定まとめ


IIS7/7.5のGUIはII6.0と比べて大きく変化しました。モジュール化が綺麗なので慣れるとわかりやすいと思えるようになりましたが、クライアント証明書のユーザマッピング設定箇所は大きく変わっているので、簡単に手順をまとめておきます。

GeoTrust社などのCAから証明書を購入したケースを想定していますが、自身でCAを運用しているケースでも同じ手順での対応ができると思います。

想定環境

  1. Web サーバー:IIS 7.5(ワークグループ)
    • 「Web サーバー (IIS)」の既定のインストールオプション
    • 「Windows 認証など必要な認証機能」のインストール
    • 「IIS クライアント証明書のマッピング認証」のインストール
  2. SSLサーバー証明書:GeoTrust社などのCAより購入
  3. SSLクライアント証明書:GeoTrust社などのCAより購入
  4. クライアント:Win7 + IE9 + 前出のクライアント証明書インストール済みユーザー

SSLクライアント証明書はPC単位ではなく、ユーザー単位でインストールするので、あくまでも接続検証は「クライアント証明書がインストールされたユーザー」で行う事が必要です。

IISの設定手順1:クライアント証明書の利用まで

  1. IISに、SSLサーバー証明書をインストール
  2. 対象サイトSSLバインド設定でインストールした証明書を選択し、HTTPS接続をONにします
  3. 対象サイトの[SSL 設定]で「クライアント証明書: 必要」とします
  4. クライアントからサイトに接続して、接続を確認
  5. クライアント証明書がインストールされてないクライアントでアクセスできない事を確認

ユーザーマッピングを利用しない場合には、ここまでの設定で完了です。

クライアント証明書のExport

次の手順で 証明書 Blob を準備します。

  1. クライアントにインストールしたクライアント証明書をExportします
    • IE9の「インターネットオプション」 – 「コンテンツ」タブ – 「証明書」ボタン
    • 「個人」にあるクライアント証明書を選択して「エクスポート」
    • 秘密キーのエクスポートでは「いいえ、秘密キーをエクスポートしません」を選ぶ
    • 「Base 64 encoded X.509 形式」の.cer ファイルを選びエクスポート
  2. IIS設定の準備
    • Exportしたファイルをメモ帳(テキストエディタ)で開く
    • —–BEGIN CERTIFICATE—– および —–END CERTIFICATE—- を削除する
    • その他の文字列(証明書 Blob)を 1 行になるようにフォーマットする
    • 上記をファイルに保存するか、コピーして後のIISの設定時に張り付けれるようにする

IISの設定手順2:クライアント証明書マッピングの設定

IIS7/7.5では、専用GUI操作ではなく「構成エディター」というツールの中から該当箇所を探しての操作が必要です。

  1. クライアント証明書にマップする、Windowsユーザーアカウントを作成
  2. 該当サイトの[構成エディター] を開き、画面上の [セクション] から次のパスを開くと、クライアント証明書の設定画面が開く
    • system.webServer/security/authentication/iisClientCertificateMappingAuthentication
  3. 設定を行う(ここでは、マッピングの有効と1対1マッピングの有効を設定)
    • enabled : True (証明書マッピングの有効)
    • oneToOneCertificateMappingsEnabled : True (1対1の証明書マッピングの有効/無効)
  4. クライアント証明書マッピングの指定
    • oneToOneMappings : この行の右端に表示される[...]ボタンを押す
      • 「コレクション エディター」が開くので、「追加」ボタンを押す
      • certificate: クライアント証明書の Base 64 エンコード ファイルの文字列 (前出の、証明書Blob)
      • enabled : True (本エントリの有効)
      • password : 証明書にマッピングするユーザーのパスワード
      • username : 証明書にマッピングするユーザーのユーザー名

以上で、マッピングの設定は完了です。

参照情報

サイト名・概要 サイトURLなど
タイトル: 1 対 1 のクライアント証明書マッピングの構成

(Microsoft TechNet)
http://technet.microsoft.com/ja-jp/library/dd939057.aspx

, ,

Comments are closed.