Windows Server 2012 R2でのUPKIサーバー証明書利用

Windows Server 2012 R2でのサーバー証明書利用についてのメモです。
NIIのUPKIを利用しているので、OpenSSLを利用してやっていきます。

1. OpenSSLのインストール
http://slproweb.com/products/Win32OpenSSL.html
にアクセスしてWindows用のインストーラを持ってきて、デフォルトでインストールしました。パスも通して起きます。
C:\OpenSSL-Win32\bin

コマンドプロンプトを開き、コマンドを確認します。
> openssl version

2. 秘密鍵の生成、CSRの生成
NIIの「証明書自動発行支援システムサーバ証明書インストールマニュアルIIS8.0・IIS8.5編-v1.3.pdf」を参考にしていきます。
秘密鍵をprivate.keyというファイル名で作ります。
> openssl genrsa -des3 -out private.key 2048
> openssl req –new –key private.key –sha1 –out servername.csr
DNの情報を入力します。これは資料のP13を参考にします。

C:\Users\Administrator>openssl req -new -key authentication.key -sha1 -out authentication.csr
Enter pass phrase for authentication.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:Academe
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Shizuoka Institute of
 Science and Technology
Organizational Unit Name (eg, section) []:Information Center
Common Name (e.g. server FQDN or YOUR name) []:mm.xxxx.ac.jp
Email Address []:.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.

3. TSVファイルの作成とサーバー証明書の申請
https://certs.nii.ac.jp/tsv-tool/
にアクセスし、さっき作ったCSRファイルをアップロードして、必要な情報を入れます。
これを管理者に渡してサーバー証明書を作成してもらいます。
作成してもらうとメールがくるのでそこからサーバー証明書をダウンロードします。

4. ルート証明書と中間証明書の設定
ルート証明書を下記からダウンロードします。
https://repository.secomtrust.net/SC-Root1/index.html
マニュアルP14のように設定していきます。
次に中間証明書をインポートします。
今回sha1だったので、その中間証明書だけ入れたのですが、うまく認証されずsha2の中間証明書も入れたらうまくいきました。
https://repo1.secomtrust.net/sppca/nii/odca3/index.html

5. サーバー証明書のインポート
IISで取り込める形にします。
C:\Users\Administrator> openssl pkcs12 -export -inkey private.key -in mmm.xxxx.ac.jp.cer -out mmm.pfx
IISマネージャ->サーバー証明書->インポートでpfxファイルをインポートします。
次に、バインドでhttpsを追加します。

これでサーバーにhttps接続できることを確認します。

6. 証明書の確認
WindowsServer2012R2で証明書を確認しようとしたら、標準ツールみたいなものがなかったです。mmcと検索するとコンソールルートと言うものが開きます。
ファイル->スナップインの追加と削除->証明書 を選ぶと見れるようになりました(コンピュータアカウントを選択)。

7. クライアント証明書を要求しない
今の設定だとアクセスしたときにクライアント証明書を要求します。今回は学内なので、クライアント証明書の要求無しでやります。
クライアント証明書を無視にします。