# TLS サーバー証明書 {% hint style="warning" %} SCEPman Enterprise Edition のみ {% endhint %} SCEPman Certificate Master の Web UI を介して、秘密鍵を含む X.509 サーバー証明書を生成できます。このオプションを使用すると、複数のドメイン名向けの TLS 証明書を簡単に生成できます。これらの証明書は、Web サーバーで HTTPS による通信を有効にするため、またはディレクトリサーバーで LDAPS を有効にするために使用できます。さらに、Active Directory Domain Controllers でも使用できますが、Domain Controllers については、特別な [Domain Controller 証明書](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/domain-controller-certificates)を発行するオプションもあり、これは LDAPS に使用できます。 {% hint style="warning" %} このページから移動すると、パスワードはもうアクセスできなくなることに注意してください。 {% endhint %} ### 証明書署名要求を使用してサーバー証明書を発行するアプライアンスまたはサーバーから取得した、または OpenSSL のような外部ツールで作成した証明書署名要求 (CSR) を送信します。 1. プレーンテキストの証明書署名要求を貼り付けるか、CSR ファイルを貼り付けてください。 2. 送信してサーバー証明書をダウンロードします。

### フォームを使用してサーバー証明書を発行するこのフォームでは、鍵ペア（秘密鍵と公開鍵）および関連する証明書を作成し、パスワード保護されたファイルとしてダウンロードできます。ファイルをサーバーまたはアプライアンスにコピーし、このページで提供されたパスワードを使用してインストールできます。クライアントがサーバーにアクセスできる DNS 名を入力してください。クライアントが警告なしで TLS 接続（HTTPS/LDAPS/FTPS など）を確立できるように、これらは一致している必要があります。最初の Subject Alternative Name (SAN) が証明書のサブジェクトの Common Name (CN) になります。 1. に移動する **新しいサーバー証明書** SCEPman Certificate Master の上部メニューにある 2. 証明書を有効にするすべての完全修飾ドメイン名 (FQDN) を、カンマ、セミコロン、または改行で区切って入力してください。これらのエントリは、証明書の Subject Alternative Names 拡張に DNS エントリとして追加されます。 3. をクリックします **送信** すべてのドメイン名を入力すると、数秒後に証明書が発行され、ブラウザーが秘密鍵を含む証明書を PKCS#12/PFX 形式で自動的にダウンロードします。PKCS#12 ファイルは、画面に表示されるパスワードで暗号化されています。必要なシステムには、そのパスワードを使って PKCS#12 を直接インポートできます。必要に応じて、相互認証シナリオ（例: mTLS）のために、 **クライアント認証** EKU を証明書に含めることを選択できます。

一部のシステムは秘密鍵を含む証明書をインポートできますが、PKCS#12 は受け付けません。OpenSSL などの標準ツールを使用して、PKCS#12 ファイルを他の形式に変換できます。たとえば、ターゲットシステムが証明書と秘密鍵を含む PEM ファイルを必要とする場合は、次のコマンドを使用できます: ```shell openssl pkcs12 -in INFILE.p12 -out OUTFILE.crt ```