SSLは、IIS7.0サイトを保護して自己署名証明書を作成するための重要な部分です。 IIS 7では、以前のバージョンのIISよりもはるかに簡単に実行できます。 SSL証明書を使用すると、IIS Webサイトとの間で送受信されるすべてのトラフィックを暗号化して、他のユーザーが機密情報を表示できないようにすることができます。公開鍵暗号を使用して、安全な接続を確立します。つまり、公開鍵(SSL証明書)で暗号化されたものはすべて秘密鍵でのみ復号化でき、その逆も可能です。
IIS自己署名証明書を使用する場合
eコマースサイトや、クレジットカード、社会保障番号などの貴重な個人情報を転送するサイトでは、自己署名証明書を使用しないでください。
SSL証明書には複数の目的があります。公開鍵を配布し、信頼できるサードパーティによって署名されている場合は、サーバーのIDを確認して、クライアントが情報を送信していないことを確認します(暗号化またはない)間違った人に。自己署名証明書は、信頼できるサードパーティではなく、それ自体で署名された証明書です。これは、攻撃者が自己署名証明書を作成して中間者攻撃を開始する可能性があるため、適切なサーバーに接続していることを確認できないことを意味します。このため、自己署名証明書を使用することはほとんどありません。匿名の訪問者がサイトに接続する必要があるパブリックIISサーバー。ただし、特定の状況では自己署名証明書が適切な場合があります。
- 自己署名証明書はイントラネットで使用できます。ローカルイントラネットを経由してサーバーに到達するために、man-in-the-middle攻撃の可能性は事実上ありません。
- 自己署名証明書はIIS開発サーバーで使用できます。アプリケーションを開発またはテストするだけの場合は、信頼できる証明書を購入するために追加の現金を費やす必要があります。
- 自己署名証明書は、訪問者が少ない個人サイトで使用できます。重要な情報、誰かへのインセンティブはほとんどありません
自己署名証明書を使用するIISサイトに接続すると、訪問者がブラウザに警告を表示することに注意してください(以下のように)。証明書ストアに永続的に保存されます。 eコマースサイトや、クレジットカード、社会保障番号などの貴重な個人情報を転送するサイトでは、自己署名証明書を使用しないでください。
信頼できるSSL証明書を比較する
IIS自己署名証明書を生成する
これで、IIS自己署名証明書をいつ使用するかがわかりました。そしてそうでないとき。次に、作成しましょう。
- [スタート]メニューをクリックし、[管理ツール]に移動して、[インターネットインフォメーションサービス(IIS)マネージャー]をクリックします。
- 左側の[接続]列でサーバーの名前をクリックします。サーバー証明書をダブルクリックします。
- 右側の[アクション]列で、[自己署名証明書の作成]をクリックします。 。
- わかりやすい名前を入力し、[OK]をクリックします。
- これで、サーバー証明書の下に1年間有効なIIS自己署名証明書が表示されます。証明書の共通名(発行先)はサーバー名です。次に、自己署名証明書をIISサイトにバインドする必要があります。
自己署名証明書をバインドする
- 左側の[接続]列で、[サイト]フォルダーを展開し、証明書をバインドするWebサイトをクリックします。右側の列にある[バインディング…]をクリックします。
- [追加…]ボタンをクリックします。
- タイプをhttpsに変更し、インストールしたSSL証明書を選択します。 [OK]をクリックします。
- ポート443のバインディングが一覧表示されます。 [閉じる]をクリックします。
- 次に、ブラウザでhttpsを使用してサイトにアクセスし、IIS自己署名証明書をテストします(例:https://site1.mydomain.com)。これを行うと、「このWebサイトによって提示されたセキュリティ証明書は別のWebサイトのアドレスに対して発行されました」という警告が表示されます(名前の不一致エラー)。
