1 年以上有効な自己署名入り証明書を作成する方法 - WKB200306

目的または目標

1 年以上有効な自己署名証明書を作成します。このような証明書は本番システムには理想的ではありませんが、場合によっては、少なくともお客様が社内 CA またはサードパーティ CA からサーバーの証明書を取得できるまでは、展開のための最適なオプションとなります。自己署名入り証明書は、通常は 1 年間有効ですが、このプロセスでは任意の期間の有効期間で生成できます。

環境

• Windows Server 2012、2016、2019

手順

PowerShell v4.0 以降では：

1. 管理者権限で PS コンソールを開きます。
2. コンソールで以下のコマンドを実行します。これにより、マシンの完全修飾ドメイン名を［Issued To］（発行先）、［Issue By］（発行者）、および［Subject Alternative Name］（サブジェクトの代替名）として使用して、新しい自己署名入り証明書が生成されます。現在の日付から 3 年間有効。2048 ビットのキー長の使用。およびマシンの FQDN としての「フレンドリー名」。これは「LocalMachine\Personal」証明書ストアに保存され、［IIS マネージャ］\［サーバー証明書］で自動的に表示されます。

• New-SelfSignedCertificate -FriendlyName ([System.Net.Dns]::GetHostEntry("").HostName) -DnsName ([System.Net.Dns]::GetHostEntry("").HostName) -KeyUsage DigitalSignature,keyEncipherment -KeyLength 2048 -NotBefore (Get-Date) -NotAfter (Get-Date).AddYears(3) -CertStoreLocation Cert:\LocalMachine\My

追加情報

このツールは、HTTPS およびホスト名を介してサーバーにアクセスできる必要がある稀な場合に、完全修飾ドメイン名ではなくホスト名に対して発行される証明書を作成することもできます。

PowerShell New-SelfSignedCertificate cmdlet の使用は、他の既知のメソッドよりも証明書のプロパティをはるかに管理できるため、他のメソッドよりも推奨されます。特に、Web サーバーからの証明書の Key Usage（キーの使用）に「DigitalSignature」（デジタル署名）が含まれていない場合、一部の Web ブラウザーで自己署名証明書が拒否されます。cmdlet により、生成された各証明書を正確に管理できます。