計画手順 4: SSL 集中証明書ストアを計画する
作成者: Keith Newman および Robert McMurray
Web ファームのこの計画フェーズでは、集中証明書ストアを構成することによって SSL 保護付き Web サイトのサポートを追加します。 IIS 8 の新しい機能として、集中 SSL 証明書サポートがあります。
これらのタスクが完了したら、設計に関する決定事項を記録してから、「 Step 5: Plan Application Deployment」に進んでください。
4.1. 集中証明書の概要
Windows Server® 2012 では、集中 SSL 証明書のサポート機能によって、サーバー管理者はファイル共有の証明書を一元的に保存およびアクセスできます。 Web ファームに集中証明書ストアを構成して、ファイル共有から証明書を読み込むことができます。
集中証明書を使用すると、SSL バインドの管理が簡略化します。 SSL では、証明書の DNS 名と CN 名が一致する必要があります。 類似のコントラクトを証明書のファイル名に拡張することができます。 たとえば、www.contoso.com はファイル名 www.contoso.com.pfx を持つ証明書を使用します。 このコンテンツによって、Windows Server 2012 はこの機能を使用しているセキュリティで保護されたサイトの数にかかわらず、SSL バインドを 1 つだけ持つことができます。 IIS 8 は、要求された Web サイトの SNI 値やホスト名、または証明書のファイル名との照合によって、どの証明書を使用するかを推測します。
4.2 集中証明書ストアを計画する
共有構成と同様に、集中証明書は専用のバックエンド ファイル サーバーにある共有フォルダーを使用して、Web ファームの証明書を格納します。 コンテンツ ファイル サーバーに証明書の共有フォルダーを置かないでください。
集中証明書ストアには、次の名前付け規則を使用するための証明書が必要です。
- 証明書の名前は、CN_name.pfx (たとえば、
www.contoso.com.pfx) の形式である必要があります。 - 証明書がワイルドカード証明書の場合は、ワイルドカード文字 (たとえば、_.contoso.com.pfx) として、アンダースコア (_) を使用します。
- 証明書に複数の CN 名がある場合は、個々のファイル (たとえば、
www.contoso1.com.pfx、www.contoso2.com.pfxなど) として名前を付ける必要があります。