space
目次 索引 前の章 次の章

第 5 章

サイトを侵入者から守る


セキュリティは、自分のワークグループのメンバーだけがアクセスする個人の Web サイトにおいても重要です。コンピュータをイントラネットに接続し、ドキュメントをネットワーク ユーザーが使用できるようにすると、ほかのユーザーが自分のコンピュータにアクセスして偶然または故意に障害を発生させることがあります。

Windows NT オペレーティング システムでは、侵入者から自分のシステムを守ることができます。 Peer Web Services は Windows NT セキュリティ機構に基づいて、監視やセキュリティ機能を提供します。この章では、Windows NT および Peer Web Services の各セキュリティ機構を自分のサイトで効果的に利用するために参考となる情報について説明します。この章には、コンピュータを公共のネットワークに接続する際に必ず理解しておくべき事柄が記述されています。不明な点については、Windows NT のマニュアルを参照するか、Microsoft 公認のソリューション プロバイダなどに問い合わせて問題を解決してから、サイトをインストールしてください。

この章では次の項目について説明します。


章の最初 Peer Web Services のセキュリティ機構の概要

Peer Web Services は、Windows NT セキュリティ機構に基づいています。Windows NT セキュリティ機構は、割り当てられたユーザー アカウントおよびパスワードを要求し、コンピュータとそのリソースを保護します。ユーザー アカウントの権限を制限することで、コンピュータのリソースへのアクセスを制御することができます。Windows NT ファイル システム (NTFS) を使うと、自分のコンピュータ上のフォルダおよびファイルに対する権限を割り当てることができます。フォルダおよびファイルへのアクセスを制御するには、ユーザーが、フォルダから、またはフォルダにファイルをコピーできないようにしたり、特定のフォルダ内のファイルを実行できないようにします。

Windows NT セキュリティ機能のほかに、インターネット サービス マネージャを使って、読み取り専用あるいは実行専用の仮想ディレクトリを設定することもできます。Peer Web Services では、SSL (Secure Sockets Layer) プロトコルが提供されているので、クライアントとサーバーの間でのデータ転送は安全に行われるように暗号化されます。

Peer Web Services が動作するコンピュータは、ブラウザからデータの要求を受け取ると、その要求が有効かどうかを調べます。各要求に対して適用されるセキュリティ機構の仕組みを示す簡単な概念図を、次の表に示します。

05_i257c

次に、システムを保護するために、Windows NT とインターネット サービスをどのように設定するかについて説明します。


章の最初 匿名アクセスの制御

多くの Web サーバーでは、WWW、FTP、Gopher の各サービスのへのアクセスは、ほとんど匿名アクセスです。このようなクライアント要求には、ユーザー名およびパスワードが含まれていません。これには、次のような場合があります。
ユーザーが個別のユーザー名とパスワードでログオンしなくても、匿名アクセスを制御したり監視したりできます。各インターネット サービスは、匿名要求を処理するのに使われる Windows NT ユーザー名およびパスワードを管理しています。匿名要求を受信すると、サービスは "匿名ログオン" として設定されたユーザーを代わりに使用します。要求が満たされるのは、匿名ログオン ユーザーが、要求しているリソースに対するアクセス権を持っている場合です。これは、リソースのアクセス制御リスト (ACL: Access Control List) で調べられます。匿名ログオン ユーザーが権限を持たない場合には、要求は失敗します。失敗した匿名要求に対する WWW サービスの応答を、ユーザーに有効な Windows NT ユーザー名とパスワードの提供を要求するように設定できます。これが認証と呼ばれる処理です。

匿名ユーザー アカウントの設定

インターネット サービス マネージャで、WWW、FTP、Gopher の各サービスの [プロパティ] シートで、匿名ログオン ユーザー アカウントを表示したり監視したりできます。同じコンピュータで実行中の各サービスで使用される匿名ログオン ユーザー アカウントは、同じでも別々でも構いません。ACL のファイルまたはフォルダに匿名ログオン ユーザー アカウントを含めると、匿名クライアントが使用できるリソースを正確に制御できます。

匿名ログオン ユーザー アカウントは、Web サービスを提供しているコンピュータ上で有効な Windows NT ユーザー アカウントである必要があります。また、パスワードはそのコンピュータのユーザー データベースにある、ユーザーのパスワードでなければなりません。ユーザー アカウントおよびパスワードは、Windows NT ユーザー マネージャの [原則] メニューの [ユーザーの権利] で設定します。匿名ログオン ユーザー アカウントは、[ローカル ログオン] の権限を持っている必要があります。

