SSL・EV SSL サーバー証明書 サポート

Microsoft Azure CloudでのCSR作成

本ページに記載されているインストール方法は、基本的な構成を元にしています。
システム環境等の設定状況により、手順や画面表示が異なることがあります。
アプリケーションやツールなどの仕様や設定手順等でご不明な点がある場合は、それらのマニュアルをご確認いただくか、開発元にご連絡ください。
※この手順によって生じた影響や結果について、弊社では一切の責任は負いかねます。

Microsoft Azure Cloudでサーバー証明書を利用するには、Microsoft Azure Cloudサービスに .pfxファイル証明書をインポートする必要があります。そのため「ローカルコンピュータなどの作業マシンでCSRを作成、取得したSSLサーバ証明書をそのマシンで .pfxファイル証明書にエクスポートする」という準備手順が必要になります。

ほかにも、CloudならではのDNSへの理解と、いくつかの準備手順が必要ですので、以下を確認してからCSRを作成してください。

※2020年12月末をもって組織内の部署名(Organizational Unit Name)の運用は終了いたしました。
 2021年1月以降に発行される証明書に組織内の部署名は反映されません。
※関連情報
 OUフィールドの廃止に関するご案内

Microsoft Azure クラウドサービスでのSSL証明書入門

Microsoft Azureクラウドサービスはデフォルトでは {your_name}.cloudapp.net({your_name}は例)のホスト名を使います。
cloudapp.netドメインの所有者はMicrosoft Corporationですので、利用者が {your_name}.cloudapp.netのSSLサーバ証明書を取得することはできません(自己署名証明書の場合を除く)。

しかし、Microsoft Azureクラウドサービス利用者が所有する独自ドメイン名を使ってSSL証明書を取得し、その証明書をMicrosoft Azureクラウドサービスで利用することは可能です。
この場合、以下のような手順が必要になります。

  1. Microsoft Azure クラウドサービスで使うホスト名を決定します。

    ドメイン名そのものを使うこともできますが、サブドメイン名(例: www.your_domain.jp app.your_domain.jp 等)の方が手間がかかりません。(※理由は後からご説明します。)
  2. ローカルコンピュータなどの作業マシンで、利用するホスト名のCSRを作成します。

    CSR 作成手順は、このページにあるCSR作成から .pfxファイル証明書エクスポートまでを参照してください。
  3. 証明書をオーダーします。

    オーダーフォームの「サーバーの種類」ではIIS8を選択してください。
    複数のクラウドサービスを利用する場合は、ワイルドカードサーバ証明書あるいはマルチドメイン証明書をお勧めします。
  4. 取得した証明書の fingerprint (拇印) 取得します。

    取得方法についてはこのページにあるfingerprint (拇印) を取得の項目を参照してください。
  5. .pfxファイル証明書をエクスポートします。

    Microsoft Azure クラウドサービスでインポートする.pfxファイル証明書をエクスポートします。
    エクスポートまでの手順についてはこのページにあるCSR作成から .pfxファイル証明書エクスポートまでを参照してください。
  6. Microsoft Azure Cloudサービス設定ファイルを作成します。

    Microsoft Azure Cloud サービス設定ファイルを準備するを参照してください。
  7. 「Microsoft Azure Management Portal」でクラウドサービス設定と証明書のアップロードを行います。

    クラウドサービス設定と証明書のアップロードを参照してください。
  8. クラウドサービスのホスト名とIPアドレスを確認します。

    付与されたクラウドサービスのホスト名(例:{your_name}.cloudapp.net)とIPアドレス(例:123.456.789.012)を確認してください。
  9. カスタムドメイン(例: your_domain.jp)のサブホスト(例: www.your_domain.jp)のDNS設定を行います。

    • CNAME設定を利用する場合

      ※カスタムドメイン名そのものをCNAMEレコードとして設定することはできません。

      カスタムドメイン・サブホスト名部分 付与されたクラウドサービスのホスト名
      付与されたクラウドサービスのIPアドレス
      www {your_name}.cloudapp.net
      www 123.456.789.012


