セキュリティを強化するIISサーバー用にSSL

インターネットは危険に満ちており、多くの重要なアプリケーションがインターネット上に構築されています。銀行口座のパスワードがWeb上のスニファに傍受されるのを防ぐために、このような問題を回避するための重要な方法はネットワークトラフィックを暗号化することです。多くの暗号化方式の中で、SSL暗号化は業界標準の非常に成熟した方式です。この技術は、多くの電子商取引および電子決済サイトで広く使用されています。以下の記事では、SSLがwindowsプラットフォームとLinuxプラットフォームの下に実装されている場合のWEBサーバー伝送の暗号化について紹介します。最後に、SSL暗号化の原理についていくつか質問をします。この記事では、まずWindows IISプラットフォームでSSL保護を実装する方法を紹介します。

著者は、例としてWindows Server 2003（Windows 2003）システムを使用して、IIS 6サーバーにSSLセキュリティ暗号化メカニズムを適用する方法を紹介します。

証明書要求ファイルの生成

IIS Webサイト用のデジタル証明書を作成するには、まずWebサーバー証明書ウィザード機能を使用してWebサイト用の証明書要求ファイルを生成する必要があります。 [コントロールパネル]→[管理ツール]→[インターネットインフォメーションサービス（IIS）マネージャ]の順に選択し、[IISマネージャ]ウィンドウで[Webサイト]ディレクトリを展開し、Webサイト上で右クリックしてSSLセキュア暗号化機能を使用します。次に、（図のように）[ディレクトリセキュリティ]タブに切り替えて、[サーバー証明書]ボタンをクリックします。 [IIS証明書ウィザード]ウィンドウで、[新しい証明書]オプションを選択し、[次へ]をクリックし、[今すぐ証明書要求を準備し、後で送信する]を選択して、[名前]列に証明書の名前を付けます。 [ビット長]ドロップダウンリストで、[キーのビット長]を選択し、大きすぎると通信品質に影響しますので、サイトの証明書の単位、部署、地理情報を設定してください。列にWebサイトのドメイン名を入力し、証明書要求ファイルを保存する場所を指定します（ここで、作成者は証明書要求テキストファイルを "d：\\ certreq.txt"に保存します）。これで証明書要求ファイルの生成が完了しました。


IISサイトディレクトリのセキュリティサイト

IIS Webサイト証明書の申請

証明書要求ファイルが生成されたら、次のことができます。 IIS Webサイト証明書の申請を開始します。しかし、このプロセスには証明書サービスのサポートが必要です。 Windows 2003システムのデフォルト状態ではこのサービスはインストールされず、手動で追加する必要があります。

証明書サービスのインストール

コントロールパネルの[プログラムの追加と削除]を実行し、[Windowsコンポーネントの追加と削除]ページに移動します。 [Certificate Service]オプションを選択し、次にCAの種類を選択します。ここでは[Independent Root CA]を選択し、CAサーバーに名前を付けて証明書の有効期間を設定し、最後にデフォルト値の5年を使用します。証明書データベースと証明書データベースログの場所が確認できたら、証明書サービスのインストールは完了です。

証明書サービスのインストール

証明書サービスのインストールが完了したら、IIS Webサイト証明書の申請を開始できます。 Internet Explorerブラウザを起動し、アドレスバーに「http：//localhost/CertSrv/default.asp」と入力します。次に、「Microsoft証明書サービス」のようこそウィンドウで「証明書の要求」リンクをクリックし、次に証明書要求タイプの「Advanced Certificate Request」リンクをクリックして、Advanced Certificate Requestウィンドウの「Use BASE64 encoded CMCまたはPKCS＃10ファイル」をクリックします。 ....リンクを送信してから、証明書要求ファイルの内容を "Saved Request"入力ボックスにコピーします。作成者の証明書要求ファイルの内容は "d：\\ certreq.txt"に保存され、最後に[送信]ボタンをクリックします。 //この記事は、コンピュータソフトウェアおよびハードウェアアプリケーションネットワークからのものです。www.45it.com

証明書のリクエストページ

申請ページの送信

IISウェブサイト証明書の発行

IIS Webサイト証明書の申請後もまだ一時停止状態になっているため、有効にするには発行する必要があります。コントロールパネル→管理ツールで、証明機関プログラムを実行します。 「認証局」の左側のウィンドウで、ディレクトリを展開し、「保留中のアプリケーション」ディレクトリを選択して、右側のウィンドウで適用したばかりの証明書を見つけ、証明書を右クリックして「すべてのタスク」→「発行」を選択します。

証明書

次に、[発行済み証明書]ディレクトリをクリックして、正常に発行されたばかりの証明書を開き、[証明書]ダイアログボックスの[詳細]タブに切り替えます。 [ファイルにコピー]ボタンをクリックして証明書のエクスポートダイアログボックスを表示し、次のステップで[エクスポートするファイル]列にファイル名を指定します証明書パスを[d：\\ cce.cer]に保存し、最後に[完了]をクリックします。 "

IIS Webサイト証明書のインポート

IISマネージャの[ディレクトリセキュリティ]タブで[サーバー証明書]ボタンをクリックすると、[保留中の証明書要求]ダイアログボックスが表示されます。 [保留中の要求を処理して証明書をインストールする]オプションを選択し、[次へ]をクリックして、エクスポートしたIIS Webサイト証明書ファイルの場所を指定します。次にSSLで使用されるポートを指定します。 [完了]ボタン

IISサーバーの設定

証明書のインポートが完了した後、IIS Webサイトは現時点ではSSLセキュリティ暗号化を有効にしていません。 IISサーバーを構成する必要があります。

暗号化アクセスが必要なサイトディレクトリを選択し（サイト全体を暗号化する場合は、サイト全体を選択できます）、プロパティページを右クリックして開き、[ディレクトリセキュリティ]タブでセキュリティ保護された通信バーの[編集]をクリックします。ボタンをクリックし、[セキュリティで保護されたチャネル（SSL）を要求する]および[128ビット暗号化を要求する]オプションを選択し、最後に[OK]ボタンをクリックします。ユーザー証明書認証などの高度な機能が必要な場合は、クライアント証明書の選択を表示するように選択することも、特定の証明書をWindowsユーザーアカウントにマップすることもできます。

ディレクトリの暗号化属性の設定

SSLセキュリティ暗号化メカニズムについて

SSLのフルネームは "Netscapeによる"暗号化ソケットプロトコルレイヤ "です。 HTTPプロトコル層とTCPプロトコル層の間にある同社の安全な通信プロトコルは、クレジットカードと個人情報を強力に保護します。 SSLは、送信されたデータが違法に盗まれないようにするために、クライアントとサーバーの間に暗号化チャネルを確立しますSSLセキュリティ暗号化メカニズムは、デジタル証明書を使用して実装されます。

SSL暗号化メカニズムを適用した後のIISサーバーのデータ通信プロセスは次のとおりです。最初にクライアントがIISサーバーとの通信接続を確立し、次にIISがデジタル証明書と公開鍵をクライアントに送信します。次に、公開鍵を使用してクライアントのセッション鍵を暗号化し、それをIISサーバーに渡します受信したサーバーは秘密鍵を使用してそれを復号化し、このときクライアントとIISサーバーの間に安全なデータチャネルが作成されます。 IISサーバーによって許可されたクライアントはそれと通信できます。