IUSR_computername アカウントは、自分のコンピュータに Peer Web Services をセットアップしている間に、無作為抽出で生成されるパスワードと一緒に自動的に作成されます。たとえば、コンピュータ名が marketing1 の場合には、匿名アクセス アカウント名は IUSR_marketing1 になります。

デフォルトでは、すべての Web クライアントの要求で、このアカウントが使われます。つまり Web のクライアントは、IUSR_computername アカウントを使用してコンピュータにログオンします。IUSR_computername アカウントは、Web サービスを提供しているコンピュータへのローカル ログオンのみ許可されます。

注意   IUSR_computername アカウントは Guests グループにも追加されます。Guests グループの設定を変更した場合、これらの変更は IUSR_computername アカウントにも適用されますので、Guests グループの設定を確認して、それらが IUSR_computername アカウントに正しく対応するようにしてください。

WWW サービスおよび FTP サービスでは、匿名アクセスを許可したり拒否したりできます。Gopher サービスの要求は、すべて匿名です。WWW、FTP、Gopher の各サービスで、匿名要求に使用されるユーザー アカウントおよびそのパスワードを変更できます。

匿名アクセスを許可するには

匿名アクセスが使用するアカウントやパスワードを変更するには


章の最初 ユーザー名またはグループ名によるアクセスの制御

Web サイトへのアクセスを制御するには、Windows NT ユーザー マネージャを使って、特定のユーザーまたはユーザー グループにコンピュータで許可する権限を指定します。Web クライアント要求に対して、その要求を完了する前にユーザー名とパスワードを提供するように要求して、それを Peer Web Services が確認するようにすると、さらに制御することができます。

ユーザー アカウントの設定

Windows NT セキュリティ機構を使って、割り当てられたユーザー アカウントを要求することで、自分のコンピュータとそのリソースを保護することができます。Windows NT が動作しているコンピュータ上の各処理は、処理を行っているのが誰であるかを確認します。たとえば、Windows NT にログオンするために使用しているユーザー名とパスワードによって、誰が使用しているかということと、そのコンピュータ上で認証されている権限がわかります。

そのコンピュータ上で認証されるユーザーの権限は、ユーザー マネージャの [原則] メニューで設定することができます。ユーザーの権限は、ユーザーがシステムで特定の活動を行うことを認証します。これには、[ローカル ログオン] 権限が含まれます。この権限は、基本認証が使われている場合に、ユーザーがインターネット サービスを使用するために必要です。

Microsoft 暗号化認証を使用している場合には、インターネット サービスを利用するためには [ネットワーク経由でコンピュータへアクセス] 権限が必要です。デフォルトでは、すべてのユーザーがこの権限を持っています。

セキュリティを強化するには、次のガイドラインに従ってください。

ユーザー名とパスワードの要求

Web サイトへのアクセスを "認証された" クライアント、つまり有効な Windows NT のユーザー名とパスワードを持つ Web クライアントだけに制限することができます。認証機構を使用すると、有効なユーザー名とパスワードを入力しないと、アクセスが許可されません。パスワード認証は、認証された個人だけがWeb サイトや NTFS で制御されている特定の部分にアクセスできるようにしたいときに便利です。匿名ログオン アクセスと認証されたアクセスは、同時に使用できるようにできます。

WWW サービスでは、基本認証と Microsoft 暗号化認証 ("NTLM" として参照されることもあります) の 2 つの基本認証が用意されています。

基本認証では、クライアントとサーバーの間の転送は暗号化されません。基本認証では、クライアントの Windows NT ユーザー名とパスワードはそのまま暗号化されずにネットワーク上に送信されるので、侵入者によってユーザー名とパスワードが容易に解読される可能性があります。

Microsoft 暗号化認証を現在サポートしているのは、Microsoft インターネット エクスプローラ 2.0 以降だけですが、これを使用すると、ネットワーク上のログオンの安全性を確保できます。Microsoft 暗号化認証では、クライアントのユーザー アカウントは、クライアントがクライアント コンピュータにログオンするのに使用されます。このアカウントはその Windows NT ドメインを含め、Peer Web Services が動作しているコンピュータで有効なアカウントでなければなりません。このため Microsoft 暗号化認証は、クライアント コンピュータとサーバー コンピュータが同じドメインまたは信頼関係にあるドメインにあるイントラネット環境で役に立ちます。セキュリティを強化するためには、パスワード認証に Microsoft 暗号化認証を使用してください。

