CardSpace サンプル証明書のインストール
CardSpace サンプルを使用するには、SSL 証明書、仮想 Web ディレクトリ、およびホスト ファイルのエントリをインストールする必要があります。このドキュメントでは、必要な証明書のインストール方法を示し、その代わりに使用できる証明書のインストールに使用する手順を検討します。
開始する前に
CardSpace サンプルのセットアップの前に「One-Time Setup Procedure for the Windows Communication Foundation Samples」に示されたインストールが正常に完了していることが前提となります。
サンプルのクイック インストール
証明書をインストールするには、Web サイトの仮想ホストを作成してホスト エントリを同時作成し、サンプル ディレクトリ内の Setup.bat バッチ ファイルを実行します。これにより、各スクリプトが 1 つずつ実行されます。
すべてをアンインストールするには、サンプル ディレクトリ内の Cleanup.bat バッチ ファイルを実行します。これにより、スクリプト、Web サイト、およびホスト エントリがアンインストールされます。ただし、ファイルは削除されません。
証明書について
このドキュメントでは、必要な証明書のインストール方法を示します。証明書の詳細については、次のドキュメントを参照してください。
CA 証明書の詳細については、次のドキュメントを参照してください。
要件
このチュートリアルは、Windows XP SP2、Windows Server 2003 SP1、および Windows Vista 用に作成されています。次のコンポーネントをインストールする必要があります。
Microsoft .NET Framework 3.0
IIS 5.0 (Windows XP SP2)、IIS 6.0 (Windows Server 2003)、または IIS 7.0 (Windows Vista)
メモ : |
---|
Windows Vista の場合、IIS 6.0 互換性サポートが IIS 7.0 と共にインストールされていることを確認してください。 |
証明書フォルダには、次の証明書があります。
Web サイト フォルダには、次のファイルがあります。
images\adatum.gif
images\contoso.gif
images\fabrikam.gif
crldata\adatum.crl
CardSpace\default.html
スクリプト フォルダには、次のスクリプト ファイルがあります。
Install-certificates.vbs
Remove-certificates.vbs
Install-website.vbs
Remove-website.vbs
Install-hosts.vbs
Remove-hosts.vbs
これらの証明書について
ここに示す証明書は、デモンストレーション用にのみ作成されたものです。ルート CA 証明書は、.sst (Microsoft シリアル化された証明書ストア) ファイルとして格納されています。Web サイトの証明書は、すべて .pfx ファイルとして格納されています。これらの証明書は、ブラウザ シナリオと Windows Communication Foundation (WCF) シナリオという 2 つのカテゴリのシナリオに使用されます。
サンプル証明書は、ロゴ イメージが埋め込まれている高保証証明書です。高保証 (HA: High Assurance) 証明書は、追加手順を実行して証明書の発行対象を検証した CA から発行されます。Internet Explorer 7.0 では、これらの HA 証明書が表示されると、アドレス バーの色が変わります。ブラウザが証明書の詳細を検証でき、証明書が確認された場合、アドレス バーは次のように緑色に戻ります。
HA 証明書かどうかにかかわらず証明書の検証中に問題が発生した場合は、Internet Explorer 7.0 のアドレス バーは次のように黄色に変わります。
さらに、Internet Explorer 7.0 でフィッシング サイトが疑われる場合、アドレス バーは次のように赤色に変わります。
正規の SSL 証明書が表示された場合、アドレス バーは白色のままです。
ロゴ拡張を使用すると、CA でグラフィック イメージを証明書に埋め込み、証明書を検証する URL を提供することができます。サンプル証明書に含まれるロゴ グラフィックの URL は、http://www.adatum.com/images/<logo>.gif に設定されます。ここで、<logo> は該当するロゴの名前を示します。
Internet Explorer 7.0 ブラウザ シナリオと WCF シナリオでは、証明書を Web サーバー上にインストールし、グラフィック ロゴを IIS の仮想ディレクトリの下にセットアップする必要があります。さらに、ホスト ファイルを、サンプルのドメイン名 (Fabrikam、Contoso、および Adatum) が含まれるように変更する必要があります。
すべてのシナリオにおいて、複数のコンピュータ間でサンプルを使用するには、メモ帳を使用してホスト ファイルを編集することによって、次のように c:\windows\system32\drivers\etc\hosts ファイルを手動で変更します。
次のエントリを追加します (サーバーの IP アドレスは、127.0.0.1 の代わりに該当するアドレスに置き換えます)。
127.0.0.1 www.adatum.com adatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
サンプルの Web サイトと URL
サンプルのアプリケーションと Web サイトは、既定の Web アプリケーションの下に IIS の仮想ディレクトリを作成します。www.fabrikam.com、www.adatum.com、www.contoso.com のすべてが同じ Web サーバーを共有できるように、この仮想ディレクトリをポート 80 にバインドして、ホスト ヘッダーを使用しないようにする必要があります。SSL チャネルは www.fabrikam.com の証明書にバインドされ、HTTPS 接続に使用されます。個々のサンプルで、例となる仮想ディレクトリが既定の Web サイトに作成されます。
証明書のインストール
架空の CA (Adatum) のルート CA 証明書は、ローカル コンピュータ ストアの "信頼されたルート証明機関" の場所にインストールする必要があります。(localMachine:root
).
