次の方法で共有

SSL ブリッジとトンネリング

最終更新日: 2003年7月7日

Microsoft ISA Server 2000 Feature Pack 1 バージョン 1

SSL (Secure Sockets Layer) ブリッジとトンネリングは、ISA Server が SSL 要求を処理するための方法です。SSL ブリッジは、Web 公開シナリオで、ISA Server が SSL 要求を内部 Web サーバーへ SSL (HTTPS) として渡すか、HTTP として渡すかを指定するための機能です。SSL トンネリングは、サーバー公開を使用して、着信方向の SSL 要求を内部サーバーへルーティングするための機能です。SSL トンネリングは、内部クライアントからの発信方向の SSL 要求をインターネット上の Web サーバーへ渡すときにも使用します。

トピック

SSL ブリッジ

SSL ブリッジとデジタル証明書

SSL トンネリング

次の表は、着信方向の要求について、SSL ブリッジと SSL トンネリングを比較したものです。

SSL ブリッジと SSL トンネリング


 利点 欠点
SSL ブリッジ (SSL 要求を SSL としてリダイレクト) ホストヘッダーに基づいてルールを決定するなど、Web 公開の利点を生かすことができます。 SSL 接続は内部で終了し、再作成されるので、データを ISA Server で検証できます。 ISA Server コンピュータでもデジタル証明書を構成する必要があります。 証明書を内部 Web サーバーからエクスポートする場合は、名前解決の問題が発生する可能性があります。詳細については、後の「SSL ブリッジとデジタル証明書」を参照してください。
SSL ブリッジ (SSL 要求を HTTP としてリダイレクト) ホストヘッダーに基づいてルールを決定するなど、Web 公開の利点を生かすことができます。 SSL 接続は ISA Server で終了するので、データを ISA Server で検証できます。 ISA Server コンピュータでもデジタル証明書を構成する必要があります。 ISA Server コンピュータと Web Server コンピュータの間ではトラフィックが暗号化されません。
SSL トンネリング サーバー公開ルールを使って簡単に構成できます。 クライアント/サーバー間での暗号化された SSL トンネルを確立できます。 Web 公開の機能は提供しません。 ISA Server は SSL 通信トラフィックを受信しないので、暗号化されたデータが検証されないまま、内部ネットワークの最終的な宛先へ転送されます。

SSL ブリッジ

SSL 通信が必要なサーバーを公開する場合は、ISA Server コンピュータに SSL 証明書をインストールしておく必要があります。さらに、SSL 証明書を Web サーバーにインストールしておくこともできます。いずれの場合も、適切なプロトコルを使用して ISA Server から Web サーバーに SSL 要求が送信されるようにするために、必要に応じて SSL ブリッジを構成する必要があります。

SSL (Secure Sockets Layer) ブリッジは、各 Web 公開ルールのプロパティです。SSL ブリッジでは、ISA Server コンピュータで受信された SSL 要求が Web サーバーに SSL 要求と HTTP 要求のどちらとして渡されるかが、次のような方法で決定されます。

  • Web サーバーに SSL 証明書がインストールされていない場合、SSL および HTTP 要求は Web サーバーに HTTP 要求として渡されます。SSL で保護された通信は ISA Server により処理されますが、内部では HTTP として扱われます。

  • Web サーバーに SSL 証明書がインストールされている場合、SSL 要求は SSL 要求として、HTTP 要求は HTTP 要求として、内部 Web サーバーに渡されます。この場合、外部クライアントから ISA Server までと、ISA Server から Web サーバーまでの両方のレベルで、SSL で保護された通信が行われます。

Web サーバーに SSL 証明書がある場合、追加の証明書を購入せずに ISA Server で SSL 要求をリッスンするには、Web サーバーから証明書をエクスポートし、ISA Server コンピュータにインポートする必要があります。詳細については、「HOW TO:Export, Install, and Configure Certificates to Internet Security and Acceleration Server (英語情報)」 (https://go.microsoft.com/fwlink/?LinkID=10713) を参照してください。

SSL ブリッジの構成を変更するには

  1. [Web 公開ルール] ノードをクリックします。

  2. 適切な Web 公開ルールをダブルクリックします。

  3. [ブリッジ] タブをクリックします。

  4. 最初の 2 つのリダイレクトオプションについては、適切なリダイレクトを選択します。

    • SSL 要求を処理するために ISA Server の SSL 証明書を使用している (SSL 証明書が Web サーバーにインストールされていない) 場合は、[HTTP 要求のリダイレクト] および [SSL 要求のリダイレクト] で [HTTP 要求として処理] を選択し、[OK] をクリックします。この構成を次の図に示します。

    • ISA Server の証明書と共に既存の Web サーバーの SSL 証明書も使い続ける場合は、[HTTP 要求のリダイレクト] で [HTTP 要求として処理] を選択し、[SSL 要求のリダイレクト] で [SSL 要求] を選択して、[OK] をクリックします。

      注意 SSL の [ブリッジ] タブには、他に 2 つのオプションがあります。

    • [公開されたサイト用には保護されたチャネル (SSL) を要求する] では、ISA Server で受信された HTTP 要求が拒否されます。このオプションでは、HTTPS 要求で 128 ビット暗号を返すように指定することもできます。