デフォルトでは、基本認証と Microsoft 暗号化認証はどちらも利用できます。ブラウザが Microsoft 暗号化認証をサポートしている場合には、Microsoft 暗号化認証が使用されますが、サポートしていない場合には、基本認証が使用されます。現在 Microsoft 暗号化認証をサポートしているのは、インターネット エクスプローラ 2.0 以降だけです。

クライアントの認証を要求できるのは、すべての FTP サービスの要求、または失敗した匿名要求だけです。FTP サービスは基本認証しかサポートしていないので、匿名 FTP 接続を許可するとよりサイトの安全性が確保されます。

WWW サービスで認証を可能にするには

FTP サービスで認証を可能にするには



警告   FTP および WWW の基本認証は、HTTP の基本認証と同じように、パスワードが暗号化されていないクリア テキストでネットワーク上に送信します。

匿名ログオンとクライアント認証の相互関係

WWW サービスおよび FTP サービスでは、匿名接続とクライアント認証の両方を有効にできます。この節では、両方が有効な場合のこれらのアクセスに対する PWS Webサーバーの応答について説明します。

クライアント認証が許可されず、匿名接続が許可されている場合、ユーザー名とパスワードを含むクライアント要求は匿名接続と同じように処理され、サーバーはそのユーザー名とパスワードを無視することに注意してください。

WWW サービス

WWW サービスが身分証明 (ユーザー名とパスワード) を含むクライアント要求を受け取ると、 "匿名ログオン" ユーザー アカウントはそのクライアント要求を匿名ログオンの処理に使用しません。ユーザー名とパスワードを必要とするサービスに、この要求は使用されます。 このサービスが、特定のユーザー名とパスワードを使用して要求したリソースに対してアクセス権がない場合、要求は失敗し、クライアントにはエラーが返されます。

"匿名ログオン" ユーザー アカウントが要求しているリソースに対するアクセス権を持っていないために匿名要求が失敗すると、クライアントへの応答で、WWW サービスがサポートしている認証機構が示されます。応答でクライアントにサービスが HTTP 基本認証をサポートするように設定されていることが示された場合、ほとんどの Web ブラウザはユーザー名とパスワードを表示し、匿名要求をユーザーが入力したユーザー名とパスワードを含む身分証明による要求として再度送信します。

Web ブラウザが Microsoft 暗号化認証プロトコルをサポートしていて、WWW サービスがそのプロトコルをサポートするように設定されている場合、権限が適切でないために失敗した匿名 WWW 要求は Microsoft 暗号化認証プロトコルを自動的に使用します。ブラウザはユーザー名と暗号化されたパスワードをクライアントからサービスに送信します。クライアント要求は、クライアントのユーザー情報を使って再処理されます。

WWW サービスが基本認証と Microsoft 暗号化認証の両方をサポートするように設定されている場合、Web サーバーは Web ブラウザにヘッダで両方の認証方法を返します。Web ブラウザは使用する認証方法を選択します。Microsoft 暗号化認証プロトコルはヘッダの最初に表示されるので、Microsoft 暗号化認証プロトコルをサポートしているブラウザはそれを使用します。Microsoft 暗号化認証プロトコルをサポートしていないブラウザは、基本認証を使用します。現在 Microsoft 暗号化認証をサポートしているのは、インターネット エクスプローラ 2.0 以降だけです。

FTP サービス

FTP サービスが身分証明 (ユーザー名とパスワード) を含むクライアント要求を受け取ると、 "匿名ログオン" ユーザー アカウントはそのクライアント要求を匿名ログオンの処理に使用しません。ユーザー名とパスワードを必要とするサービスに、この要求は使用されます。 このサービスが、特定のユーザー名とパスワードを使用して要求したリソースに対してアクセス権がない場合、要求は失敗し、クライアントにはエラーが返されます。

"匿名ログオン" ユーザー アカウントが要求しているリソースに対するアクセス権を持っていないために匿名要求が失敗すると、サーバーはエラー メッセージで応答します。ほとんどの Web ブラウザはユーザー名とパスワードを表示し、匿名要求をユーザーが入力したユーザー名とパスワードを含む身分証明による要求として再度送信します。


