QA@IT

IISのサーバー証明書について

5117 PV

IISで証明書作成し、証明書の発行要求を行うときの
一般名の入力項目はどのように入力すべきなのでしょうか?

例えば、デフォルトサイトのC:\inetpubwwwrootにSSL通信
させる時です。。

一般名は、SSL通信接続の際の URL と一致させる必要があるので注意
しなければならないたしいのですが。

言葉では伝わりにくいので、私が実施した環境、やりたいこと、手順(キャプチャー)
を以下のURL(ブログ)に詳細に記載しましたので、ご確認のうえご回答いただけたらと
思います。

http://ameblo.jp/ahokata01/entry-11978005349.html

2.jpg
WS017.JPG

  • 前の話 http://qa.atmarkit.co.jp/q/9186 の続きですよね。ここのルールはよく知りませんが、前のスレッドと同じ話を、前のスレッドを放置して新しいスレッドを立てて聞くというのは普通にマナー的にいかがなものかと思いますよ。質問者さん、いつもそんな感じですよね。 -

回答

一般名はサーバのFQDNです。エラーになっているのはブラウザの接続先がwebsvで、サーバ証明書のサブジェクト内の一般名がwww.AD1.test.localで、別サイトになっているからです。サーバのFQDNはwebsv.test.localか、www.websv.test.localあたりでしょうか。

追記

上記の記述はブラウザの接続先をwebsvでなくFQDN(websv.test.localやwww.websv.test.localなど)にする前提です。あえてブラウザの接続先をwebsvにしたいなら、サブジェクト内の一般名もwevsvに合わせる必要があります。手動でやっているようなので、やろうと思えば簡単にできるのではないかと思います。ただそれだと名前が組織内で一意にならないので、一般的にはFQDNにすることが多いと思います。

Microsoftの証明書テンプレートを構成する - サブジェクト名も参考になるかもしれません。

サブジェクト名は、どのユーザーまたはどのようなものがサブジェクトになるかによって大きく異なるため、証明書の要求の中でサブジェクト名を指定するときには、ある程度の柔軟性を持たせる必要があります。Windows により、Active Directory ドメイン サービス (AD DS) に保存されているサブジェクト情報から自動的にサブジェクト名を構築することも、サブジェクトによって手動でサブジェクト名を指定する (たとえば、証明書の登録 Web ページを使用して証明書要求を作成して送信する) こともできます。

とあり、手動の場合は任意だと思いますが、自動の場合は下の4種類の形式が選べるようです。

サブジェクト名の形式

  • 共通名

CA は、AD DS から取得した共通名 (CN) からサブジェクト名を作成します。この名前はドメイン内で一意である必要がありますが、企業内で一意である必要はありません。

  • 完全な識別名 (DN)

CA は、AD DS から取得した完全な識別名からサブジェクト名を作成します。これにより、サブジェクト名は企業内で一意になります。

  • サブジェクト名に電子メール名を含める

電子メール名フィールドが Active Directory ユーザー オブジェクトに設定されている場合、この電子メール名が、共通名または完全な識別名と併せてサブジェクト名に含まれます。

  • なし

この証明書には名前の値は必要ありません。

編集 履歴 (1)
  • 有難うございます。
    web.test.localで作成しなおしてみます。
    -
ウォッチ

この質問への回答やコメントをメールでお知らせします。