クライアント証明書マッピング認証 <clientCertificateMappingAuthentication>
- 概要
- 互換性
- セットアップ
- 方法
- 構成
- サンプル コード
※本ページに挿入されている画像をクリックすると、画像全体が別ウィンドウで表示されます。
概要
<authentication> 要素の <clientCertificateMappingAuthentication> 要素は、Active Directory を使用したクライアント証明書マッピングをインターネット インフォメーション サービス (IIS) 7.0 で有効にするかどうかを指定します。
注 : Active Directory を使用したクライアント証明書マッピング認証と IIS を使用したクライアント証明書マッピング認証との相違点を次に示します。
- Active Directory を使用したクライアント証明書マッピング認証 - この認証方法の場合、IIS 7.0 サーバーおよびクライアント コンピューターが Active Directory ドメインのメンバーで、ユーザー アカウントが Active Directory に格納されている必要があります。このクライアント証明書認証方法では、Active Directory サーバーへの往復によりパフォーマンスが低下します。
- IIS を使用したクライアント証明書マッピング認証 - この認証方法では Active Directory が不要なため、スタンドアロン サーバーが使用されます。このクライアント証明書認証方法では、パフォーマンスは向上しますが、より多くの構成が必要であり、マッピング作成のためにクライアント証明書にアクセスできる必要があります。
詳細については、Microsoft TechNet Web サイトの「IIS 7.0 で認証を構成する」を参照してください。
互換性
| IIS 7.0 | IIS 6.0 | |
|---|---|---|
| 注意 | <authentication> の <clientCertificateMappingAuthentication> は IIS 7.0 で新たに導入された要素です。 |
なし |
セットアップ
<clientCertificateMappingAuthentication> 要素は、IIS 7.0 の既定のインストールには含まれていません。インストールするには、次の手順を実行します。
Windows Server 2008
タスク バーで [スタート] をクリックし、[管理ツール] をポイントして [サーバー マネージャー] をクリックします。
[サーバー マネージャー] ウィンドウのツリー表示で、[役割] を展開して [Web サーバー (IIS)] をクリックします。
[Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールして [役割サービスの追加] をクリックします。
役割サービスの追加ウィザードの [役割サービスの選択] ページで、[クライアント証明書マッピング認証] を選択して、[次へ] をクリックします。
.gif "拡大")
[インストール オプションの確認] ページで [インストール] をクリックします。
[結果] ページで [閉じる] をクリックします。
.gif "拡大")
Windows Vista
タスク バーで [スタート] をクリックし、[コントロール パネル] をクリックします。
[コントロール パネル] で、[プログラムと機能]、[Windows の機能の有効化または無効化] の順にクリックします。
[Internet Information Services] を展開し、[クライアント証明書マッピング認証] を選択して [OK] をクリックします。
.gif "拡大")
.gif "拡大")
方法
サーバーでクライアント証明書マッピング認証を有効にする方法
タスク バーで [スタート] をクリックし、[管理ツール] をポイントして [インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。
[接続] ウィンドウでサーバーの名前をクリックします。
サーバーの [ホーム] ウィンドウで [認証] をダブルクリックします。
.gif "拡大")
[認証] ページで ”Active Direct クライアント証明書の認証” を選択し、[操作] ウィンドウの [有効にする] をクリックします。
.gif "拡大")
.gif "拡大")
.gif "拡大")
構成
属性
| 属性 | 説明 |
|---|---|
enabled |
オプションの Boolean 属性。 Active Directory を使用したクライアント証明書マッピング認証を有効にするかどうかを指定します。この設定を有効にするには、IIS マネージャーでこの属性を設定する必要があります。他の方法でこの属性を設定する場合は、設定を有効にするために Web サーバーを再起動する必要があります。 既定値は false です。 |
子要素
なし。
構成サンプル
次の構成サンプルでは、Default Web Site に対して Active Directory を使用したクライアント証明書マッピング認証を有効にし、SSL を要求してクライアント証明書をネゴシエートするようにサイトを構成しています。
<location path="Default Web Site">
<system.webServer>
<security>
<access sslFlags="Ssl, SslNegotiateCert" />
<authentication>
<windowsAuthentication enabled="false" />
<anonymousAuthentication enabled="false" />
<digestAuthentication enabled="false" />
<basicAuthentication enabled="false" />
<clientCertificateMappingAuthentication enabled="true" />
</authentication>
</security>
</system.webServer>
</location>
サンプル コード
次のコード サンプルでは、Default Web Site に対して Active Directory を使用したクライアント証明書マッピング認証を有効にし、SSL を要求してクライアント証明書をネゴシエートするようにサイトを構成しています。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.webServer/security/access /sslFlags:"Ssl, SslNegotiateCert" /commit:apphost
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection clientCertificateMappingAuthenticationSection = config.GetSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "Default Web Site");
clientCertificateMappingAuthenticationSection["enabled"] = true;
ConfigurationSection accessSection = config.GetSection("system.webServer/security/access", "Default Web Site");
accessSection["sslFlags"] = @"Ssl, SslNegotiateCert";
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim clientCertificateMappingAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "Default Web Site")
clientCertificateMappingAuthenticationSection("enabled") = True
Dim accessSection As ConfigurationSection = config.GetSection("system.webServer/security/access", "Default Web Site")
accessSection("sslFlags") = "Ssl, SslNegotiateCert"
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var clientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");
clientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = true;
var accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site");
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert";
adminManager.CommitChanges();
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set clientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")
clientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = True
Set accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site")
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert"
adminManager.CommitChanges()