[HOWTO] Web サイトにアクセスするすべてのクライアントの SSL を有効にする方法

文書翻訳 文書翻訳
文書番号: 298805 - 対象製品
この記事は、以前は次の ID で公開されていました: JP298805
すべて展開する | すべて折りたたむ

目次

概要

この資料では、以下の項目について説明しています。
  • Web サイトが有効であり、送信する情報が非公開で機密が守られることをクライアントが確信できるようにするために、サーバー証明書をセットアップし、有効にする方法
  • サードパーティの証明書を使用して、SSL (Secure Sockets Layer) を有効にする方法、およびサードパーティの証明書の取得に使用する証明書署名要求 (CSR) の作成手順の概要
  • Web サイトへの SSL 接続を有効にする方法
  • すべての接続に SSL を強制し、クライアントと Web サイト間に必要な暗号化の長さを設定する方法
Web サーバーの SSL セキュリティ機能は 2 種類の認証に使用できます。"サーバー証明書" を使用することで、ユーザーがクレジット カード番号などの個人情報を送信する前に、Web サイトをユーザーに対して認証させることができます。また、"クライアント証明書" を使用して、Web サイト上の情報を要求するクライアントを認証することもできます。

この資料では、サードパーティの証明機関 (CA) を使用して、Web サーバーを認証させることを前提としています。

SSL サーバーの証明書の認証を有効にし、クライアントが希望するセキュリティのレベルを確保するには、サードパーティの CA から証明書を取得する必要があります。サードパーティの CA によって組織に発行された証明書は、一般に Web サーバー、より具体的に言うと、SSL をバインドする Web サイトに関連付けられます。インターネット インフォメーション サービス (IIS) サーバーで独自の証明書を作成することもできますが、その場合、クライアントから証明機関として暗黙的に信頼されている必要があります。

この資料では、以下を前提としています。
  • IIS がインストールされています。
  • SSL で保護する Web サイトを既に作成し、公開しています。

証明書の取得

証明書を取得するには、まず CSR を作成する必要があります。これは、IIS 管理コンソールから行います。そのため、CSR を作成する前に、IIS をインストールしておく必要があります。CSR は基本的に、サードパーティ CA からの証明書を要求する場合に、サーバー上で作成し、サーバーに関するコンピュータ固有の情報の正当性を確認する証明書です。CSR は公開キーと秘密キーの組み合わせで暗号化された単なるテキスト メッセージです。

一般に、作成する CSR には、コンピュータに関する以下の情報が含まれます。
  • 組織名
  • 部門
  • 都道府県
  • 所在地
  • 一般名

    : 一般名は、xyz.com など、通常ホスト コンピュータ名とそのコンピュータが属するドメインから構成されます。この例では、コンピュータは .com ドメインに属し、XYZ という名前が付けられています。これは企業ドメインのルート サーバーや単なる Web サイトでもかまいません。

CSR の作成

  1. IIS Microsoft 管理コンソール (MMC) にアクセスします。これを行うには、[マイ コンピュータ] を右クリックし、[管理] をクリックします。これにより、[コンピュータの管理] コンソールが開きます。[サービスとアプリケーション] を展開し、[インターネット インフォメーション サービス] (または [インターネット インフォメーション サービス (IIS) マネージャ]) を見つけて、IIS コンソールを展開します。
  2. サーバー証明書をインストールする特定の Web サイトを選択して、サイトを右クリックし、[プロパティ] をクリックします。
  3. [ディレクトリ セキュリティ] タブをクリックします。[セキュリティで保護された通信] の [サーバー証明書] をクリックします。これにより Web サーバー証明書ウィザードが起動します。[次へ] をクリックします。
  4. [証明書の新規作成] をクリックし、[次へ] をクリックします。
  5. [証明書の要求を作成して後で送信する] をクリックして、[次へ] をクリックします。
  6. [名前] フィールドに、覚えやすい名前を入力します。これは CSR を生成する Web サイトのデフォルトの名前になります。

    : CSR を作成する場合、ビット長を指定する必要があります。暗号化キーのビット長によって、サードパーティ CA に送信する暗号化された証明書の強度が決まります。ビット長が大きいほど暗号化の強度が高くなります。ほとんどのサードパーティ CA では、最低 1,024 ビットが推奨されています。

  7. [組織に関する情報] には、組織と組織単位の情報を入力します。これらの資格情報はサードパーティ CA に渡すため、正確かつ、CA の証明書のライセンスに準拠している必要があります。[次へ] をクリックして、[サイトの一般名] を開きます。
  8. [サイトの一般名] は、証明書を Web サイトにバインドする役割を持ちます。SSL 証明書の場合、ホスト コンピュータ名にドメイン名を付けて入力します。イントラネット サーバーの場合、サイトをホストしているコンピュータの NetBIOS 名を使うことができます。[次へ] をクリックして、地理情報のページを開きます。
  9. 国または地域、都道府県、市区町村の情報を入力します。国または地域、都道府県、市区町村はすべて正確に入力し、略語は使用しないでください。[次へ] をクリックします。
  10. ファイルを .txt ファイルとして保存します。実際に要求を CA に送信する場合、このファイルの内容を要求に貼り付ける必要があります。このファイルは暗号化され、内容にヘッダーとフッターが付けられます。証明書を要求する場合は、このヘッダーとフッターの両方を含める必要があります。CSR は次のようになっています。
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG
    A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v
    cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
    gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f
    IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI
    JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw
    GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G
    A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C
    AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh
    AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp
    AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8
    MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi
    TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA
    AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o
    MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M
    GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj
    Jb9/2RM=
    -----END NEW CERTIFICATE REQUEST-----
    					
