ユーザー アカウントにクライアント証明書をマップする

  • [アーティクル]

ユーザー アカウントにクライアント証明書をマップする

"マッピング" を作成することで、クライアント証明書を使ってログオンするユーザーを認証できます。マッピングは、証明書に含まれる情報と Windows のユーザー アカウントを関連付けます。証明書をマップする方法には、一対一と多対一の 2 つがあります。いずれのマッピングにも、インターネット インフォメーション サービス スナップインを使用できます。

  • マッピングについて
  • マッピング方法
  • 証明書をエクスポートする
  • 証明書をマップする手順

重要

  • 証明書をマップするには、事前にサーバー証明書をインストールする必要があります。サーバー証明書のインストールの詳細については、「サーバー証明書を取得する」を参照してください。
  • マッピング規則の変更を有効にするには、Web サイトを停止して再起動する必要があります。 そのためには、IIS スナップインで Web サイトを選択し、[操作] メニューの [停止] をクリックするか、またはツール バーの [停止] をクリックします。次に、[操作] メニューの [開始] をクリックするか、またはツール バーの [開始] をクリックします。

 

マッピングについて

一対一マッピング

一対一のマッピングでは、個別のクライアント証明書をアカウントにマップします。サーバーは、ブラウザから送信されたクライアント証明書を、保持しているクライアント証明書のコピーと比較します。この 2 つが完全に一致していない場合は、マップできません。クライアントが、まったく同じユーザー情報を含んだ別の証明書を取得した場合は、その証明書を再度マップする必要があります。

多対一マッピング

多対一のマッピングでは、"ワイルドカード" による一致規則を使って、クライアント証明書が、発行者やサブジェクトなどの特定情報を含むかどうかを検査します。このマッピングでは、実際のクライアント証明書を比較するのではなく、特定の条件を満たすクライアント証明書をすべて受け付けます。クライアントが、まったく同じユーザー情報を含んだ別の証明書を取得した場合も、既存のマッピングで対応できます。

ディレクトリ サービス (DS) マッピング

ディレクトリ サービス (DS) による証明書マッピングでは、Windows 2000 の Active Directory 機能を使って、クライアント証明書を持つユーザーを認証します。DS マッピングには、利点と欠点があります。たとえば、クライアント証明書の情報を多数のサーバーで共有できることは利点ですが、ワイルドカードによる比較が IIS マッパーほど高度ではないことは欠点です。DS マッピングの詳細については、Windows 2000 のマニュアルを参照してください。

DS マッピングを有効にできるのは、プロパティ レベルが Master であり、Windows 2000 ドメインのメンバであるユーザーだけです。DS マッピングをアクティブにすると、Web サービス全体で一対一および多対一のマッピングを使用できなくなります。

マッピング方法

クライアント証明書マッピングは、3 つの方法を自由に使ってクライアント証明書をユーザー アカウントにマップできるという高い柔軟性を持っています。1 つのクライアント証明書を任意数のユーザー アカウントにマップすることも、任意数のクライアント証明書を単一のユーザー アカウントにマップすることも可能です。証明書マッピングは、以下のようないくつかの状況で使用できます。

  • 大規模ネットワーク  クライアント証明書が多数あり、多対一マッピングや DS マッピングを使用するネットワーク。管理者は、1 つまたは複数の一致規則を作成して、1 つまたは複数の Windows ユーザー アカウントに証明書をマップすることができます。
  • 小規模ネットワーク  ユーザーはごく少数で、一対一マッピングを使って証明書の利用状況と無効化を詳細に管理しているか、または多対一マッピングを使って管理を簡素化しているネットワーク。
  • セキュリティの強化  ユーザーが少数で、セキュリティの強化が必要なリソースの場合、管理者は一対一マッピングを使います。これによって使用される証明書を限定することができます。これで、より強力な証明書無効化のポリシーを実施できます。
  • インターネット ** 証明書認証を行うインターネット サイトでは、広範囲の証明書を幅広く受け付け、それらの証明書すべてを IUSR_computername アカウントと同様の権限を持つアカウントにマップすることで、多対一マッピングを使用します。
  • 証明機関別対応  特定の機関が発行したクライアント証明書を使ってログオンするユーザーすべてをマップするには、多対一マッピングを使用し、その機関が発行した証明書を自動的にユーザー アカウントにマップする一致規則を定義することができます。

   ワイルドカードを使った柔軟なマッピングを行うには、IIS のマッピング機能を使用します。マッピングを使って Web サイトを Windows ドメインに統合している場合は、Windows の DS マッパーの方が適しています。詳細については、Windows のマニュアルを参照してください。

証明書をエクスポートする

一部の証明書は、IIS の一対一マッピングで使用する場合に "エクスポート" する必要があります。多対一マッピングでは、証明書をエクスポートする必要はありません。詳細については、証明機関にお問い合わせください。

Internet Explorer Version 5.0 以降を使って証明書をエクスポートするには

  1. Internet Explorer で、[表示] メニューの [インターネット オプション] をクリックします。Internet Explorer Version 5.0 の場合は [ツール] メニューの [インターネット オプション] をクリックします。

