統合卉卨匼盤システム...3 1. 本危の目的 本危は、windows2008...
TRANSCRIPT
1
統合認証基盤システム
評価キットセットアップガイド (サンプル API 実装 IIS7.5 編)
Ver. 1.0
2
<目 次>
1. 本書の目的 ................................................................................................................... 3
2. 注意点 ........................................................................................................................ 4
3. 設定手順...................................................................................................................... 5
3.1. 手順の流れ ............................................................................................................. 5
3.2. OS(Windows2008 R2)の設定 ................................................................................. 6
3.3. IIS の設定 ............................................................................................................ 15
3.4. クライアント証明書の情報参照(クライアント側) ....................................................... 22
3
1. 本書の目的
本書は、Windows2008 R2 環境で動作する、インターネット インフォメーション サービス バージ
ョン 7.5(以降 IIS 7.5)で構築された Web アプリケーションを想定としたサンプル API(ASP.Net)
を動作させるまでの手順です。
4
2. 注意点
本書では、Windows2008 R2 環境に IIS を動作させた環境で検証したサンプル API(ASP.NET 版)のセ
ットアップ手順を記述します。
稼働中の IIS の設定状況や、バージョン等、環境に依存して、本手順だけでは網羅できない場合がござい
ます。
5
3. 設定手順
3.1. 手順の流れ
■OS(Windows2008 R2)の設定
� サーバの役割(Web サーバ)の追加
� クライアント証明書と紐づく、ルート証明書、中間証明書のインポート
� サンプル API(評価キット)の入手と配置
■IIS の設定
� アプリケーションプールの変更
� アプリケーション(サンプル API)の追加
� サーバ証明書(自己署名入り証明書)の作成 ※商⽤のサーバ証明書の発⾏手順は割愛
� サイトのバインド編集(https のポートとサーバ証明書のバインド設定)
� SSL 設定
■サンプル API の動作確認
� クライアント証明書の情報参照(クライアント側)
�
6
3.2. OS(Windows2008 R2)の設定
� サーバの役割(IIS:Web サーバ)の追加
① サーバマネージャを起動します。
“役割の追加”を押下します
“次へ“を押下します。
7
“Web サーバー”を選択し、”次へ”を押下します。
”次へ”を押下します。
検証⽤途として、”アプリケーション”にチェックを入れます。
8
検証⽤途として、”セキュリティ”にチェックを入れます。
“インストール”を押下します。
9
正常に完了したことを確認し”閉じる”を押下します。
� クライアント証明書と紐づく、ルート証明書、中間証明書のインポート
日本 RA の管理する、ルート証明機関、中間証明機関の証明書のインポートをします。
インポート対象のファイルは、日本 RA のリポジトリからダウンロードできます。
・NipponRACertificationAuthority1.crt
→中間証明機関(1) :http://nrapki.jp/Certs/NipponRACertificationAuthority1.crt
・NipponRACertificationAuthority2.crt
→中間証明機関(2) :http://nrapki.jp/Certs/NipponRACertificationAuthority2.crt
・NipponRARootCertificationAuthority.crt
→ルート証明機関 :http://nrapki.jp/Certs/NipponRARootCertificationAuthority.crt
次ページから証明機関の証明書をインポートする手順を記載します。この手順を例に、2つの中間証
明書をインポートし、手順内の“中間証明書”を”“信頼されたルート証明機関”と読み換えて合計3回のイ
ンポートを実⾏します。
10
� クライアント証明書と紐づく、ルート証明書、中間証明書のインポート
① mmc(管理コンソール)の起動します。
スタート→プログラムとファイルの検索 に “mmc” と入⼒し、”Enter”を押下します。
② スナップインを追加します。
③ 左画面の下方にある証明書を選択し、”追加”を押下します。
④ 証明書スナップイン画面にて”ユーザアカウント”を選択し、”次へ”ボタンを押下します。
11
⑤ コンピュータの選択画面にて”ローカルコンピュータ”が選択されていることを確認し”完了”を押下し
ます。
⑥ 手順③の”スナップインの追加と削除”画面の右側に”証明書”が追加されたことを確認し”OK”を押下し
ます。
⑦ 証明書のインポートを実⾏します。
中間証明機関の場合 ルート証明機関の場合
12
⑧ 証明書のインポートウィザードの開始を確認し、”次へ”を押下します。
⑨ インポートする証明書ファイルを”参照”を押下し任意で保存した証明機関の XXX.crt を選択して”次
へ”を押下します。
⑩ 証明書ストアが”中間証明機関”であることを確認し”次へ”を押下します。
中間証明機関の場合 ルート証明機関の場合
13
⑪ “完了”を押下して証明書インポートウィザードを完了します。