これは、IISが常にサーバーの名前(この場合はWIN-PABODPHV6W3)を共通名として使用するために表示されます。自己署名証明書を作成します。これは通常、ブラウザでサイトにアクセスするために使用するホスト名(site1.mydomain.com)とは一致しません。 IIS自己署名証明書が使用される多くの状況では、これは問題ではありません。毎回「このウェブサイトに進む」をクリックするだけです。ただし、エラーメッセージを完全に取り除きたい場合は、次の2つの手順に従う必要があります。
正しい共通の自己署名証明書を生成する名前
この手順は、自己署名証明書の共通名がWebサイトのホスト名と一致しないために表示される警告メッセージを削除する場合にのみ必要です。この問題を解決するには、 IIS 6.0で自己署名証明書を作成するのと同じ方法を使用して自己署名証明書を作成する必要があります(IISではなくSelfSSLを使用)。
- インターネット情報サービスをダウンロードします。 (IIS)6.0リソースキットツールとSelfSSL 1.0のインストール(カスタムインストールを行う場合は、SelfSSL以外のすべてのチェックを外すことができます)。インストールしたら、[スタート]メニューをクリックし、[IISリソース]、[SelfSSL]の順に移動して、SelfSSLを実行します。
- 貼り付け次のコマンドで、site1.mydomain.comをIISサイトのホスト名に置き換えます。 「メタベースを開くときにエラーが発生しました:0x80040154」というエラーが発生した場合は、無視してください。証明書を手動でWebサイトにバインドします。
SelfSSL /N:CN=site1.mydomain.com /V:1000
- コマンドが完了すると、IISの[サーバー証明書]セクションに正しい共通名が記載されたIIS自己署名証明書が作成されます。次に、上記の手順に従って、証明書をIISWebサイトにバインドします。
- 新しい証明書をIISにバインドした後サイトにアクセスし、Webブラウザでhttpsを使用してアクセスすると、「このWebサイトによって提示されたセキュリティ証明書は信頼できる認証局によって発行されていません」という別のエラーが発生します。 (SSL証明書が信頼されていないエラー)
心配しないでください。これが修正が必要な最後のエラーです。これは、自己の通常のエラーです。証明書は信頼できるSSLプロバイダーではなく独自に署名されているため、署名された証明書。サイトへのすべての訪問者は、自己署名証明書を信頼されたルート証明書機関ストア(またはブラウザーの適切なSSL証明書ストア)にインポートしない限り、そのエラーが表示されます。以下の手順に従って、IIS自己署名証明書をサーバー上のストアに簡単に追加できます。別のWindowsマシンに証明書をインポートする必要がある場合は、移動またはコピーする方法の手順に従ってください。 WindowsサーバーからのSSL証明書。
信頼されたルート証明書機関に自己署名証明書を追加する
- [スタート]メニューをクリックし、[実行]をクリックします。
- mmcと入力し、[OK]をクリックします。
- ファイルをクリックしますメニューをクリックし、[スナップインの追加と削除]をクリックします…
- 証明書をダブルクリックします。
- [コンピューターアカウント]をクリックし、[次へ]をクリックします。
- [ローカルコンピューター]を選択したままにして、[完了]をクリックします。
- 左側の[証明書]項目を展開し、[個人]フォルダーを展開します。 [証明書]フォルダーをクリックし、作成した自己署名証明書を右クリックして、[コピー]を選択します。
- 展開します。 Trusted Root Certification Authorityフォルダーを開き、その下のCertificatesフォルダーをクリックします。証明書の下の白い領域を右クリックし、[貼り付け]をクリックします。
- これで、httpsを使用してサイトにアクセスできます。 WindowsはIIS自己署名証明書を自動的に信頼するようになるため、エラーは発生しません。
IIS自己署名証明書の生成の詳細については、次のリンクを参照してください。
- Windows Server 2008(IIS 7.0)へのSSL証明書のインストール
- ヒント/コツ:自己署名証明書を使用したIIS7.0でのSSLの有効化
- IIS 7でのIIS自己署名証明書–簡単な方法と最も効果的な方法
元々は10月土曜日に投稿されました2010年23日