このページは役に立ちましたか。
このページのコンテンツについての ご意見をお待ちしております
その他にご意見はありますか。
残り 1500 文字
証明書の管理

証明書の管理

更新日: 2014年8月

Microsoft Azure では 3 種類の方法で証明書が使用されます。

  • 管理証明書 – サブスクリプション レベルで保存されるこれらの証明書は、SDK ツール、Windows Azure Tools for Microsoft Visual Studio、または サービス管理 REST API リファレンス の使用を有効化するために使用されます。これらの証明書は、クラウド サービスまたは配置から独立しています。

  • サービス証明書 – クラウド サービス レベルで保存されるこれらの証明書は、配置されたサービスによって使用されます。

  • SSH キー – Linux 仮想マシンに保存される SSH キーは、仮想マシンへのリモート接続の認証に使用されます。

Azure で証明書を使用するには、Azure にアップロードする必要があります。管理証明書とサービス証明書は Microsoft Azure の管理ポータルからアップロードできます。サービス証明書は、サービス管理 REST API リファレンスAdd Service Certificate を使用してManagement Portalにアップロードすることもできます。

Azure で使用される証明書は x.509 v3 証明書で、別の信頼された証明書によって署名される場合も、自己署名の場合もあります。自己署名証明書は作成者により署名されます。このため、自己署名証明書は Web ブラウザーで信頼されず、Internet Explorer ではセキュリティの警告が出されます。ユーザーは続行することができますが、セキュリティ メッセージをバイパスする必要があります。

自己署名証明書は、通常テスト ��ナリオか、公開/秘密キーのコンテナーとして使用されます。

Azure で使用する証明書には、公開キーか秘密キーを含めることができます。証明書には、明確な手段で証明書を特定するためのサムプリントがあります。このサムプリントは Azure 構成ファイルで、クラウド サービスが使用する証明書を特定するために使用されます。構成ファイルにおける証明書の構成の詳細については、「Azure のクラウド サービスのセットアップ」を参照してください。

Azure では、信頼関係を識別するために証明書を使用します。信頼される側には、秘密キーがあります。

  • 管理証明書 (.cer 証明書ファイル):サービスに接続するクライアントは、信頼される必要があり、秘密キーを持ちます。

  • サービス証明書 (.pfx 証明書ファイル):サービスは、サービスに接続するクライアントから信頼される必要があります。たとえば、SSL 保護サービス シナリオでは、SSL 証明書に秘密キーが含まれます。

管理証明書により、クライアントは Azure サブスクリプション内のリソースにアクセスできるようになります。管理証明書は、公開キーのみを含む x.509 v3 証明書で、.cer ファイルとして保存されます。

管理証明書の一般的な使用方法

  • Windows Azure サービス管理 REST API を使用して出された要求には、Azure に指定した証明書に対する認証が必要になります。詳細については、「サービス管理要求の認証」を参照してください。管理証明書は、Management Portalを使用して Azure にアップロードする必要があります。

  • Windows Azure Tools for Microsoft Visual Studio は、配置を作成および管理するために、管理証明書を使用してユーザーを認証します。アプリケーションを配置するための Visual Studio ツールの使い方の詳細については、「Azure Tools を使用したクラウド サービスの発行」を参照してください。

同じ証明書を複数のコンピューターに使用して Azure サブスクリプションを管理できます。1 台のコンピューターから別の開発コンピューターに管理証明書を移動するには、管理証明書を PFX ファイル形式でエクスポートし、他の開発コンピューターに再インポートする必要があります。

Important重要
管理証明書は、Windows Azure サブスクリプションあたり 100 個までに制限されています。さらに、特定のサービス管理者のユーザー ID では、すべてのサブスクリプションに対して管理証明書が 100 個までに制限されます。アカウント管理者のユーザー ID を使用して既に 100 個の管理証明書を追加している場合に、さらに管理証明書を追加する必要があれば、共同管理者を追加して証明書を追加できます。100 個を超える証明書を追加する前に、既存の証明書を再利用できるかどうかを確認してください。共同管理者を使用すると、証明書管理プロセスが必要以上に複雑になる可能性があります。

共同管理者の追加の詳細については、「Azure サブスクリプションへの共同管理者の追加」を参照してください。

サービス証明書により、Web アプリケーションまたはサービスのユーザーはセキュリティで保護された対話操作ができるようになります。一般的な例としては、HTTPS エンドポイントに関連付けられた証明書が挙げられますが、他の方法でもサービス証明書を使用できます。サービス定義で定義されるサービス証明書は、ロールのインスタンスで実行される仮想マシンに自動的に配置されます。サービス証明書は、Management Portalまたはサービス管理 API を使用してManagement Portalにアップロードできます。サービス証明書は、サービス定義ファイルで特定のクラウド サービスに関連付けられ、配置に割り当てられます。

サービス証明書は、サービスとは別に管理され、異なる人が管理できます。たとえば、IT 管理者が Azure に以前にアップロードした証明書を参照するサービス パッケージを開発者がアップロードしたとします。この場合に IT 管理者は、新しいサービス パッケージをアップロードしなくても、サービスの構成を変更することでその証明書を管理および更新することができます。これができるのは、サービス定義ファイルに証明書の論理名、ストア名、および場所が指定され、証明書のサムプリントがサービス構成ファイルに指定されているためです。証明書を更新するために必要な作業は、新しい証明書をアップロードして、サービス構成ファイルのサムプリント値を変更することのみです。

Warning警告
この方法で構成を変更すると、開発プラットフォームと同期しなくなる可能性があります。これは、サービスに更新プログラムをアップロードする前に開発コンピューターの構成を更新しない場合、更新プログラムが上書きされる可能性があることを意味します。この場合には、新��い構成ファイルでサービスをアップグレードすることをお勧めします。これにより、確実に変更を反映することができます。

サービス証明書は、Azure にアップロードされ、使用するホステッド サービスに保存された x.509 v3 証明書です。サービス証明書は、秘密キー (.pfx) ファイルです。サービス証明書は、秘密キーのある証明書を必要とする SSL とリモート デスクトップ復号化の両方に使用されます。

サービス証明書には、主に 3 つの用途があります。

  • 暗号化 – RDP パスワードの暗号化。

  • サーバー – SSL は、セキュリティ保護された Web ページの通信セキュリティを確保します。

  • 相互認証 – WCF クライアントの認証。

SSH キーを使用すると、リモート アクセスが可能になり、Linux または Windows のクライアントから Linux 仮想マシンへの接続を認証できます。現在のバージョンの Microsoft Windows Azure 管理ポータルでは、2048 ビットのキー ペアを含む X509 証明書にカプセル化された SSH 公開キーだけに対応しています。Linux 仮想マシンにアクセスするための SSH キーの生成と使用に関する詳細については、「Windows Azure で SSH と Linux を使用する方法」を参照してください。

関連項目

表示:
© 2015 Microsoft