警告   FTP サービス (および WWW サービスの基本認証) は、ユーザー名とパスワードを暗号化せずにネットワーク上に送信するので、侵入者がプロトコル アナライザを使ってユーザー名とパスワードを解読する可能性があります。

カスタマイズした認証機構の作成

サービスが、直接サポートしていない WWW 要求の認証機構が必要な場合には、 Win32 Software Development Kit (SDK) のコピーを作成し、 ISAPI フィルタの仕様を理解し、要求の認証を処理する ISAPI フィルタの DLL を作成する必要があります。 Win32 SDKは、Microsoft Developer Network から利用できます。詳細な情報については、Microsoft のホームページ (http://www.microsoft.co.jp) をご覧ください。


章の最初 フォルダおよびファイルに対する権限の設定

ファイルや HTML ページ、ISAPI (Internet Server API) などのリソースへの各アクセスは、 Windows NT ユーザーの代わりにサービスが行います。サービスは、ユーザーのユーザー名およびパスワードを使って、クライアントへのリソースの読み込みや実行を行います。ファイルおよびフォルダへのアクセスを制御するには、次の 2 つの方法があります。
注意   FAT (File Allocation Table) ファイル システム パーティションは、アクセスの制御をサポートしていません。ただし、FAT パーティションは、コンバート ユーティリティを使って NTFS に変換することができます。このユーティリティの使用の詳細については、Windows NT のマニュアルを参照してください。

NTFS 権限の設定

データ ファイルは、NTFS パーティションに置いてください。NTFS にはセキュリティ機能があり、データ ファイルへのアクセスを制御できます。NTFS を使用すると、自分のファイル システムの一部に対するアクセスを特定のユーザーやサービスに制限することができます。特に、任意のインターネット パブリッシュ サービスについて ACL (Access Control Lists) をデータ ファイルに適用してください。

ACL は、特定の Windows NT ユーザー アカウントやユーザー グループに、ファイルやフォルダへのアクセスの許可/拒否を行います。インターネット サービスが、クライアント要求に代わってファイルの読み込みや実行を行う場合、サービスが使用するユーザー アカウントは、権限を持っている必要があります。この権限は、ファイルに関連付けられた ACL によって、ファイルの読み込みや実行を行うように適切に決められています。ユーザー アカウントがファイルへのアクセス権を持たない場合、要求は失敗し、クライアントにアクセスが拒否されたことを示します。

ファイルおよびフォルダの ACL は、Windows NT エクスプローラを使って設定します。NTFS ファイルシステムによって、アクセス権を持つユーザーおよびグループを指定してファイルを管理したり、特定のファイルおよびディレクトリに対してユーザーやグループが持つ権限の種類を制御したりできます。たとえば、 あるユーザーには読み取りのみの権限を与え、別のユーザーには読み取り、変更、書き込みの権限を与えることができます。 IUSR_computername や認証されたアカウントが、特定のリソースに対してアクセスを適切に許可あるいは拒否されるようにしてください。

Everyone グループには、IUSR_computername アカウントや Guests グループを含めたすべてのユーザーおよびグループが含まれることに注意してください。デフォルトでは、[Everyone] グループには、NTFS ドライブ上で作成されたすべてのファイルを完全に制御できるだけの権限が与えられています。

NTFS の設定と Microsoft Peer Web Services の設定に、矛盾がある場合には、制約の厳しい設定が優先して適用されます。

Web サイト内のすべてのフォルダのセキュリティ設定について確認を行い、必要に応じて調整してください。通常は、次の表に示す設定を行ってください。

ディレクトリの種類 推奨されるアクセス
コンテンツ 読み取りアクセス
プログラム 読み取りおよび実行アクセス
データベース 読み取りおよび書き込みアクセス

NTFS ドライブ上のファイルを保護するには

ファイル アクセスの監査

機密ファイルに許可されていないアクセスが行われていないかどうかを確認するために、NTFS のファイルおよびフォルダのアクセスを監査できます。たとえば、特定のユーザー グループのメンバーがファイルの読み込みを行おうとしているのをチェックすることができます。許可されていないアクセスをチェックして、定期的に監査記録を確認してください。ファイルやフォルダの監査の設定をするには、ドメイン用ユーザー マネージャで [ファイルとオブジェクトへのアクセス] の監査を有効にし、Windows NT のエクスプローラを使って監査するファイル アクセス イベントの種類を指定します。エントリを確認するには、イベント ビューアを使います。

