Windows Azure Web サイト (WAWS) と中間証明書

このポストは、1 月 7 日に投稿された Windows Azure Web Sites (WAWS) and Intermediate Certificates の翻訳です。

編集メモ : 今回は、Windows Azure Web サイト チームでプログラム マネージャーを務める Erez Benari による記事をご紹介します。

Windows Azure Web サイトで SSL を使用することは一般的であり、サイトに証明書をアップロードして割り当てる作業は、通常、わかりやすくて簡単に行うことができます (最近のブログ記事 Obtaining a Certificate for use with Windows Azure Web Sites (WAWS) (英語) および HTTPS および SSL による Windows Azure Web サイト (WAWS) のセキュリティ保護 の説明をご参照ください)。ただし、利用している証明書プロバイダーが中間証明書を使用している場合、この作業で問題が発生することがあります。

中間証明書 (チェーン証明書とも言います) は一部の証明書機関が使用するもので、より優れた安全性が提供される (英語) とのプロバイダーの判断もあって、幅広く利用されるようになっています。たとえば、VeriSign や GoDaddy では、この数年の間にチェーン証明書以外の証明書の発行を取りやめており、当然ながら、こうした証明書機関と関係のある Thawte や GeoTrust といったプロバイダーにも影響を及ぼしています。

もちろん、Windows Azure Web サイトではこうしたシナリオを完全にサポートしており、中間証明書の取得に必要な手順にさえ注意すれば、適切に利用できるようになります。この作業で問題が発生する最も一般的な原因は、お客様が中間証明書そのものをサーバーにアップロードしようとすることです。また、お客様が中間証明書を含めずに証明書をアップロードしようとすることも、よくある原因の 1 つとなっています。いずれの場合も、それが原因となって、一部のブラウザーでこのサイトが信頼できないサイトであるとの警告が表示される可能性があります (この場合でも通常、ユーザーは次の手順に進むことができますが、このエラーによって多くのユーザーが警戒心を持つことになるため、こうした事態は避けなければなりません)。

つまり、証明書プロバイダーがチェーン証明書モデルを使用している場合は、もちろんチェーン証明書をアップロードする必要がありますが、その場合には、両方の証明書を 1 つのものとしてアップロードするのが正しい方法となります。このトピックに関する以前の記事でもご説明したように、証明書をアップロードするには、証明書を PFX ファイルにエクスポートする必要があり (証明書に秘密キーを含めるために必要となります)、その証明書が中間 CA によって発行されたものである場合、その中間証明書をエクスポートに含めなければなりません ** 。そのためには、 [Include all certificates in the certification path if possible] オプションを必ずオンに設定してください。

これによって PFX ファイルのサイズは若干大きくなりますが、サーバーが証明書を処理するために必要なすべての情報が含まれた状態になります。誤解のないように言うならば、中間証明書そのものをエクスポートするのではなく、ご自身のサーバー証明書をエクスポートするということです。この点に気を付けて正しいオプションを設定すれば、両方の証明書が PFX ファイルにエクスポートされるので、サーバーで処理が正しく実行されます。

** ここで注意したいのは、このエクスポートが正しく行われるためには、エクスポートを実行しているコンピューター上にその中間証明書自体が存在している必要があるという点です。証明書プロバイダーが証明書を発行する際には、通常、証明書のインストールに関する情報やリンクが提供されますが、もしこうした情報が不明な場合は、メールを確認して、説明の手順に従うことをお勧めします。また、該当するプロバイダーの   Web サイトで関連情報を検索することもできます (GoDaddy のページ (英語)、VeriSign のページ (英語) などをご参照ください)。