1

統合認証基盤システム

評価キットセットアップガイド （サンプル API 実装 IIS7.5 編）

Ver. 1.0

2

＜目 次＞

1. 本書の目的 ................................................................................................................... 3

2. 注意点 ........................................................................................................................ 4

3. 設定手順...................................................................................................................... 5

3.1. 手順の流れ ............................................................................................................. 5

3.2. OS（Windows2008 R2）の設定 ................................................................................. 6

3.3. IIS の設定 ............................................................................................................ 15

3.4. クライアント証明書の情報参照（クライアント側） ....................................................... 22

3

1. 本書の目的

本書は、Windows2008 R2 環境で動作する、インターネット インフォメーション サービス バージ

ョン 7.5（以降 IIS 7.5）で構築された Web アプリケーションを想定としたサンプル API（ASP.Net）

を動作させるまでの手順です。

4

2. 注意点

本書では、Windows2008 R2 環境に IIS を動作させた環境で検証したサンプル API（ASP.NET 版）のセ

ットアップ手順を記述します。

稼働中の IIS の設定状況や、バージョン等、環境に依存して、本手順だけでは網羅できない場合がござい

ます。

5

3. 設定手順

3.1. 手順の流れ

■OS（Windows2008 R2）の設定

� サーバの役割（Web サーバ）の追加

� クライアント証明書と紐づく、ルート証明書、中間証明書のインポート

� サンプル API（評価キット）の入手と配置

■IIS の設定

� アプリケーションプールの変更

� アプリケーション（サンプル API）の追加

� サーバ証明書（自己署名入り証明書）の作成 ※商⽤のサーバ証明書の発⾏手順は割愛

� サイトのバインド編集（https のポートとサーバ証明書のバインド設定）

� SSL 設定

■サンプル API の動作確認

� クライアント証明書の情報参照（クライアント側）

�

6

3.2. OS（Windows2008 R2）の設定

� サーバの役割（IIS：Web サーバ）の追加

① サーバマネージャを起動します。

“役割の追加”を押下します

“次へ“を押下します。

7

“Web サーバー”を選択し、”次へ”を押下します。

”次へ”を押下します。

検証⽤途として、”アプリケーション”にチェックを入れます。

8

検証⽤途として、”セキュリティ”にチェックを入れます。

“インストール”を押下します。

9

正常に完了したことを確認し”閉じる”を押下します。

� クライアント証明書と紐づく、ルート証明書、中間証明書のインポート

日本 RA の管理する、ルート証明機関、中間証明機関の証明書のインポートをします。

インポート対象のファイルは、日本 RA のリポジトリからダウンロードできます。

・NipponRACertificationAuthority1.crt

→中間証明機関(1) ：http://nrapki.jp/Certs/NipponRACertificationAuthority1.crt

・NipponRACertificationAuthority2.crt

→中間証明機関(2) ：http://nrapki.jp/Certs/NipponRACertificationAuthority2.crt

・NipponRARootCertificationAuthority.crt

→ルート証明機関 ：http://nrapki.jp/Certs/NipponRARootCertificationAuthority.crt

次ページから証明機関の証明書をインポートする手順を記載します。この手順を例に、２つの中間証

明書をインポートし、手順内の“中間証明書”を”“信頼されたルート証明機関”と読み換えて合計３回のイ

ンポートを実⾏します。

10

� クライアント証明書と紐づく、ルート証明書、中間証明書のインポート

① mmc（管理コンソール）の起動します。

スタート→プログラムとファイルの検索 に “mmc” と入⼒し、”Enter”を押下します。

② スナップインを追加します。

③ 左画面の下方にある証明書を選択し、”追加”を押下します。

④ 証明書スナップイン画面にて”ユーザアカウント”を選択し、”次へ”ボタンを押下します。

11

⑤ コンピュータの選択画面にて”ローカルコンピュータ”が選択されていることを確認し”完了”を押下し

ます。

⑥ 手順③の”スナップインの追加と削除”画面の右側に”証明書”が追加されたことを確認し”OK”を押下し

ます。

⑦ 証明書のインポートを実⾏します。

中間証明機関の場合 ルート証明機関の場合

12

⑧ 証明書のインポートウィザードの開始を確認し、”次へ”を押下します。

⑨ インポートする証明書ファイルを”参照”を押下し任意で保存した証明機関の XXX.crt を選択して”次

へ”を押下します。

⑩ 証明書ストアが”中間証明機関”であることを確認し”次へ”を押下します。

中間証明機関の場合 ルート証明機関の場合

13

⑪ “完了”を押下して証明書インポートウィザードを完了します。

⑫ 正しくインポートされたことを確認し”OK”を押下します。手順⑦〜⑫までを繰り返します。

