サーバー証明書をインストールしようとするとエラー

http://oshiete.goo.ne.jp/qa/7134769.html

この質問の続きです。

証明書会社に、フレンドリ名を追加してくれと頼んだら、
当社の証明書をインストール（証明書の要求の完了）をする前に、
前段階の手順として、「証明書の要求の作成」をしてくれと言われました。

そこで、証明書の要求の作成で、証明書を作った後に、
証明書会社の発行してくれた証明書をインストール（証明書の要求の完了）をしたら、
エラー内容が変わりました。

「この証明書ファイルに関連付けられた証明書の要求が見つかりません。
要求を作成したコンピュータで、証明書の要求を完了する必要があります。」

ここで、また躓きました。
某サイトの情報によると、上記エラーが出ても、サーバー証明書のインストールが完了しています。
との情報もあったのですが、サーバー証明書の一覧に証明書が出てきません。

つまり、インストールが完了していないと思われます。
証明書会社では、これ以上の対応はわからないので、
IIS販売業者様へ問い合わせろとの回答でした。

つまりは、マイクロソフトに問い合わせなさいってことなんでしょうけれど、
マイクロソフトのサポートってどこにあるのやら……
WindowsXP,Vista,7のサポート（及びOfficeのサポート）は見つけたけれど、
WindowsServerのサポート（またはIISのサポート）は見つかりません。

どなたか、解決した人 or マイクロソフトに問い合わせる方法がわかる人は、
回答をください。とても困っています。

No.4 ベストアンサー 回答者： kadusaya2 回答日時： 2011/11/27 22:26

#3です。

まず、「証明書要求の作成」を二回やってはいけません。
二回以上やると、必ず2番目のエラーが発生し、もう正常に完了させることはできません。

証明書要求の作成時に、同時に秘密鍵を作成します。
（ジオトラストのHPではキーペアと呼んでいます）
発行された証明書をインストールするときに、証明書要求を作成したときの秘密鍵とセットになっていなければいけません。
しかし、証明書要求の作成を二回行うと、最初の秘密鍵を削除して 新しい秘密鍵を作成するため、発行された証明書とセットになるべき秘密鍵は永久に失われます。

必ず、
1.証明書要求を作成する。
2.証明書発行会社に、証明書を発行してもらう。
3.証明書をインストールする。
の順番に行い、同じ手順を二回やったり、手順を飛ばしたりしてはいけません。

--------------------

PKCS#7形式は、複数のCER形式をパッケージングしたものです。
PKCS#7形式の拡張子は「.p7b」です。
CER形式の拡張子は「.cer」です。
メモ帳などで開いてみて、「-----BEGIN CERTIFICATE-----」という文字が一つだけならCER形式だと思ってOKです。

--------------------

作業に際しては「フレンドリ名」は無視した方が良いでしょう。
フレンドリ名は多数の証明書を管理するときに便利になるだけなので、レンタルサーバを営むのでなければ必要ありません。

以上です。

この回答へのお礼

ありがとうございます。

既に、作成を何回もやってしまっているので、
証明書発行会社に再度申請しないといけないということですね。

その手順についてはわかりましたので、
証明書発行会社に再申請してみます。

ところで、２の手順を省いたら、インストールが出来ないということは、
証明書を発行してもらわなければテストも出来ないということですね。

インストールが確実に出来ることを確認したかったのですが、
２の手順を省くと登録できないのですよね……
そのまま再申請してみます。

--------------------

次に、送られてきたデータについてですが、
-----BEGIN CERTIFICATE-----
から始まり
-----END CERTIFICATE-----
で終わってるのが１つだけなので、CERと思うのですが、
そのデータで作成をすると１のエラーが出ていたんです。