⑫ 正しくインポートされたことを確認し”OK”を押下します。手順⑦〜⑫までを繰り返します。
⑬ インポートされた証明機関の証明書を確認します。
中間証明機関
ルート証明機関
14
� 評価キット(サンプル API)の入手
① 以下の URL から評価キットをダウンロードします。
http://www.nrapki.jp/kit/doc/Sample.zip
② 評価キットのソース群(”Sample.zip”)を任意のフォルダに展開します。
以下のフォルダが展開されます。
Sample
┣認可リスト API_VBNET 版
┃ ┣Projects
┃ ┗WebSites
┗認可リスト PHP 版 ※本手順では、使⽤しません
┣file
┗lib
③ 役割追加した IIS のディレクトリに評価キットのソース群をコピーします。
“Sample\認可リスト API_VBNET 版\WebSites\NRA-PKI”を
IIS サーバの”C:\inetpub\wwwroot\”にコピーします。
※IIS の標準ディレクトリ構成を前提とします。
15
3.3. IIS の設定
本章では、インターネット インフォメーション サービス(IIS)マネージャによる設定手順となります。
� アプリケーションプールの変更
DefaultAppPool の“.NET Framework バージョン”を v2.0 → v4.0 に変更します。
① 左ペインの”アプリケーション プール”を選択します。
c
② 中ペインの DefaultAppPool を選択し、基本設定をクリックします。
16
③ DefaultAppPool の .NET Framework v2.0.XXXX → v4.0.XXXX に変更し、“OK”を押下します。
※サンプル API が、.NET Framework v4.0 環境でコーディングされているためです。
� アプリケーション(サンプル API)の追加
① 左ペインの“Default Web Site”を選択して右クリック、“アプリケーションの追加”を押下します。
② “アプリケーションの追加”画面にて、任意のパラメータを指定します
ここでは、エイリアスを“NRA-PKI”
物理パスを手順③で IIS のフォルダをコピーしたフォルダ
17
③ アプリケーションと紐づける物理パスを指定します。
以下のエイリアスと物理パスを任意で指定し本手順を進めます。
※環境に合わせてカスタマイズする場合は、パラメータを差替えてください。
④ アプリケーションの追加の確認
“Default Web Site”に” NRA-PKI”が登録されている事を確認します。
18
� サーバ証明書(自己署名入り証明書)の作成 ※商⽤のサーバ証明書の発⾏手順は割愛
SSL 通信を Web サイトで設定する場合は、サーバ証明書が必要になります。本手順では、サーバ証
明書を商⽤で購入せずにテストとして使⽤する自己署名のサーバ証明書を作成します。
① Web サーバのホームを選択し、”サーバ証明書”をダブルクリックします。
② “自己署名入り証明書の作成”を押下します。
③ 任意の”フレンドリ名”を指定して”OK”を押下します。
19
� サイトのバインド編集(https のポートとサーバ証明書のバインド設定)
バインド編集を実⾏し、サーバ証明書(自己署名入り証明書)を https のポートに設定します。
① “Default Web Site”を選択し、右クリックから”バインド編集”を選択します。
② サイトバインドから”追加”を押下します。
③ “種類”のリストから”https”を選択し、サーバ証明書(自己署名入り証明書)をリストから選択。”OK”
を押下します。
20
④ https が追加されたことを確認し”閉じる”を押下します。
� SSL 設定
クライアント証明書を必要とする SSL3.0 を実装します。
① 本手順対象の Web アプリケーションを選択し、/<アプリケーション> ホーム→”SSL 設定”をダブル
クリックします。
② SSL 設定
“SSL が必要”にチェックし、クライアント証明書のラジオボタンに”必要”を選択します。
21
③ Web サーバーの IIS 再起動します。
Web サーバ ホームを選択し、再起動を押下します。
22
3.4. クライアント証明書の情報参照(クライアント側)
Web アプリケーションの認証で使⽤するクライアント証明書がインポートされていることを前提に、
証明書の内容を確認する手順を記載します。
本手順の画面キャプチャは Windows7 環境で取得しております。WindowsXP、Windows2008 環境
は画面が異なりますが、手順は同等となります。
① mmc の起動
スタート→プログラムとファイルの検索 に、“mmc” と入⼒し、”Enter”を押下します。
② スナップインの追加
ファイル→スナップインの追加と削除を選択
③ 左画面の下方にある証明書を選択、”追加”を押下し“選択されたスナップイン”に移動したことを確認。
次に”OK”を押下します。
23
④ 証明書スナップイン画面にて”ユーザアカウント”を選択し、”完了”を押下します。
⑤ 左画面に”証明書 – 現在のユーザー”が表示されたことを確認し、”OK”を押下します
⑥ ”コンソールルート”→”証明書 – 現在のユーザー”→”個人”→”証明書”を選択し、証明書が右画面に表
示されることを確認する
24
“発⾏者“はクライアント証明書の証明機関を示し
ます。
CN=証明機関(発⾏・認証局)
※NRA では、Nippon RA Certification Authority 1
か 2
が表示されます。
“サブジェクト“はクライアント証明書を配付されたユーザー
E= E メールアドレス
CN= 配布ユーザの英字表記
OU=NRA-PKI システムのユーザ ID
OU=NRA-PKI システムの法人コード
O=法人の英字表記
⑦ 表示された証明書をダブルクリックしプロパティを表示させる
(右クリック→プロパティを選択でも表示されます)
⑧ 上部、“詳細”タブを選択し、2つのフィールドを確認します。
(1) 発⾏者
(2) サブジェクト
25
“証明書のパス“は NRA がクライアント証明書の認証機関を示し
ます。
ルート認証機関(Nippon RA Root Certification
Authority)
→中間証明機関(Nippon RA Certification Authority 1 か
2)
→クライアント証明書
⑨ 上部、“証明のパス”タブを選択し、証明書のパスを確認します。
※クライアント証明書のインポート時に、証明機関の証明書をインポートしなかった場合、警告
が表示され認証に使えない証明書となります。