    • Aレコード設定を利用する場合

      ※Aレコード設定を利用する場合は、IPアドレスでの指定だけが可能です。

      カスタムドメイン・サブホスト名部分
      カスタムドメインドメイン名      		 付与されたクラウドサービスのIPアドレス
      www 123.456.789.012
      @ 123.456.789.012
    CNAMEレコード設定を利用する場合・Aレコード設定を利用する場合どちらもIPアドレスでの指定が可能です。
  10. https://your_domain.jp https://www.your_domain.jp でのクラウドサービスが利用可能になります。

クラウドサービスに付与されたIPアドレスはスロットの展開を削除すると解放され、そのスロットへの以降の展開は異なるIPアドレスになります。
従って、クラウドサービスに付与されたホスト名(例:{your_name}.cloudapp.net)は固定でも、IPアドレス(例:123.456.789.012)は変化する可能性があります。
そのため、クラウドサービスのホスト名にはカスタムドメインのサブホスト名を使い、DNS設定のCNAMEレコードにクラウドサービスから付与されたホスト名(例:{your_name}.cloudapp.net)を設定するのがトラブルを起こさない方法といえます。

fingerprint (拇印) を取得

thumbprintとも呼ばれるfingerprint (拇印) は、サーバー証明書のハッシュ値です。
サーバー証明書に変更が加えられると、ハッシュ値も変わります。サーバー証明書に改竄が加えられていないことの確認にfingerprint (拇印) が使われます。
fingerprint (拇印) の取得は様々な方法で行えますが、最も簡単な方法は「openssl でfingerprint (拇印) を取得」ウィザードを利用することです。

ウィザード利用方法

証明書の拡張子が .crtの場合

テキストエディターでファイルを開き、全文をウィザードに貼り付けて「確認」ボタンをクリックすると、以下のような結果が表示されます。

SHA1 Fingerprint=E1:5C:DD:95:BE:71:34:BE:6C:AE:93:36:64:06:70:CF:97:DF:2C:D5

この場合は、「SHA1」がアルゴリズム、「E1:5C:DD:95:BE:71:34:BE:6C:AE:93:36:64:06:70:CF:97:DF:2C:D5」が fingerprint (拇印) です。

証明書の拡張子が .cer の場合

まず、「opensslでPKCS7証明書の内容を確認する」ウィザードを利用て証明書の内容だけを抜き出します。
テキストエディターで.cerファイルを開き、全文を「opensslでPKCS7証明書の内容を確認する」ウィザードに貼り付けてください。
表示される、先頭の—–BEGIN CERTIFICATE—–から—–END CERTIFICATE—–が取得した証明書です(残りの部分は中間証明書とルート証明書です)。
証明書部分だけをコピーし、「openssl でfingerprint (拇印) を取得」ウィザードに貼り付けてください。

CSR作成から .pfxファイル証明書エクスポートまで

Microsoft AzureクラウドサービスでのSSL証明書の設定は以下の手順で行います。

  1. ローカルで .pfxファイル証明書を作成
  2. Microsoft Azure Management Portalで.pfxファイル証明書をアップロード

「ローカルで .pfxファイル証明書を作成」する方法には以下のようなものがあります。使いやすい方法をご選択ください。

「certreq」を使う方法

Microsoft 環境に組み込みのcertreqコマンドを利用してCSRと秘密鍵を作成し、取得した証明書で.pfxファイル証明書を作成する方法です。
詳しくはcertreqコマンドを使って .pfxファイル証明書を作成する方法を参照してください。

「OpenSSL」を使う方法

利用中のコンピュータでOpenSSLコマンドを使ってCSRを作成して取得した証明書で.pfx証明書を作成する方法です。
詳しくはOpenSSLを使って.pfxファイル証明書を作成する方法を参照してください。

「IISマネジャー」を使う方法

以下の中から作業環境に合わせたページを参照し、作業コンピュータ上で .pfxファイル証明書の作成までを行ってください。

fingerprint (拇印) を取得し、.pfxファイル証明書がエクスポートできたら、Microsoft Azure Cloudでの証明書のインストールに進んでください。

関連情報

▲ページの先頭へ戻る
RMS

・SSLサーバー証明書

・コードサイニング
その他証明書

・バウチャ(クーポン)

お見積依頼

Copyright © cybervision Hosting. All rights reserved.