そこで、フレンドリ名を追加してみると、２のエラーにかわりました。

そのあたりがまだよくわからないのですが、
再申請したあとに貰ったデータでも、同じようなエラーが出た場合、
どうしたらいいのか、わからなくなっています。

もし、エラーが出た場合、また再申請をしないと、
フレンドリ名を追加したところで２のエラーが出るだけですよね？

１、２、３の手順の後にもう一度３を行うことは出来ますか？
試してみないことにはわからないのでしたら、
とりあえずは、１度、再申請してみます。

受け取ったデータでエラーがでないことを祈りつつ……

お礼日時：2011/11/27 23:21

No.5 回答者： kadusaya2 回答日時： 2011/11/29 00:42

再び、#3です。

OpenSSLを使って自分でダミーの証明書発行会社（認証局）を構築すればテストは可能ですが、かなりハードルは高いと思います。

--------------------

> で終わってるのが１つだけなので、CERと思うのですが、
> そのデータで作成をすると１のエラーが出ていたんです。

もし、操作に何も問題が無いのにエラーが出るようだとすると、証明書発行会社を変えた方が良いかもしれません。
正直言って、証明書の書式が間違っている発行会社がタマにあります。
証明書要求を作るときに、記号や長さなどに注意して、不要な項目を入れたりしないようにしてください。


> もし、エラーが出た場合、また再申請をしないと、
> フレンドリ名を追加したところで２のエラーが出るだけですよね？

はい、その通りです。


> １、２、３の手順の後にもう一度３を行うことは出来ますか？

残念ながら出来ません。

この回答へのお礼

ありがとうございます。

１，２，３の手順どおりにしたらインストールが完了しました。
１のエラーも出なかったです。

もしかしたら、暗号キーが違うという事で、１のエラーが出ていたのかもしれませんね。
OpenSSLはまた勉強してみたいと思います。

ありがとうございました。

お礼日時：2011/11/29 13:56

No.3 回答者： kadusaya2 回答日時： 2011/11/24 22:14

見るに見かねて横から口を挟みます。

原因は、あなたの操作ミスです。
マイクロソフトに問い合わせても、「規定の手順に従ってやり直してください」と言われるだけです。

最初の質問にあるエラーは、PKCS#7形式の証明書（拡張子が".p7b"）に対して出されるエラーです。
PKCS#7形式は主にクライアント証明書に使われる形式で、証明書発行会社が送ってくるのはCER形式（拡張子が".cer"）です。
つまり、違う形式の証明書を読み込もうとしてエラーになっている可能性が大です。

WindowsでもLinux(OpenSSL)でも、証明書要求を作成したときに秘密鍵も作成します。
証明書発行会社には証明書要求のみを渡し、署名されたサーバ証明書を受け取ります。
このサーバ証明書と、証明書要求を作成したときの秘密鍵が食い違うと、二番目の質問のようなエラーが発生します。

Windowsは秘密鍵を内部で保持しますので、証明書要求を作成したコンピュータ以外のマシンにインストールしようとすると、必ず上記のエラーが発生します。
なお、OpenSSLなどで証明書要求を作成しても、秘密鍵をWindowsにそのままではインストールできないので、Windows上で証明書要求を作成する必要があります。

> 某サイトの情報によると、上記エラーが出ても、サーバー証明書のインストールが完了しています。

これは100%デマです。（あるいは勘違いをしているか）
証明書の理論上、秘密鍵が無いのに証明書が正しく処理されることはありません。

フレンドリ名も関係ありません。
フレンドリ名はクライアント証明書を別名で管理するためのもので、サーバ証明書に付けても意味がありません。

サービスパック3も違います。
現に他の人はキチンとサーバを構築して運用しているのですから。

もう一度、落ち着いて、キチンとした手順で、やり直せばできると思いますよ。

この回答へのお礼

ありがとうございます。

IIS7でのCSRの作成方法
http://www.geotrust.co.jp/support/ssl/csr/iis7_n …

IIS7での証明書インストール
http://www.geotrust.co.jp/support/ssl/install/ii …

証明書発行会社から紹介されたHPにて、
落ち着いて手順通りに再度試してみたのですが、
「証明書の要求の作成」は出来るのですが、
それで作ったばかりのデータで、
「証明書の要求の完了」で、２番目のエラーが出てしまいます。

そして、証明書発行会社から送られてきたデータでは、
１番目のエラーが出てしまいますが、
そもそも、証明書発行会社がこのエラーが出ることを認識しているということは、
PKCS#7形式の証明書を発行していると言うことなのでしょうか。
その送られてきたデータに対して、フレンドリ名をつけた時点で、
CER形式に変わったから、２番目のエラーに移行したと言うことなのでしょうか。