ファイルおよびフォルダの監査原則の設定の詳細については、Windows NT のマニュアルを参照してください。


章の最初 WWW ディレクトリ アクセスの設定

インターネット サービス マネージャで Web パブリッシュ ディレクトリ (フォルダ) を作成するときに、定義済みのホーム ディレクトリや仮想ディレクトリ、およびそのすべてのフォルダに対するアクセス権を設定できます。これらの権限は WWW サービスによって提供される権限であり、NTFS ファイル システムによって提供される権限に追加されます。権限の種類は次のとおりです。

[読み取り]   読み取り権限によって、Web クライアントは、ホーム ディレクトリや仮想ディレクトリに保存されているファイルの読み込みやダウンロードができます。読み取り権限を持たないクライアントがディレクトリ内のファイルの要求を送信すると、Web サーバーはエラーを返します。通常、HTML などパブリッシュする情報を含むディレクトリに読み込み権限を与えます。CGI (Common Gateway Interface) アプリケーションと ISAPI (Internet Server Application Program Interface) DDL を含むディレクトリのに対する読み取り権限を無効にして、クライアントがアプリケーション ファイルをダウンロードできないようにしてください。

[実行]   実行権限によって、Web クライアントは、ホーム ディレクトリや仮想ディレクトリに保存されているプログラムやスクリプトを実行できます。実行権限を持たないクライアントがフォルダ内のプログラムやスクリプトを実行する要求を送信すると、Web サーバーはエラーを返します。セキュリティ上の理由から、コンテンツ フォルダに対する実行権限を与えないようにしてください。

クライアント要求は、CGI アプリケーションや ISAPI (Internet Server Application Program Interface) アプリケーションを実行することができます。次の 2 つの方法があります。


この例では、スクリプト ファイル (Pubs.idc) は実行権限を持つ Web パブリッシュ ツリーのフォルダ内に保存されています。サービスは要求の受信中にファイル名の拡張子をマップし、アプリケーションを検索します。このアプリケーションは任意の場所に保存できます。この技術によって、ユーザーは URL にパラメータを付けて CGI や ISAPI アプリケーションを直接実行することができなくなります。これはより安全な仕組みで、すべての Web アプリケーションに使用できます。 詳細については、「第 10 章 レジストリ エントリの設定」の「アプリケーションとインタプリタの関連付け (スクリプト マッピング)」を参照してください。

ディレクトリのアクセス権を設定するには


注意   フォルダには、実行アクセスと読み取りアクセスを、両方ではなくどちらか一方を設定することを推奨します。スクリプトとプログラムは、静的 Web コンテンツとは別の仮想ルートに置くようにしてください。


章の最初他のネットワーク サービスの実行

インターネットに接続しているコンピュータで使用されているすべてのネットワーク サービスを再確認してください。

必要なサービスのみを実行する

システム上で動作しているサービスが少なければ少ないほど、管理上改善が必要となるような問題は少なくなります。Windows NT のコントロール パネルの [サービス] を使い、インターネット サーバーで必ずしも必要ではないサービスがあれば、それらを使用不能にしてください。

不要なサービスをインターネット アダプタ カードからアンバインドする

Windows NT のコントロール パネルの [ネットワーク] にあるバインドの機能を使い、インターネットに接続しているすべてのネットワーク アダプタ カードから不要なサービスをアンバインドしてください。たとえば、新規の画像およびドキュメントのデータを内部ネットワーク内のコンピュータからコピーする場合に Server サービスを使用しますが、インターネット上のリモート ユーザーからは Server サービスに直接アクセスできないようにしたいことがあります。

このように、Server サービスを、プライベートなネットワーク上でだけ使用する場合は、インターネットに接続しているすべてのネットワーク アダプタ カードにバインドされている Server サービスを、使用できないようにしてください。インターネット経由で Windows NT Server サービスを利用することもできますが、その場合にはセキュリティの実装について十分理解し、Windows NT Server のライセンスの必要条件に従ってください。

Windows NT Server のサービスの使用中は、Microsoft ネットワーク (HTTP プロトコルではなく サーバー メッセージ ブロック (SMB) プロトコル) が使用され、すべての Windows NT Server のライセンスの必要条件が適用されます。HTTP 接続は Windows NT Server のライセンスの必要条件に適用されません。

