みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

証明書を使用した通信

今回、自社のWebサーバ(IIS7.0)のセキュリティ強度を
高める為、SSLによる暗号化通信の実装を検討しています。

その際に、第三者機関の発行による「証明書」をサーバ側に
インストールさえすれば、暗号化通信は実現できるのでしょうか?。

ブラウザはIE8を想定していますが、ブラウザ側には別途証明書の
インストールや、設定変更は必要でしょうか?。
※「クライアント証明書」というキーワードも見つけたのですが、これは不要でしょうか?

アドバイスを頂けると助かります。

投稿日時 - 2012-11-26 17:06:02

QNo.7816945

困ってます

質問者が選んだベストアンサー

> ※「クライアント証明書」というキーワードも見つけたのですが、これは不要でしょうか?

「セキュリティ」の内容にもよります。

一般公開するサイトではなく、許可された(端末ユーザー)のみが使うという場合には、
クライアント証明書を使います。
たとえば、社内の機密情報を扱うWebサーバがあるが、出張先(ホテルや自宅)でもそれを閲覧したい。
しかし、これを一般公開する訳にはいかないので、それを閲覧するPCは限定したい
という場合には、「クライアント証明書」をそのPC(ブラウザ)にインストールすることで
インターネット上からの限定的な利用が可能になります。

なので、通常のECサイト等での「セキュリティ」として考えると使うことはないでしょう。

投稿日時 - 2012-11-26 18:13:21

お礼

有難うございます。

大変わかりやすい例を頂き感謝いたします。

実はご指摘の「出張先(ホテルや自宅)でもそれを閲覧したい」という話が
社内でもあがっています。確かに接続してくる社員の本人確認はしたいところです・・。

クライアント証明書を仮に、同様に発行し、全社員のPCにインストールするとします。

その際に、Webサーバ(IIS)側でもクライアント証明書を処理する設定は
必要になりますでしょうか?・・。

投稿日時 - 2012-11-26 20:05:58

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(4)

ANo.4

> その際に、Webサーバ(IIS)側でもクライアント証明書を処理する設定は
> 必要になりますでしょうか?・・。

クライアント証明書を使用するかどうかを指定する必要があります。
(参考)
http://technet.microsoft.com/ja-jp/library/cc753983(WS.10).aspx

投稿日時 - 2012-11-26 20:37:05

ANo.2

>その際に、第三者機関の発行による「証明書」をサーバ側にインストールさえすれば、暗号化通信は実現できるのでしょうか?。

できます。
この場合必要なのはサーバ証明書になります。

サーバ証明書の取得手順は大雑把にこんな感じです。
・第三者機関と契約
・第三者機関にIIS上で作成する証明書要求ファイルを送付する
・第三者機関からサーバ証明書が来る
・サーバ証明書をIISでインストールする

>ブラウザはIE8を想定していますが、ブラウザ側には別途証明書のインストールや、設定変更は必要でしょうか?。

通常必要ありません。
第三者機関を信頼するためにはルート証明書がPC側にある必要がありますが、Windowsでは主要な第三者機関のルート証明書が予め入っています。
また、Windows Updateによりルート証明書は随時新しいものに更新されています。

>※「クライアント証明書」というキーワードも見つけたのですが、これは不要でしょうか?

これはサーバ側が、接続した許可されたクライアントなのかを認証するような用途で使用するものです。
今回のようなWebサーバ暗号化通信では関係ありません。

投稿日時 - 2012-11-26 18:12:51

お礼

有難うございました。

Webサーバへのサーバ証明書のインストールの流れが理解できました。

クライアントのWindowsは、ルートCAの証明書は既定で入っているのですね。

クライアント証明書については実は別途要件があり、確認しております。
また宜しくお願い致します。

投稿日時 - 2012-11-26 20:10:23

ANo.1

こんにちは!

基本的にはサーバ側にインストールさえすればOKです。

> ブラウザはIE8を想定していますが、ブラウザ側には別途証明書の
> インストールや、設定変更は必要でしょうか?。
Webサービスの構成にもよりますが、基本的に不要です。
会社内だけで、オレオレ証明書を使うとかであれば必要かもしれませんが…。
(中には組み込みを要請するサイトもあるみたい??)

> ※「クライアント証明書」というキーワードも見つけたのですが、これは不要でしょうか?
同様に基本的には不要です。

「基本的に」と書いたのは、WebサーバにSSL証明書を入れて
どのような内容を誰に暗号化して表示するかが分からないからですが
多分サーバ側だけでいいと思います。

ガンバって下さい!

投稿日時 - 2012-11-26 17:36:52

お礼

有難うございました。

皆様のアドバイスによりサーバ証明書の概念が理解できました。

また宜しくお願いします。

投稿日時 - 2012-11-26 20:15:52

あなたにオススメの質問