  11. 要求の詳細を確認します。[次へ] をクリックして終了し、Web サーバー証明書ウィザードを終了します。

証明書の要求

要求を提出する別の方法もあります。選択した証明書のプロバイダに連絡し、証明書を要求して受け取り、ニーズに適した証明書のレベルを決定することもできます。

証明書のインストール

サードパーティ CA 側でサーバー証明書の要求に対する処理が完了したら、電子メールまたはダウンロード サイトからそれを受け取ります。証明書は、セキュリティ保護された通信を提供する Web サイトにインストールする必要があります。

証明書をインストールするには、以下の手順を実行します。
  1. キーの暗号化を解除できるのは、以前に作成した秘密キーのみです。証明書キー (これは先に作成したキーと一見よく似ています) のテキストをコピーし、.txt 文書に貼り付けます。必ず証明書のヘッダーとフッターを含めます。ファイルを Cert.txt という名前で保存します。
  2. 「CSR の作成」に記載されている方法で IIS MMC を開きます。
  3. 証明書をインストールする Web サイトの [プロパティ] ダイアログ ボックスを開きます。
  4. [ディレクトリ セキュリティ] タブをクリックし、[サーバー証明書] をクリックします。これにより、Web サーバー証明書ウィザードが起動します。[次へ] をクリックします。
  5. [保留中の要求を処理し、証明書をインストールする] をクリックし、[次へ] をクリックします。
  6. 手順 1. で保存したテキスト ファイルを参照します。[次へ] を 2 回クリックして、[完了] をクリックします。

SSL 接続の強制

サーバー証明書がインストールされたので、Web サーバーのクライアントに SSL でセキュリティ保護されたチャネル通信を強制することができます。まず Web サイトとのセキュリティで保護された通信用に、ポート 443 を有効にする必要があります。これを行うには、以下の手順を実行します。
  1. コンピュータの管理コンソールから、SSL を強制する Web サイトを右クリックし、[プロパティ] をクリックします。
  2. [Web サイト] タブをクリックします。[Web サイトの識別] の [SSL ポート] フィールドに数値 "443" があらかじめ入力されていることを確認します。
  3. [詳細] (または [詳細設定]) をクリックします。2 つのフィールドが表示されます。Web サイトの IP アドレスとポートが、既に [この Web サイトの複数の SSL ID] フィールドに表示されています。[この Web サイトの複数の SSL ID] フィールドの下に、ポート 443 が表示されていなければ、[追加] をクリックします。サーバーの IP アドレスを選択し、[SSL ポート] フィールドに数値「443」を入力します。[OK] をクリックします。
これでポート 443 が有効になったため、SSL 接続を強制できます。これを行うには、以下の手順を実行します。
  1. [ディレクトリ セキュリティ] タブをクリックします。[セキュリティで保護された通信] の [編集] が有効になっています。[編集] をクリックします。
  2. [セキュリティで保護されたチャンネル (SSL) を要求する] チェックボックスをオンにします。

    : 128 ビット暗号化を指定した場合、40 ビットまたは 56 ビットの強度のブラウザを使用するクライアントは、暗号化強度をアップグレードしない限り、サイトと通信できなくなります。
  3. ブラウザを開き、標準 http:// プロトコルを使用して、Web サーバーに接続してみます。SSL が強制されている場合、次のエラー メッセージが表示されます。
    ページは、セキュリティ チャンネルを通して表示される必要があります。
    表示しようとしているページには、アドレスに "https" を使用する必要があります。

    以下の操作を行ってください : 表示先のアドレスの先頭に https:// を入力し、やり直してください。HTTP 403.4 - 許可されていません : SSL が必要です。
    テクニカル情報 (サポート担当者用) 背景 : このエラーは、アクセスしようとしているページが Secure Sockets Layer (SSL) で保護されていることを示しています。
    または
    このページはセキュリティで保護されたチャネルで表示する必要があります
    アクセスしようとするページは、SSL (Secure Sockets Layer) で保護されています。

    対処方法
    アクセスしようとするアドレスの先頭に「https://」と入力して Enter キーを押してください。
    HTTP エラー 403.4 - アクセスは許可されていません : このリソースを表示するには SSL が必要です。

    技術情報 (サポート担当者用)
    「Microsoft 製品サポート サービス」で、"HTTP" および "403" の文字列によりタイトルを検索してください。
    IIS マネージャ (inetmgr) からアクセスできる IIS の [ヘルプ] を開き、「セキュリティについて」、「SSL (Secure Sockets Layer)」、および「カスタム エラー メッセージについて」というトピックを検索してください。
    これで、https:// プロトコルを使用した場合にのみ Web サイトに接続できるようになりました。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 298805 (最終更新日 2003-04-24) を基に作成したものです。

プロパティ

文書番号: 298805 - 最終更新日: 2003年7月28日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 6.0
キーワード:?
kbhowtomaster KB298805
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com