ネットワーク共有のアクセス権を調べる

インターネット アダプタ カードで Server サービスを動作させる場合には、システム上に作成した共有に対して設定されているアクセス権を再度確認してください。また、共有フォルダにあるファイルに対して設定されているアクセス権についても、正しく設定されるように十分にチェックしてください。

ディレクトリの参照の禁止

[ディレクトリ] プロパティ シート上のディレクトリの参照は、特に意図する場合を除いて無効にしてください。ディレクトリの参照は、完全な Web パブリッシュ ファイル構造を表示します。また、正しい設定がなされなければ、許可されていないアクセスによってプログラム等のファイルがすべて参照できることになり危険です。デフォルトのページ (Default.htm) がなく、ディレクトリ参照が可能な場合には、WWW サービスは、指定したディレクトリ内のファイルのリストを含む Web ページを返します。ブラウズされたくないディレクトリには、Default.htm ページを置くことをお勧めします。


章の最初 SSL (Secure Sockets Layer) によるデータ転送の安全確保

この章の前節では、許可されていないアクセスから、コンピュータを保護する方法について説明しました。ここでは、コンピュータでのデータの送受信を安全に行うために暗号化機構を使用するプロトコルについて説明します。

Microsoft Peer Web Services は、サービス プロトコルの HTTP と TCP/IP との間に介在するデータを保護するプロトコルを提供しています。この SSL (Secure Sockets Layer) と呼ばれるセキュリティ プロトコルは、データの暗号化、サーバー認証、TCP/IP 接続のメッセージ完全化を実現しています。

SSL は標準セキュリティがインターネット上の Web ブラウザおよびサーバーにアプローチするように考慮された W3C ワークグループに属するセキュリティ プロトコルです。SSL では、TCP/IP 接続を導入するために使われるセキュリティ "ハンドシェイク" を用意しています。 クライアントとサーバーのセキュリティ レベルを一致させたハンドシェイクの結果は、 クライアントとサーバーの接続のためのすべての認証要求に使用され履行されます。 SSL の唯一の役割は、HTTP などで使用されているアプリケーション プロトコルのデータ ストリームの暗号化および解読です。HTTP 要求および HTTP 応答の情報はすべて完全に暗号化されます。その中には、クライアントが要求している URL や、クレジットカード番号など形式が決まっているコンテンツ、ユーザー名やパスワードなどすべての HTTP アクセス認証情報、およびサーバーからクライアントに返されるすべてのデータが含まれます。

SSL 対応のサーバーは、Microsoft インターネット エクスプローラ 2.0 以降などの SSL 対応のクライアント (ブラウザ) に対して、インターネット経由で私的な情報の送受信を行うことができます。

SSL の暗号化を使用した転送は、暗号化していない場合に比べると、速度が遅くなります。サイト全体のパフォーマンスを下げないようにするには、クレジットカード情報を含む、フォームのやり取りなど高度な機密情報を扱う仮想フォルダにだけ SSL を使用するようにしてください。

Web サーバーで SSL セキュリティを有効にするには、次の手順に従ってください。



重要   SSL のセキュリティ機構を有効にする際は、次の点に注意してください。

キー ペアの生成

Web サーバー上で SSL (Secure Sockets Layer) セキュリティを有効にする処理の過程で、キー ペアを生成し、SSL認証書を取得する必要があります。新しいキー マネージャ アプリケーション ([スタート] メニューの [Peer Web Services] サブメニューにあります) を使ってこの手続きを簡単に行えます。

キー ペアを作成するには


作成したキーは、キーを作成したコンピュータの名前の下にある [キー マネージャ] ウィンドウに表示されます。デフォルトでは、キーはローカル コンピュータ上に生成されます。

注意   フィールドではカンマを使わないでください。カンマはそのままフィールドの終端とみなされ、警告を出すことなく間違った要求書を生成してしまいます。

別のコンピュータ上でのキー ペアの生成

別のコンピュータ上にキー ペアを生成して、そのコンピュータに認証書をインストールすることもできます。[サーバー] メニューから [サーバーに接続] をクリックし、"キー ペアの生成" の手順と同じように行ってください。

キー ペアを生成したら、認証書を取得してキー ペアでインストールしてください。認証書の取得の詳細については、「認証書の取得」および「キー ペアによる認証書のインストール」を参照してください。