⑬ インポートされた証明機関の証明書を確認します。

中間証明機関

ルート証明機関

14

� 評価キット（サンプル API）の入手

① 以下の URL から評価キットをダウンロードします。

http://www.nrapki.jp/kit/doc/Sample.zip

② 評価キットのソース群（”Sample.zip”）を任意のフォルダに展開します。

以下のフォルダが展開されます。

Sample

┣認可リスト API_VBNET 版

┃ ┣Projects

┃ ┗WebSites

┗認可リスト PHP 版 ※本手順では、使⽤しません

┣file

┗lib

③ 役割追加した IIS のディレクトリに評価キットのソース群をコピーします。

“Sample\認可リスト API_VBNET 版\WebSites\NRA-PKI”を

IIS サーバの”C:\inetpub\wwwroot\”にコピーします。

※IIS の標準ディレクトリ構成を前提とします。

15

3.3. IIS の設定

本章では、インターネット インフォメーション サービス（IIS）マネージャによる設定手順となります。

� アプリケーションプールの変更

DefaultAppPool の“.NET Framework バージョン”を v2.0 → v4.0 に変更します。

① 左ペインの”アプリケーション プール”を選択します。

ｃ

② 中ペインの DefaultAppPool を選択し、基本設定をクリックします。

16

③ DefaultAppPool の .NET Framework v2.0.XXXX → v4.0.XXXX に変更し、“OK”を押下します。

※サンプル API が、.NET Framework v4.0 環境でコーディングされているためです。

� アプリケーション（サンプル API）の追加

① 左ペインの“Default Web Site”を選択して右クリック、“アプリケーションの追加”を押下します。

② “アプリケーションの追加”画面にて、任意のパラメータを指定します

ここでは、エイリアスを“NRA-PKI”

物理パスを手順③で IIS のフォルダをコピーしたフォルダ

17

③ アプリケーションと紐づける物理パスを指定します。

以下のエイリアスと物理パスを任意で指定し本手順を進めます。

※環境に合わせてカスタマイズする場合は、パラメータを差替えてください。

④ アプリケーションの追加の確認

“Default Web Site”に” NRA-PKI”が登録されている事を確認します。

18

� サーバ証明書（自己署名入り証明書）の作成 ※商⽤のサーバ証明書の発⾏手順は割愛

SSL 通信を Web サイトで設定する場合は、サーバ証明書が必要になります。本手順では、サーバ証

明書を商⽤で購入せずにテストとして使⽤する自己署名のサーバ証明書を作成します。

① Web サーバのホームを選択し、”サーバ証明書”をダブルクリックします。

② “自己署名入り証明書の作成”を押下します。

③ 任意の”フレンドリ名”を指定して”OK”を押下します。

19

� サイトのバインド編集（https のポートとサーバ証明書のバインド設定）

バインド編集を実⾏し、サーバ証明書（自己署名入り証明書）を https のポートに設定します。

① “Default Web Site”を選択し、右クリックから”バインド編集”を選択します。

② サイトバインドから”追加”を押下します。

③ “種類”のリストから”https”を選択し、サーバ証明書（自己署名入り証明書）をリストから選択。”OK”

を押下します。

20

④ https が追加されたことを確認し”閉じる”を押下します。

� SSL 設定

クライアント証明書を必要とする SSL3.0 を実装します。

① 本手順対象の Web アプリケーションを選択し、/<アプリケーション> ホーム→”SSL 設定”をダブル

クリックします。

② SSL 設定

“SSL が必要”にチェックし、クライアント証明書のラジオボタンに”必要”を選択します。

21

③ Web サーバーの IIS 再起動します。

Web サーバ ホームを選択し、再起動を押下します。

22

3.4. クライアント証明書の情報参照（クライアント側）

Web アプリケーションの認証で使⽤するクライアント証明書がインポートされていることを前提に、

証明書の内容を確認する手順を記載します。

本手順の画面キャプチャは Windows7 環境で取得しております。WindowsXP、Windows2008 環境

は画面が異なりますが、手順は同等となります。

① mmc の起動

スタート→プログラムとファイルの検索 に、“mmc” と入⼒し、”Enter”を押下します。

② スナップインの追加

ファイル→スナップインの追加と削除を選択

③ 左画面の下方にある証明書を選択、”追加”を押下し“選択されたスナップイン”に移動したことを確認。

次に”OK”を押下します。

23

④ 証明書スナップイン画面にて”ユーザアカウント”を選択し、”完了”を押下します。

⑤ 左画面に”証明書 – 現在のユーザー”が表示されたことを確認し、”OK”を押下します

⑥ ”コンソールルート”→”証明書 – 現在のユーザー”→”個人”→”証明書”を選択し、証明書が右画面に表

示されることを確認する

24

“発⾏者“はクライアント証明書の証明機関を示し

ます。

CN=証明機関（発⾏・認証局）

※NRA では、Nippon RA Certification Authority 1

か 2

が表示されます。

“サブジェクト“はクライアント証明書を配付されたユーザー

E= E メールアドレス

CN= 配布ユーザの英字表記

OU=NRA-PKI システムのユーザ ID

OU=NRA-PKI システムの法人コード

O=法人の英字表記

⑦ 表示された証明書をダブルクリックしプロパティを表示させる

（右クリック→プロパティを選択でも表示されます）

⑧ 上部、“詳細”タブを選択し、２つのフィールドを確認します。

(1) 発⾏者

(2) サブジェクト

25

“証明書のパス“は NRA がクライアント証明書の認証機関を示し

ます。

ルート認証機関（Nippon RA Root Certification

Authority）

→中間証明機関（Nippon RA Certification Authority 1 か

2）

→クライアント証明書

⑨ 上部、“証明のパス”タブを選択し、証明書のパスを確認します。

※クライアント証明書のインポート時に、証明機関の証明書をインポートしなかった場合、警告

が表示され認証に使えない証明書となります。