【WP for ITPro】Windows Phone とルート証明書の関係、自己署名証明書のインストール方法

ちょっと面倒な証明書のお話し。 ■標準で実装されているルート証明書 Windows Phone に標準で実装されているルート証明書は以下の通りです。 ※詳細は SSL Root Certificates for Windows Phone AOL (United States) RSA Security (United States) Comodo (United States) SECOM Trust Systems Co. Ltd (Japan) DigiCert (United States) Taiwan-CA Inc. (Taiwan) Entrust (Canada) TrustCenter (Germany) GlobalSign (United Kingdom) Trustwave (United States) GoDaddy (United States) VeriSign (United States) Keynectis (France) VeriSign Business (United…


【Azure for ITPRO】自己署名証明書を作成する

ITPRO にとっての Windows Azure Platform は、ハードウェアなどの日常メンテ業務から解放されることが着目されがちですが、実を言えばすこし面倒(?)な事態も発生します。それは、これまで敬遠しがちだったテクノロジーに正面(とはいわず斜め前くらい)から向き合わなければならない…という点です。その1つが、「証明書」です。 過去の Azure for ITPRO シリーズも参考にしてください。 【Azure for ITPRO】サービス証明書の準備 – フィールドSEあがりの安納です – Site Home – TechNet Blogs 【Azure for ITPRO】証明書の管理について – フィールドSEあがりの安納です – Site Home – TechNet Blogs 【Azure for ITPRO】SQL Azure のデータベースを Create Database を使用してコピーする – フィールドSEあがりの安納です – Site Home – TechNet Blogs 先の投稿でも触れている通り、Windows Azure 上のサービスに展開したアプリケーションを SSL 対応にするには、「サービス証明書(.pfx)」と呼ばれる証明書ファイルを準備しておく必要があります。 ただ、ちょっとテストがしたい…など正式な証明書の発行を待てない場合には、とりいそぎ自己署名証明書を使用したいはずです。…

2

【Azure for ITPRO】サービス証明書の準備

昨日以下の投稿をしました。この記事では既に証明書が存在するものとして書いてしまいましたが、よくよく考えてみれば「証明書を取得するまで」が結構不明な点が多かったりしますよね。 【Azure for ITPRO】証明書の管理について ということで、今回はサービス証明書の準備手順についてまとめておきます。サブスクリプション証明書については問題ないですよね。 Windows Azure 上にアプリケーションを展開した場合、その URL は以下の通りです。 http://hogehoge.cloudapp.net/~~ SSLを使用する場合、hogehoge.cloudapp.net で証明書を取得する必要がありますが、何を隠そう cloudapp.net は Microsoft 管理の CN であるため、認証局(たとえば Verisign 社)からは「Microsoft の CSR(Certificate Signing Request)をよこせ」と言われてしまいます。つまり、事実上 hogehoge.cloudapp.net では証明書を取得できない..ということになります。 じゃどうするか?2つの方法があります。 とりいそぎ自己署名証明書を作成して使用する 別名を使用する いますぐテストしたい!場合には自己署名証明書が手軽ですね。自己署名証明書を作成するには MakeCert コマンドと Pvk2pfx コマンドを使用しますが、これについては別投稿でまとめます。 別名を使用する…とは、要は CNAME を使用するってことです。hogehoge.cloudapp.net では証明書を取得できないので、自社ドメインに即した名称(hogehoge.anno.com とか)を使用し、こいつで証明書を取得することになります。つまり、利用者がアクセスする場合には、 https://hogehoge.anno.com/ という url を使用することになるわけで、当然利用者には この url を案内しなければなりません。 証明書を取得するまでの手順を簡単にまとめると以下の通りです。証明書取得の経験のある方ならば、なんら難しいことではないですよね。 CNAME を決定し、外向けの DNS に登録します CSR(Certificate Signing Request)を生成します…


【Azure for ITPRO】証明書の管理について

2010.9.2 証明書の準備について追記しました Tech・Ed 2010 が終わり、ひとまず年度初めの一区切りといった感じです。 さて、今年度の私の大きなテーマは、Windows Azure Security & Management です。BLOG の投稿も、このあたりの情報が増えると思います。何かリクエストがあればぜひお送りください。 今回は Windows Azure における証明書の管理ついて解説しておきたいと思います。以下はMSDNの記事なのですが、実際にこのあたりの管理を行うのはインフラ屋さんですよねぇ(今後 TechNet にもクラウド情報をガンガン掲載していく予定です。MSDN になんか負けないぞ!っと) Managing Service Certificates(英語です。すんません。) http://msdn.microsoft.com/en-us/library/ff793095.aspx 上記の記事から、ITPROに必要な部分を抜き出して解説します。 Windows Azure で管理される証明書は2種類あります。「サブスクリプション証明書」と「サービス証明書」です。これらはいずれも俗にいう「サーバー証明書」ではありますが、使用する目的と管理方法が異なっています。 ■サブスクリプション証明書 「サブスクリプション」とは、要は課金対象となる Windows Azure アカウントのことです。利用者はサブスクリプションにWindows Live ID を使用してログオンし、Windows Azure Portal 画面からホストサービスを追加したり、削除したり、ストレージアカウントを追加したり…各種操作を行うことができます。 では、そうした操作を独自のプログラムから行う場合にはどうしたらよいでしょう? Windows Azure には、開発者用にサービス管理 API(SMAPI)という専用の REST APIが用意されています。開発者は、SMAPI を使用して独自の管理プロセスを作成することができますが、アプリケーションと SMAPI の通信には SSL が必須となります。このときに使用されるのがサブスクリプション証明書 です。 サブスクリプション証明書は X.509 V3(.CER)に対応し、最低 2048…