  2. [インターネット オプション] プロパティ シートの [コンテンツ] をクリックします。

  3. [コンテンツ] プロパティ シートで、[証明書] をクリックしてから [個人] をクリックします。

  4. 一覧から該当する証明書を選択して、[エクスポート] をクリックします。

  5. ウィザードで [次へ] をクリックし、[いいえ、秘密キーをエクスポートしません] を選択して、[次へ] をクリックします。

  6. 次のページで、[Base64 encoded X509 (CER)] を選択して、[次へ] をクリックします。ウィザードの説明に従って、手順を完了します。

    これでこの証明書は、IIS 一対一マッピングで使用できるようになります。この手順は、証明書ごとに一度だけ実行します。

証明書をマップする手順

一対一マッピングでは、個別のクライアント証明書をアカウントにマップします。多対一マッピングでは、"ワイルドカード" による一致規則を使って、クライアント証明書が、発行者やサブジェクトなどの特定情報を含むかどうかを検査します。

一対一マッピングで特定のクライアント証明書をユーザー アカウントにマップするには

  1. インターネット インフォメーション サービス スナップインで、認証情報を設定する Web サイトを選択し、プロパティ シートを開きます。

  2. [ディレクトリ セキュリティ] プロパティ シートで、[セキュリティ保護された通信] の [編集] をクリックします。

  3. [セキュリティ保護された通信] ダイアログ ボックスで、[クライアント証明書のマッピングを有効にする] チェック ボックスをオンにし、[編集] をクリックします。

  4. [アカウント マッピング] ダイアログ ボックスの [一対一] タブで、[追加] をクリックして新しい証明書を追加するか、または既存のマッピングを選択し、[マップの編集] をクリックしてそのマッピングを編集します。

  5. 新しい証明書を追加する場合は、目的の証明書ファイルを参照して開きます。

       目的の証明書ファイルが見つからない場合は、そのファイルをエクスポートする必要があります。

  6. [アカウントへのマップ] ダイアログ ボックスで、マッピング用のマップ名を入力します。この名前は、[アカウント マッピング] ダイアログ ボックスの一覧に表示されます。

  7. Windows のユーザー アカウントを入力するか、または参照します。証明書をマッピングするアカウントのパスワードを入力します。

  8. [OK] をクリックします。

  9. ほかの証明書をマップする、またはこの証明書をほかのアカウントにマップする場合は、上記の手順を繰り返します。

多対一マッピングでワイルドカード規則を使用するクライアント証明書マッピングを追加するには

   多対一マッピングでは、証明書をエクスポートする必要はありません。

  1. インターネット インフォメーション サービス スナップインで、認証情報を設定する Web サイトを選択し、プロパティ シートを開きます。

  2. [ディレクトリ セキュリティ] プロパティ シートで、[セキュリティ保護された通信] の [編集] をクリックします。

  3. [セキュリティ保護された通信] ダイアログ ボックスで、[クライアント証明書のマッピングを有効にする] チェック ボックスをオンにし、[編集] をクリックします。

  4. [アカウント マッピング] ダイアログ ボックスの [多対一] タブで、[追加] をクリックします。

  5. [全般] ダイアログ ボックスで、規則の名前を入力します。この名前は、[アカウント マッピング] ダイアログ ボックスの一覧に表示されます。[このワイルドカードの規則を有効にする] チェック ボックスをオンにすると、今後使用する規則を作成できます。オフにすると、規則を削除せずに無効にすることができます。[次へ] をクリックします。

  6. [規則] ダイアログ ボックスの [新規作成] をクリックします。

  7. [規則要素の編集] ダイアログ ボックスで、適切な条件を選択し、[OK] をクリックします。

       手順 6 および 7 を繰り返して、より厳密な規則を定義することもできます。

  8. 設定終了後、[次へ] をクリックします。

  9. [マッピング] ダイアログ ボックスで、Windows のユーザー アカウントを入力または参照します。規則をマップするアカウントのパスワードを入力します。

       マップするアカウントが、ワークグループのメンバであるコンピュータ上に存在する場合は、コンピュータ名とアカウント名を指定する必要があります。たとえば、Sales1 というコンピュータ上の RegionalSales アカウントにマップする場合、マップするアカウント名は Sales1\RegionalSales となります。

  10. [OK] をクリックします。

  11. ほかにマッピング規則を作成する場合は、上記の手順を繰り返します。

  12. 規則の優先度を変更するには、[上に移動] と [下に移動] を使用します。一覧で上にある規則ほど優先されます。

多対一マッピングで既存のワイルドカード規則を編集するには

  1. インターネット インフォメーション サービス スナップインで、認証情報を設定する Web サイトを選択し、プロパティ シートを開きます。
  2. [ディレクトリ セキュリティ] プロパティ シートで、[セキュリティ保護された通信] の [編集] をクリックします。
  3. [セキュリティ保護された通信] ダイアログ ボックスで、[クライアント証明書のマッピングを有効にする] チェック ボックスをオンにし、[編集] をクリックします。
  4. [アカウント マッピング] ダイアログ ボックスの [多対一] タブで、規則を選択して [規則の編集] をクリックします。
  5. 必要に応じて編集します。
  6. 編集後、[OK] をクリックします。

 

  • 具体的に指定されたクライアント証明書マッピングは、ワイルドカードで指定されたマッピングより常に優先されます。
  • クライアント証明書によって識別情報の量が多く、カスタム サブフィールドが追加されている場合があります。証明書の形式については、証明機関にお問い合わせください。
  • 一致規則はできるだけ具体的にします。そのためには、複数の異なるフィールドおよびサブフィールドの情報を使って、ワイルドカード一致規則を構成します。たとえば、Accounting、Shipping、Sales などの名前は、複数の組織のクライアント証明書の部門サブフィールドで使われている可能性があります。このサブフィールドだけを条件として証明書をマップする一致規則では、意図したとおりにマップされない場合があります。