無料SSLのStartSSLを利用してWindows Azureにhttpsでアクセスできるようにする手順を紹介します。

VerisignやGetTrust、GlobalSignなどの他の認証機関を利用する場合は、項番1～5をその認証機関の方法に読み替え、6以降を実施してください。

1. StartSSL証明書を取得する
   1. https://www.startssl.com/?app=12にアクセス
   2. Signupをクリック
      
   3. 必要な情報を入力
      
   4. 登録したメールアドレス宛てにAuthentication Codeが届くので入力
      
   5. 暗号化の強度を選択
      
   6. デジタル証明書の操作を実行
      
   7. 証明書をインストール
      
   8. SSL証明書を取得完了
      
2. 証明書をバックアップする
   Internet Explorer 9で証明書を取得した場合の、証明書のバックアップ方法
   1. IEのインターネットオプションの「コンテンツタブ」の「証明書」をクリック
   2. 発行者が「StartCom Class 1 Primary Intermediate Client CA」となっている証明書を選択し「エクスポート」
      
   3. 証明書のエクスポートウィザードに従ってエクスポート
      1. 秘密キーのエクスポート：はい
      2. エクスポートのファイル形式
         • Personal Information Exchange – PKCS #12 (.PFX)
           • ☑ 証明のパスにある証明書を可能であればすべて含む
           • □ 正しくエクスポートされたときは秘密キーを削除する
           • ☑ すべての拡張プロパティをエクスポートする
      3. 証明書を保護するパスワードを入力(任意の文字列)
      4. エクスポート先のファイル名を入力
3. ドメインを認証する
   1. 「Validations Wizard」を開始
      
   2. 「Domain Name Validation」を選択
      
   3. 証明書を取得するドメインを入力（ここではwwwなどのサーバー名は不要）
      
   4. 管理者のメールアドレスを選択
      
   5. 管理者宛てに届いたメールからVerification Codeを入力
      
   6. ドメインの認証が完了
      
4. Web Serverの証明書を作成する
   1. 「Certificates Wizard」を開始
      
   2. 「Web Server SSL/TLS Certificate」を選択
      
   3. 秘密キーファイルのパスワードを作成する（10文字以上、35文字以下、英数字のみ）
      既に秘密キーファイルがあるならスキップ可能
      
   4. プライベートキーが文字列で表示されるので、テキストエディタにコピー&ペーストしssl.keyとして保存
      
   5. ドメインを選択
      
   6. httpsアクセスさせたいサブドメインを入力
      
   7. ドメインとサブドメインの確認
      
   8. 証明書が文字列で表示されるので、テキストエディタにコピー&ペーストしssl.crtとして保存
      
   9. Web Serverの証明書の作成が完了
      
5. IIS用の証明書に変換する
   1. 「Tool Box」をクリック
      
   2. 「Create PKCS#12 (PFX) File」をクリック
      
   3. キー、証明書、パスワードを入力
      
      • Enter Private Key : ssl.keyとして保存した文字列
      • Enter Certificate : ssl.crtとして保存した文字列
      • Provide a password : 秘密キーファイルのパスワードとして設定した文字列
   4. 「Get PFX >>」をクリックしてPKCS#12 (PFX)ファイルをダウンロード
      「{ランダムな文字列} .p12」というファイル名で保存される
      
6. PKCS#12 (PFX)ファイルをデプロイパッケージ作成PCのIISの証明書ストアにインポートする
   1. インターネットインフォメーションサービス（IIS）マネージャを起動
   2. ツリーからサーバーを選択し、「サーバー証明書」をダブルクリック
      
   3. 操作の「インポート」をクリック
      
   4. 変換した証明書ファイル(*.p12)を選択しパスワードを入力
      
   5. 証明書ストアへのインポートが完了
7. 証明書をAzureプロジェクトに組み込む
   1. Webロールの証明書の追加
      1. 「証明書の追加」をクリックし、作成された行のサムプリントの「…」をクリック
         
      2. 証明書の選択画面で「StartCom PFX Certificate」を選択
         ※「証明書のプロパティを表示します」 で表示される証明書の詳細画面で、発行先がWeb Serverの証明書作成時に指定したものになっていることが確認できる
         
   2. httpsエンドポイントの追加
      1. 「エンドポイントの追加」をクリックし作成された行に以下を設定
         
         • プロトコル : https
         • パブリックポート : 443
         • SSL証明書の名前 : 証明書の設定画面で追加したWebロールの証明書につけられた名前を選択
8. 証明書をAzure管理ポータルでアップロード
   • ファイル選択画面には証明書の拡張子がpfxのファイルしか表示されないが、ファイル名欄に「*.p12」としてEnterしてすることでアップロードする証明書が表示されるようになる
9. パッケージをデプロイ
10. httpsアクセスさせたいサブドメインへのアクセスがデプロイしたAzure環境にアクセスされるように、DNSサーバーのcnameレコードを設定する
11. DNSの設定が反映されたらhttpsでアクセスしてみる
    （DNSの設定が反映されるまでの間は、hostsファイルにVIPを指定して試してみてもよい）

タグ: Azure, https, SSL, 証明書