認証書の取得

キー マネージャで生成したキーをインターネット上で有効にするには、VeriSign などの認証機関から有効な認証書を取得します。認証書要求ファイルを作成して認証機関に送信し、有効な認証書を取得します。それまでは、キーはホスト コンピュータ上に存在はしていますが、使用できません。VeriSign の認証書を取得する方法については、VeriSign の Web サイト http://www.verisign.com/microsoft/ を参照してください。

キー ペアによる認証書のインストール

認証の要求書を作成したら、認証機関から署名入りの認証書を送信してもらいます (詳しくは認証機関にお問い合わせください)。キー マネージャは、次の例のようなファイルを作成します。

-----BEGIN CERTIFICATE-----

JIEBSDSCEXoCHQEwLQMJSoZILvoNVQECSQAwcSETMRkOAMUTBhMuVrM
mIoAnBdNVBAoTF1JTQSBEYXRhIFNlY3VyaXR5LCBJbmMuMRwwGgYDVQ
QLExNQZXJzb25hIENlcnRpZmljYXRlMSQwIgYDVQQDExtPcGVuIE1hc
mtldCBUZXN0IFNlcnZlciAxMTAwHhcNOTUwNzE5MjAyNzMwWhcNOTYw
NTE0MjAyOTEwWjBzMQswCQYDVQQGEwJVUzEgMB4GA1UEChMXUlNBIER
hdGEgU2VjdXJpdHksIEluYy4xHDAaBgNVBAsTE1BlcnNvbmEgQ2VydG
lmaWNhdGUxJDAiBgNVBAMTG09wZW4gTWFya2V0IFRlc3QgU2VydmVyI
DExMDBcMA0GCSqGSIb3DQEBAQUAA0sAMEgCQQDU/7lrgR6vkVNX40BA
q1poGdSmGkD1iN3sEPfSTGxNJXY58XH3JoZ4nrF7mIfvpghNi1taYim
vhbBPNqYe4yLPAgMBAAEwDQYJKoZIhvcNAQECBQADQQBqyCpws9EaAj
KKAefuNP+z+8NY8khckgyHN2LLpfhv+iP8m+bF66HNDUlFz8ZrVOu3W
QapgLPV90kIskNKXX3a

------END CERTIFICATE-----

認証書をインストールするには


キーと認証書のバックアップを作成できます。前述の「キーのバックアップ」の手順を参照してください。

SSLを要求するディレクトリの設定

認証書を適用すると、インターネット サービス マネージャから SSL の機能を有効にする必要があります。SSL は Web サイトで使用可能な任意の仮想フォルダで要求できます。SSL は、[ディレクトリ] プロパティ シートで設定します。

SSL を要求するには

別のサーバーへのキー ペアの移動

キー ペアを作成したら、キー マネージャを使って、キー ペアを別のサーバーに移動することができます。

キー ペアを別のサーバーに移動するには


[切り取り] の代わりに [コピー] コマンドを使うと、同じ手順で、別のコンピュータにキー ペアをコピーできます。

キーのバックアップ

キー マネージャを使って、レジストリからハードディスク上のファイルにキー情報をダウンロードし、そのファイルをフロッピー ディスクやテープにコピーまたは移動して安全を確保します。キー ペア ファイルやインストールされた認証書のキーのバックアップを作成できます。

キーまたはプライベート キー ペア ファイルのバックアップを作成するには

バックアップ キーの読み込み

[キーのインポート] を使って、バックアップ キーやキー ペア ファイルをキー マネージャに読み込むことができます。

バックアップ キーを読み込むには

Keygen.exe および Setkey.exe で作成したキーの読み込み

コマンド ラインから Keygen.exe コマンドでキー ペアを生成し、Setkey.exe で認証書をインストールすると、[キーのインポート] を使ってそれらをキー マネージャに読み込むことができます。

キーを読み込むには

SSL の設定および操作に関するヒント

Microsoft では、ハード ディスク上でのコンテンツ ディレクトリ ツリーをセキュリティ用と一般公開用とに分離することを推奨しています (たとえば、C:\InetPub\Wwwroot\Secure-Content と C:\InetPubWwwroot\Public-Content)。

キー ファイルは、必要になったときのために、安全な場所に保存してください。キー ファイルをフロッピー ディスクに保存し、セットアップ完了後にローカル システムからキー ファイルを削除する方法を推奨します。キー ファイルに割り当てたパスワードを忘れないようにしてください。


目次 索引 前の章 章の最初 次の章

(C) 1996 by Microsoft Corporation. All rights reserved.