IIS で Web サイトを操作するすべてのユーザーに対して SSL を有効にする

  • [アーティクル]

この記事では、Microsoft インターネット インフォメーション サービス (IIS) で Web サイトを操作するすべてのユーザーに対して Secure Sockets Layer (SSL) を有効にする方法について説明します。

元の製品バージョン:インターネット インフォメーション サービス
元の KB 番号: 298805

概要

この記事には、次のトピックが含まれています。

  • Web サイトが有効であること、およびユーザーが送信するすべての情報がプライベートで機密性の高いままであることを顧客が確実に確認できるように、サーバー証明書を設定して有効にする方法。
  • サード パーティの証明書を使用して Secure Sockets Layer (SSL) を有効にする方法と、サード パーティの証明書を取得するために使用される証明書署名要求 (CSR) の生成に使用されるプロセスの一般的な概要。
  • Web サイトの SSL 接続を有効にする方法。
  • すべての接続に SSL を適用し、クライアントと Web サイトの間で必要な暗号化の長さを設定する方法。

Web サーバーの SSL セキュリティ機能は、2 種類の認証に使用できます。 サーバー証明書を使用すると、ユーザーがクレジット カード番号などの個人情報を送信する前に Web サイトを認証できます。 また、 クライアント証明書 を使用して、Web サイトの情報を要求するユーザーを認証することもできます。

この記事では、サード パーティの証明機関 (CA) を使用して、Web サーバーの認証を提供することを前提としています。

SSL サーバー証明書の検証を有効にし、顧客が望むセキュリティ レベルを提供するには、サード パーティの CA から証明書を取得する必要があります。 サードパーティ CA によってorganizationに発行される証明書は、通常、Web サーバーに関連付けられ、より具体的には SSL をバインドする Web サイトに関連付けられます。 IIS サーバーを使用して独自の証明書を作成できますが、作成する場合は、クライアントが証明機関として暗黙的に信頼する必要があります。

この記事では、以下のことを前提にしています。

  • IIS がインストールされています。
  • SSL でセキュリティ保護する Web サイトを作成して発行しました。

証明書を取得する

証明書を取得するプロセスを開始するには、CSR を生成する必要があります。 これを行うには、IIS 管理コンソールを使用します。したがって、CSR を生成する前に IIS をインストールする必要があります。 CSR は基本的に、サードパーティの CA から証明書を要求するときにサーバーに関するコンピューター固有の情報を検証する、サーバーで生成する証明書です。 CSR は、公開キーと秘密キーのペアで暗号化された、単に暗号化されたテキスト メッセージです。

通常、生成する CSR には、コンピューターに関する次の情報が含まれます。

  • 組織
  • 組織単位
  • 国/地域
  • 都道府県/都道府県
  • 市区町村
  • 共通名

注:

一般的な名前は、通常、ホスト コンピューター名と、 xyz.com など、所属するドメインで構成されます。 この場合、コンピューターは .com ドメインの一部であり、 XYZ という名前です。 これは、企業ドメインのルート サーバーであるか、単に Web サイトである可能性があります。

CSR を生成する

  1. IIS Microsoft 管理コンソール (MMC) にアクセスします。 これを行うには、[ マイ コンピューター ] を右クリックし、[ 管理] を選択します。 コンピューター管理コンソールが開きます。 [ サービスとアプリケーション] セクションを 展開します。 IIS を見つけて、IIS コンソールを展開します。

  2. サーバー証明書をインストールする特定の Web サイトを選択します。 サイトを右クリックし、[プロパティ] を選択 します

  3. [ ディレクトリ セキュリティ ] タブを選択します。[ セキュリティで保護された通信 ] セクションで、[ サーバー証明書] を選択します。 これにより、Web サーバー証明書ウィザードが起動します。 [次へ] を選択します。

  4. [ 新しい証明書の作成 ] を選択し、[ 次へ] を選択します。

  5. [ 今すぐ要求を準備する] を選択しますが、後で送信して [ 次へ] を選択します。

  6. [ 名前 ] フィールドに、覚えておく名前を入力します。 既定では、CSR を生成する Web サイトの名前が使用されます。

    注:

    CSR を生成するときは、ビット長を指定する必要があります。 暗号化キーのビット長によって、サードパーティ CA に送信する暗号化された証明書の強度が決まります。 ビット長が長いほど、暗号化が強くなります。 ほとんどのサードパーティ CA は、1024 ビット以上を優先します。

  7. [組織情報] セクションで、organizationと組織単位の情報を入力します。 これらの資格情報をサード パーティの CA に提示しており、証明書のライセンスに準拠している必要があるため、これは正確である必要があります。 [ 次へ ] を選択して、[ サイトの共通名] セクションにアクセスします。