会社の証明書 (Contoso および Fabrikam) は、ローカル コンピュータ ストアの "Personal" の場所 (localMachine:My) にインストールする必要があります。すべての .pfx ファイルのパスワードは空白です。スクリプト フォルダの Install-certificates.vbs スクリプトを実行します。このスクリプトにより、証明書が適切なストアにインストールされます。スクリプトを実行すると、続行する前に次のような確認メッセージが表示されます。
さらに、CAPICOM からのセキュリティ上の予防措置として、CA 証明書がインストールされるという警告がスクリプトによって表示される場合があります。証明書を受け入れて続行します。
スクリプトでは、DEBUG と VERBOSE という、2 つのオプションのコマンド ライン パラメータもサポートされています。これらのパラメータにより、スクリプトの実行中に追加情報が提供されます。
上級ユーザー : Microsoft 管理コンソールを使用して証明書を手動でインストールします。
グラフィック ロゴと CRL のインストール
証明書内のロゴ拡張用のグラフィック イメージは、検証を目的としてクライアント側で利用できる必要があります。
会社名 | URL | イメージ |
---|---|---|
Adatum |
http://www.adatum.com/images/adatum.gif |
<Datum-Image> |
Contoso |
https://www.contoso.com/images/contoso.gif |
<Contoso-Image> |
Fabrikam |
http://www.fabrikam.com/images/fabrikam.gif |
<Fabrikam-Image> |
スクリプト フォルダの Install-website.vbs スクリプトを実行します。このスクリプトにより、証明書のロゴと証明書失効リスト (CRL) 用の仮想ディレクトリが作成されます。
上級ユーザー : IIS MMC スナップインを使用して、手動で仮想ディレクトリを作成します。インストール フォルダ内部のフォルダを指す 3 つのディレクトリを、次の表に示します。
仮想ディレクトリ | パス |
---|---|
crldata |
.\website\crldata |
CardSpace |
.\website\CardSpace |
イメージ |
.\website\images |
ホスト ファイルの変更
サンプルでは、URL がローカル コンピュータに解決されるように、c:\windows\system32\drivers\etc\hosts ファイルを変更します。
スクリプト フォルダの Install-hosts.vbs スクリプトを実行します。このスクリプトにより、サンプルのホスト ファイルにエントリが作成されます。
上級ユーザー : c:\windows\system32\drivers\etc\hosts ファイルを編集して次の行を追加することにより、手動でエントリを作成します。
127.0.0.1 www.adatum.com atatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
正常なインストールの検証
ホスト ファイルと仮想 Web ディレクトリがインストールされたことを検証するには、Internet Explorer を使用して http://www.fabrikam.com/CardSpace に移動します。ブラウザには、サンプルの既定のページが表示されます。
IIS: 証明書の秘密キーの ACL
IIS で証明書の秘密キーにアクセスするには、ACL が IIS サービス アカウント (Windows XP と Windows Vista では ASPNET、Windows Server 2003 では NETWORK SERVICE) に対して設定され、ファイルの読み取りアクセス権限を持つ必要があります。これは、証明書のインストール スクリプトによって処理されます。他の証明書の秘密キーに対する権限を設定するには、Windows SDK の Findprivatekey.exe と Cacls.exe を使用して、他の証明書のサムプリントで次のように置き換えます。
findprivatekey.exe my localmachine -t "d47de657fa4902555902cb7f0edd2ba9b05debb8" –a
ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120cacls
cacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120 /G ASPNET:R
Are you sure (Y/N)?y
processed file: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120
アンインストール
サンプル証明書、仮想ディレクトリ、およびホスト エントリをアンインストールするには、次のスクリプトを実行します。
Remove-certificates.vbs
Remove-website.vbs
Remove-hosts.vbs
証明書、Web サイト、およびホストの登録が削除されます。
メモ : |
---|
ファイルは、インストール ディレクトリからは削除されません。 |
CA 証明書がシステムから削除されると、スクリプトによって次のメッセージが表示される場合があります。
[Yes] をクリックして証明書を削除します。
トラブルシューティング
Internet Explorer のプロキシ設定 : ブラウザのサンプルが正しく動作するには、次の設定を Internet Explorer に追加して、プロキシをバイパスする必要があります。
www.fabrikam.com;fabrikam.com;www.contoso.com;contoso.com;adatum.com;
www.adatum.com;woodgrovebank.com;www.woodgrovebank.com
自動検出されたプロキシを使用する場合は、自動検出をオフにして、手動でプロキシ情報を入力します。プロキシ構成の詳細については、システム管理者に問い合わせてください。
証明書が正しく変更されたことを確認しているときに問題が発生した場合は、Internet Explorer で SSL 証明書のキャッシュを消去します。Internet Explorer で、[ツール]、[インターネット オプション] の順にクリックし、[SSL 状態のクリア] をクリックして、Internet Explorer のすべてのインスタンスを閉じます。
Internet Explorer 7.0 ブラウザ シナリオでは SSL 接続を使用するので、SSL 証明書で既定の Web サイトをセットアップする必要があります。多くの場合、SSL 接続のトラブルシューティングには時間がかかりますが、いくつかのポップ ヒントを使用することにより、問題のほとんどを簡単に解決することができます。
まず、「IIS 用 SSL 診断ユーティリティのダウンロード」に示されるダウンロードを行います。
メモ : |
---|
このドキュメントに表示されているすべてのスクリーン ショットは、Windows Vista を実行しているコンピュータのものです。旧バージョンのオペレーティング システムを実行している場合は、ダイアログなどが若干異なる形式で表示される場合があります。 |
関連項目
その他の技術情報
Using CardSpace in Windows Communication Foundation
このトピックに関するコメントを Microsoft に送信する。
Copyright © 2007 by Microsoft Corporation.All rights reserved.