SSL の概要

コンピュータ ネットワーク上での通信はすべて、傍受、解読、または改変される可能性があります。ネットワーク通信をセキュリティで保護するには、SSL(Secure Sockets Layer)プロトコルを使用することをお勧めします。SSL は業界標準のセキュリティ テクノロジであり、Web サーバと Web クライアント(Web ブラウザなど)間で暗号化されたリンクを確立するために使用されます。SSL を使用すると、サーバの識別および認証によるネットワーク通信のセキュリティ保護が容易に実現され、送信されるすべてのデータのプライバシーと整合性が維持されます。SSL はネットワーク上で送信される情報の傍受および改変を防ぐため、ログインや認証メカニズム、および通信に機密情報や独自情報が含まれるネットワークでは SSL を使用してください。

SSL 証明書の作成

Web サーバとクライアントの間で SSL 接続を作成できるようにするには、Web サーバに SSL 証明書が必要です。SSL 証明書は、Web サーバのアイデンティティに関する情報を含むデジタル ファイルです。SSL 証明書には、Web サーバとクライアント間のセキュリティで保護されたチャネルを確立するときに使用される、暗号化の手法も含まれます。SSL 証明書は、Web サイトの所有者が作成してデジタル署名する必要があります。証明書には、CA 署名、ドメイン、自己署名の 3 種類があります。次に、それぞれの証明書について説明します。

CA 署名証明書

運用システムには、認証機関(CA)が署名した証明書を使用します。特に、組織外のユーザが ArcGIS Server にアクセスする場合は、その必要があります。たとえば、サーバがファイアウォールの内側になく、インターネット経由でアクセスできる場合、CA 署名証明書を使用すると、組織外のクライアントに対して Web サイトのアイデンティティが確認済みであることを保証できます。

SSL 証明書は、Web サイトの所有者による署名に加えて、独立した CA で署名される場合があります。通常、CA は Web サイトの信頼性を証明できる信頼された第三者機関です。Web サイトが信頼できる場合、CA は独自のデジタル署名を Web サイトの自己署名 SSL 証明書に追加します。これにより Web クライアントに対して、Web サイトのアイデンティティが確認済みであることを保証します。

よく知られた CA によって発行された SSL 証明書を使用する場合、サーバと Web クライアント間のセキュリティで保護された通信は自動的に行われます。ユーザが特別な操作を行う必要はありません。Web サイトは CA によって確認済みであるため、Web ブラウザには警告メッセージが表示されません。

ドメイン証明書

サーバがファイアウォールの内側にあり、CA 署名証明書を使用できない場合、ドメイン証明書が条件にあったソリューションです。ドメイン証明書は、組織の認証機関が署名した内部の証明書です。ドメイン証明書を使用すると、信頼された内部での使用のために組織内で簡単に作成できるため、証明書の発行コストを削減し、証明書の配置が容易になります。

Web サイトはドメイン証明書によって確認されているため、ドメイン内のユーザは、自己署名証明書で通常発生する予期しない動作や警告メッセージを経験することはありません。ただし、ドメイン証明書は外部の CA によって整合チェックされていないため、ドメイン外部のサイトのユーザには、証明書が本当に主張しているとおりの組織を表しているかを確認する方法がありません。外部ユーザのブラウザには、このサイトが信頼されていないことを示す警告が表示されます。このため、ユーザが実際は悪意のある相手と通信していると考え、サイトから移動してしまう可能性があります。

自己署名証明書

Web サイトの所有者のみが署名している SSL 証明書を、自己署名証明書と呼びます。一般的に自己署名証明書は、組織の内部(LAN)ネットワークのユーザだけが利用する Web サイトで使用されます。Web サイトのアイデンティティを確認する必要がないため、自己署名証明書の使用で、組織内のネットワーク通信が安全であることが保証されます。

自己署名証明書は、サイトのすべてのユーザに対して予期しない結果やパフォーマンスの低下を引き起こす可能性があるので、運用環境に有効なオプションと考えるべきではありません。

注意注意:

自己署名 SSL 証明書を使用して Web サイトに接続している Web クライアント(Web ブラウザなど)は、サイトを信頼できる Web サイトとして確認できないことを示す警告を表示します。自己署名証明書からの警告を非表示にする方法については、「自己署名証明書の警告の非表示」をご参照ください。

6/13/2014