  8. [ サイトの共通名] セクションは、証明書を Web サイトにバインドする役割を担います。 SSL 証明書の場合は、ドメイン名を使用してホスト コンピューター名を入力します。 イントラネット サーバーの場合は、サイトをホストしているコンピューターの NetBIOS 名を使用できます。 [ 次へ ] を選択して地理情報にアクセスします。

  9. 国または地域、都道府県、市区町村または地域の情報を入力します。 州や都道府県、都市や地域を完全に綴ります。 また、省略形は使用しないでください。 [次へ] を選択します。

  10. ファイルを .txt ファイルとして保存します。

  11. 要求の詳細を確認します。 [ 次へ ] を選択して完了し、Web サーバー証明書ウィザードを終了します。

証明書を要求する

要求を送信する方法はさまざまです。 使用する方法と、ニーズに最適な証明書レベルを決定するには、任意の証明書プロバイダーに問い合わせてください。 CA に要求を送信するために選択した方法によっては、「CSR の生成」セクションの手順 10 から CSR ファイルを送信するか、このファイルの内容を要求に貼り付ける必要があります。 このファイルは暗号化され、内容のヘッダーとフッターが含まれます。 証明書を要求するときは、ヘッダーとフッターの両方を含める必要があります。 CSR は次のようになります。

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

証明書をインストールする

サード パーティの CA がサーバー証明書の要求を完了すると、電子メールまたはダウンロード サイトで受け取ります。 証明書は、セキュリティで保護された通信を提供する Web サイトにインストールする必要があります。

証明書をインストールするには、次の手順に従います。

  1. CA から取得した証明書をダウンロードするか、Web サーバーにコピーします。
  2. CSR の生成 」セクションの説明に従って IIS MMC を開きます。
  3. 証明書をインストールする Web サイトの [ プロパティ ] ダイアログ ボックスにアクセスします。
  4. [ ディレクトリ セキュリティ ] タブを選択し、[ サーバー証明書] を選択します。 これにより、Web サーバー証明書ウィザードが起動します。 [次へ] を選択します。
  5. [ 保留中の要求を処理して証明書をインストールする] を選択し、[ 次へ] を選択します。
  6. 手順 1 で保存した証明書の場所を参照します。 [ 次へ ] を 2 回選択し、[完了] を選択 します

SSL 接続を適用する

サーバー証明書がインストールされたので、Web サーバーのクライアントとの SSL セキュリティで保護されたチャネル通信を適用できます。 まず、Web サイトとの安全な通信のためにポート 443 を有効にする必要があります。 これを行うには、次の手順を実行します。

  1. コンピューター管理コンソールで、SSL を適用する Web サイトを右クリックし、[プロパティ] を選択 します
  2. [ Web サイト ] タブを選択します。[Web サイト の識別 ] セクションで、[SSL ポート] フィールドに数値 443 が入力されていることを確認します。
  3. [詳細設定] を選択します。 2 つのフィールドが表示されます。 Web サイトの IP アドレスとポートは、[この Web サイトの 複数の ID] フィールドに既に一覧表示されている必要があります。 [この Web サイトの 複数の SSL ID] フィールドで、[ポート 443 がまだ表示されていない場合は 追加] を選択します。 サーバーの IP アドレスを選択し、[SSL ポート] フィールドに数値 443 を入力します。 [OK] を選択します。

ポート 443 が有効になったので、SSL 接続を適用できます。 これを行うには、次の手順を実行します。

  1. [ ディレクトリ セキュリティ ] タブを選択します。[ セキュリティで保護された通信 ] セクションで、[ 編集] を使用できるようになりました。 [編集] を選択します。

  2. [ セキュリティで保護されたチャネル (SSL) が必要] を選択します。

    注:

    128 ビット暗号化を指定した場合、40 ビットまたは 56 ビットの強度ブラウザーを使用するクライアントは、暗号化強度をアップグレードしない限り、サイトと通信できません。

  3. ブラウザーを開き、標準の http:// プロトコルを使用して Web サーバーに接続してみてください。 SSL が適用されている場合は、次のエラー メッセージが表示されます。

    ページは、セキュリティで保護されたチャネル経由で表示する必要があります
    表示しようとしているページでは、アドレスに 'https' を使用する必要があります。
    次を試してください:到達しようとしているアドレスの先頭に「https://」と入力して、もう一度やり直してください。 HTTP 403.4 - 禁止: SSL が必要なインターネット インフォメーション サービス
    技術情報 (サポート担当者向け) 背景: このエラーは、アクセスしようとしているページが Secure Sockets Layer (SSL) で保護されていることを示します。

https:// プロトコルを使用してのみ Web サイトに接続できるようになりました。