それは、それとして、再発行をお願いするとして、
作成で作ったばかりのデータを完了出来ないのは、
どこか手順が間違えていますでしょうか？

参考にしているページのやり方自体が間違えているのでしたら、
よろしければ、きちんとした手順を教えてもらえると助かります。

よろしくお願いします。

お礼日時：2011/11/27 15:10

No.2 回答者： lupin-333333 回答日時： 2011/11/24 13:27

＞WindowsServerのサポート（またはIISのサポート）は見つかりません

あなたがどういう立場の人かだと思います。法人なら、会社の担当者に聞けばいいし、分からなかった上司に聞いてください。つまり、会社対会社の話になるので、単独で行動しないように。

＞サービスパック３で解決される予定とあるけど、
＞サービスパック３はいつ出るんだ！？って感じですよね

質問にあった前の質問のリンクにコメントされている事ですが、前述のように、サポート契約していれば、マイクロソフトは不具合修正パッチか、回避策などの提示等、対応が義務となっています。なので、Sp3は定期的な一般公開用で、メンテナンス契約している人にはHoｔFix及び個別対応パッチとして、早期に出してくれます。

つまり、金出せば、早く解決するという事です。

電話でのサポートも同じです。不具合として認識するのか、どうかで変わりますが、基本的にはマニュアルに在る（OSやサービスの）仕様の回答になります。

金出せば、調査、解析、カスタマーサポートが尋ねて来て、状況を把握してゆきます。

http://www.microsoft.com/ja-jp/licensing/contact …

http://support.microsoft.com/ph/1163/ja

http://support.microsoft.com/gp/assistsupport


などの記事やリンクをみれば出ています。

通常メンテナンス契約すると、書類や電子文書でサポート連絡先が記載されています。そこにIDとかもあるはずです。そのIDとともに連絡する必要があります。

もし、もっていないとすれば、メンテナンス契約していないので、一般人扱いのカスターまーサポートの電話窓口になります。

なお、

「エラー内容が変わりました。

・・
ここで、また躓きました。」

ですが、

＞との情報もあったのですが、サーバー証明書の一覧に証明書が出てきません

これどこに載っていたのですか？　そのでどころを記載しないと。

＞証明書の要求の作成で、証明書を作った後

これを作成したサーバーで買った証明書を設置しないと！

http://technet.microsoft.com/ja-jp/library/cc732 …

（　http://msdn.microsoft.com/ja-jp/library/bb905481 …　）

http://social.technet.microsoft.com/Forums/ja-JP …

この手の操作ミスというか、勘違い操作というか、マイクロソフト製品の貧弱さ（無駄にGUIがあり邪魔している）がユーザーの操作を増やす事になる。サーバー系だと特にGUIの操作性については、プライオリティーが低いのでしょう。

この回答へのお礼

ありがとうございます。

有料のサポートなら見つかりましたが、上司から無料で何とかしろと言われたので、
どうにも出来なくなっています。
ちなみに、有料サポートは契約していません。


＞＞との情報もあったのですが、サーバー証明書の一覧に証明書が出てきません

＞これどこに載っていたのですか？　そのでどころを記載しないと。

http://www.geotrust.co.jp/support/ssl/install/ii …
ここに載っていたのですが、ここの情報は正しくないと言うことでしょうか。

＞＞証明書の要求の作成で、証明書を作った後

＞これを作成したサーバーで買った証明書を設置しないと！

もちろん、作成で作ったデータをその場で完了しようとしました。

作成したばかりのデータでは完了できないと言うことでしょうか？

お礼日時：2011/11/27 15:17

No.1 回答者： bismarck_klasse 回答日時： 2011/11/24 13:25

自分が解決した人ではありません。

（ゴメンなさい。）
ネット情報で回答しています。間違いがありましたらゴメンなさい。

http://support.microsoft.com/kb/959216/ja
↑のマイクロソフトサポートの
「この問題を解決するには、証明書にフレンドリ名を追加します。これを行うには、次の手順を実行します。」
の手順で、

１．「ファイル名を指定して実行」で、「certmgr.msc」を起動。
上の方法がダメなら、
エクスプローラで（ C:\Windows\System32\certmgr.msc）←これを起動する。
２．「証明書」を探す
３．「証明書」を右クリックし、「プロパティ」をクリックしてください。
４．「編集」→「フレンドリ名」
５．任意の「フレンドリ名」を付ける。

この回答へのお礼

ありがとうございます。

その手順は既に試しました。
が、うまくいきませんでした。

そもそもフレンドリ名は関係なさそうですね。

お礼日時：2011/11/27 15:18