    • [SSL Web サーバーへの認証には証明書を使う] では、Web サーバーへの ISA Server の認証に使用するクライアント証明書を指定できます。

ページのトップへ

SSL ブリッジとデジタル証明書

SSL ブリッジを使用して Web 公開する場合、Web 公開ルールの [動作] タブで指定したサーバー名または IP アドレスと、デジタル (SSL) 証明書で指定されている名前が一致しないという問題がよく発生します。この場合は、Web クライアントに 500 内部サーバーエラーページが返されます。

この問題は、次のいずれかの方法で解決できます。

  • サーバー上の名前と一致する新しい証明書を取得します。

  • Web 公開ルールの [動作] タブで、証明書の名前に合わせてサーバー名を変更します。さらに、その名前が内部 Web サーバーへマップされるようにローカル DNS サーバーを構成します。

  • Web 公開ルールの [動作] タブで、証明書の名前に合わせてサーバー名を変更します。ISA Server コンピュータの WINNT\system32\drivers\etc\hosts ファイルで、証明書および [動作] タブで使用されている名前を内部 Web サーバーの IP アドレスへ変換するためのマッピングを追加します。

詳細については、Troubleshooting_Web_Publishing.doc を参照してください。

ページのトップへ

SSL トンネリング

着信方向の SSL トンネリング

着信方向の SSL トンネリングとは、HTTPS プロトコル用のサーバー公開ルールに基づいて内部サーバーを公開するためのメカニズムです。すべての HTTPS 要求に対して内部サーバーを公開することも、クライアントアドレスセットを使用して特定のクライアントにのみ公開することもできます。

着信方向の SSL トンネリングを使用するには、内部サーバーに SSL 証明書がインストールされている必要があります。

クライアントアドレスセットの作成

HTTPS プロトコルを使用して内部サーバーにアクセスできるコンピュータを表すクライアントセットを作成します。すべての HTTPS 要求に対してサーバーアクセスを許可する場合は、この手順をスキップしてください。

クライアントアドレスセットを作成するには

  1. [ISA の管理] コンソールツリーで、[クライアントアドレスセット] を右クリックし、[新規作成] をポイントして、[セット] をクリックします。

  2. [クライアントセット] ダイアログボックスで、クライアントアドレスセットの名前を入力します。たとえば、「HTTPS サーバーのクライアント」のように入力します。必要に応じて、セットの説明を入力することもできます (省略可)。

  3. [追加] をクリックします。

  4. [IP アドレスの追加/編集] ダイアログボックスで、[開始アドレス] ボックスと [終了アドレス] ボックスを使用して、サーバーへのアクセスを許可するコンピュータの IP アドレスの範囲を定義します。手順 3 ~ 4 を繰り返して、その他の範囲を追加します。コンピュータを 1 つだけ追加するには、[開始アドレス] ボックスと [終了アドレス] ボックスで同じ IP アドレスを使用します。

  5. [クライアントセット] ダイアログボックスで [OK] をクリックします。

サーバー公開ルールの作成

HTTPS プロトコル用のサーバー公開ルールを作成するには

  1. [ISA の管理] コンソールツリーで、[サーバー公開ルール] を右クリックし、[新規作成] をポイントして、[ルール] をクリックします。

  2. [サーバー公開ルールの名前] ボックスに、「HTTPS プロトコルで内部サーバーを公開」などのルール名を入力し、[次へ] をクリックします。

  3. [アドレスマッピング] ページで、内部サーバーの IP アドレスと、ISA Server コンピュータの外部ネットワークアダプタの IP アドレスを入力し、[次へ] をクリックします。

  4. [プロトコル設定] ページで、[HTTPS サーバー] を選択します。

  5. [クライアントの種類] ページで、すべての HTTPS 要求に対してサーバーアクセスを許可する場合は [すべての要求] を選択し、特定のコンピュータに対してのみアクセスを許可する場合は [特定のコンピュータ (クライアントアドレスセット)] を選択して、[次へ] をクリックします。

  6. 手順 5 で [特定のコンピュータ (クライアントアドレスセット)] を選択した場合は、[クライアントセット] ページが表示されます。それ以外の場合は、手順 7 へ進んでください。このページで、作成したクライアントセットを指定して [次へ] をクリックします。

  7. [要約] ページの情報を確認して [完了] をクリックします。

発信方向の SSL トンネリング

クライアントブラウザが ISA Server サーバーを介して HTTPS オブジェクトを要求するときは、常に SSL トンネリング機能が使用されます。SSL (Secure Sockets Layer) トンネリングでは、ISA Server コンピュータを経由し、要求した Secure Hypertext Transfer Protocol (HTTPS) オブジェクトが格納されている外部 Web サーバーへ直接つながるトンネルが確立されます。図は、SSL トンネリング処理を示しています。

SSL トンネリング

  1. クライアントは、ブラウザのアドレスフィールドに次のように入力して、インターネット上の Web サーバーの SSL オブジェクトを要求します。 https://<URL 名>

  2. 次の要求が、ISA Server コンピュータのポート 8080 に送信されます。 CONNECT <サーバー名>:443 HTTP/1.1

  3. ISA Server は宛先 Web サーバーのポート 443 に接続します。

  4. TCP 接続が確立されると、ISA Server は次のものを返します。 HTTP/1.1 200 connection established

これ以降、クライアントは外部 Web サーバーと直接通信できるようになります。

SSL トンネリングは、既定ではポート 443 および 563 への発信方向のクライアント要求に対して機能します。ISA の管理 COM オブジェクト FPCTunnelPortRange を使用すれば、これ以外のポートに対する SSL トンネリングを追加できます。詳細については、「ISA Server Software Development Kit」を参照してください。

ページのトップへ