CA 証明書のインストール

「OpenSSL を用いて自前の証明機関でサーバー証明書を発行する」では、 OpenSSL を利用して CSR を処理し、独自にサーバー証明書を発行する方法を紹介しました。

内部的に利用する環境では独自に証明書を発行できるのは便利です。

しかし、当然ながら自前で作った証明機関の情報など Windows は持ち合わせていないので、自分で CA 証明書をインストールする必要があります。

そうしないと、クライアントからアクセスした時に「誰が発行したんだか知らないような、わけのわからぬ証明書しか持ってないですよ」という警告が表示される事になります。

ここでは CA 証明書がないとどうなるか初めに確認して、実際に CA 証明書をインストールする方法を示します。

自前の証明機関を利用する場合は、サーバー及びクライアントに CA 証明書等をインストールする必要があります。

まず、CA 証明書がない状態がどんな風になるかみてみましょう。

証明書スナップインから、インストールされた証明書のプロパティをみてみます。

「Windows does not have enough information to verify this certificate. (情報不足のため、この証明書を検証できません) 」と表示されています。

しかも証明書のアイコンに警告を表すアイコンも表示されていますね。

これは何かと言うと、Windows にはそもそもこの証明書に署名した証明機関の情報がない、ということを示しています。

発行元 (Issued by) の名前は、私が手元で個人的に作った中間証明機関ですから、Windows にその CA 証明書がインストールされていないのは当然です。

さらにこの中間 CA は、私が作成したルート CA を元に作られていますので、ルート CA 証明書と中間 CA 証明書の両方をインストールする必要があります。

まずはルート CA からインストールします。

CA 証明書をインポートします。

信頼されたルート CA (Trusted Root Certificate Authorities) 内にインポートします。

終了をクリックするとインポートされます。

確かに入りましたね。

次に中間 CA の証明書を含むキーチェーンをインポートします。

ファイル名を指定して次へ。

中間証明機関内にインポートします。

終了 (Finish) をクリックするとインポートされます。

CA 証明書が確認できるはずです。

以上の情報をインストールすると、上でインストールしたサーバー証明書のプロパティから警告がなくなるはずです。

証明機関の情報も確かに確認できます。

尚、CA 証明書はウェブサイトにアクセスするクライアント側にも必要になります。もし自前で CA を作って使う場合は、クライアントにも配布しインストールする必要があります。