none
IIS8.5 https化につきまして RRS feed

  • 質問

  • いつもお世話になっております。
    Windows2012R2 IIS8.5で稼働中の社内Webシステム(一部、外部公開)を、https化しようと計画しており、
    先ずは自己署名入り証明書で検証を開始しようとしております。

    内部リンクのurlをhttpからhttpsに書き換える以外、例えばjQuery(https://ajax.microsoft.com/ajax/jquery.ui/1.8.6/jquery-ui.js 等)も、
    同様にhttpからhttpsへ変更する必要があると聞きましたが、それ以外についても全て変更すべきでしょうか。
    テキストエディターで検索してみたところ、jquery.validate.js内のhttp://docs.jquery.com/Plugins/Validation/Methods/remote や、
    『詳細については、<a href="http://go.microsoft.com/fwlink/?LinkId=403804">こちらの記事</a>をご覧ください。』等々、
    至る処にhttp://~の記述があるようです。
    これらをクリアしないと、正式にお金を払ってSSL証明書を購入したはいいものの、いざ開示すると『接続の安全性を確認できません』となってしまうと意味が無い事になってしまうと思われましたので、質問させて頂きました。

    以上、ご教示の程お願い申し上げます。
    2017年6月16日 3:58

回答

  • > それ以外についても全て変更すべきでしょうか。

    そのページで使用している画像、CSS、JavaScript などのリソースへの参照を http で始まる URL で行っていると、"セキュリティで保護されているコンテンツのみ表示されます。"(IE 場合)というメッセージが出るはずです。

    参照するファイルが自サーバーから取得できるものであれば URL を次のいずれかの形式に設定することで解決できると思います。

    (1) httpsで始まる絶対 URL パスを使う。
    (2) / (スラッシュ)で始まるサイトルート相対パスを使う。
    (3) 相対パスを使う。

    ただし、どうしようもないケースもあるかもしれません。詳しくは以下の記事を見てください。

    iframe の src 設定と SSL 通信
    http://surferonwww.info/BlogEngine/post/2011/11/15/src-attribute-of-iframe-and-warning-issued-during-SSL-communication.aspx


    > 先ずは自己署名入り証明書で検証を開始しようとしております。

    Active Directory ドメイン環境で Active Directory 証明書サービスが利用できれば、自己署名入り証明書(いわゆる、オレオレ証明書)でないサーバー証明書と、CA 証明書を発行してインストールし、接続時に警告を出さないで SSL 通信を行うことができます。

    なので「正式にお金を払ってSSL証明書を購入」は必要ないです。詳しくは以下の記事を見てください。

    Active Directory 証明書サービス
    http://surferonwww.info/BlogEngine/post/2012/02/05/Active-Directory-Certificate-Service.aspx

    Active Directory 証明書サービスが利用できない環境で、試験的に証明書を使いたい場合は、試験用の証明書を入手して使ってはいかがですか?

    テスト用無料 SSLサーバ証明書
    https://www.symantec.com/ja/jp/page.jsp?id=ssl-trial


    2017年6月16日 4:20

すべての返信

  • そのリンク先のサイトがHTTPSで公開していない限り、それらのサイトは暗号化されません。

    また「接続の安全性を確認できません」というのはおそらく自己証明書を使った際に出てくるエラーのことを指していると思います。そのエラーであれば、証明書を購入して正しい設定をすることで消えます。

    それとは別にブラウザの設定によっては、HTTPSのサイトからHTTPのサイトに移動したときに「 これ以降のページはセキュリティが確保されていません」といった警告が出る可能性はあります。

    もし自己証明書でも、SSL証明書を買ったときのようにエラーが出ないようにしたいのであれば、そのサーバーの自己証明書をクライアントの「信頼されたルート証明機関」などに入れておけば表示されないようにすることができます。

    ただし原因が信頼されているかどうかのみであればですが。
    たとえばIPアドレスで接続しているなど、自己証明書のcnと接続先に使うURLが一致してい無いことも原因だとそれが棋院でエラーとなっている可能性もあります。

    2017年6月16日 4:15
  • > それ以外についても全て変更すべきでしょうか。

    そのページで使用している画像、CSS、JavaScript などのリソースへの参照を http で始まる URL で行っていると、"セキュリティで保護されているコンテンツのみ表示されます。"(IE 場合)というメッセージが出るはずです。

    参照するファイルが自サーバーから取得できるものであれば URL を次のいずれかの形式に設定することで解決できると思います。

    (1) httpsで始まる絶対 URL パスを使う。
    (2) / (スラッシュ)で始まるサイトルート相対パスを使う。
    (3) 相対パスを使う。

    ただし、どうしようもないケースもあるかもしれません。詳しくは以下の記事を見てください。

    iframe の src 設定と SSL 通信
    http://surferonwww.info/BlogEngine/post/2011/11/15/src-attribute-of-iframe-and-warning-issued-during-SSL-communication.aspx


    > 先ずは自己署名入り証明書で検証を開始しようとしております。

    Active Directory ドメイン環境で Active Directory 証明書サービスが利用できれば、自己署名入り証明書(いわゆる、オレオレ証明書)でないサーバー証明書と、CA 証明書を発行してインストールし、接続時に警告を出さないで SSL 通信を行うことができます。

    なので「正式にお金を払ってSSL証明書を購入」は必要ないです。詳しくは以下の記事を見てください。

    Active Directory 証明書サービス
    http://surferonwww.info/BlogEngine/post/2012/02/05/Active-Directory-Certificate-Service.aspx

    Active Directory 証明書サービスが利用できない環境で、試験的に証明書を使いたい場合は、試験用の証明書を入手して使ってはいかがですか?

    テスト用無料 SSLサーバ証明書
    https://www.symantec.com/ja/jp/page.jsp?id=ssl-trial


    2017年6月16日 4:20
  • やき様
    お忙しい中ご回答誠に有難うございました。

    大変参考になりました。有難うございました。

    2017年6月20日 6:24
  • SurferOnWww様
    お忙しい中、ご回答誠に有難うございました。

    シマンテックのテスト用無料SSLサーバ証明書で検証する事が出来ましたので、
    正式に申請しました。

    この度は誠に有難うございました。

    2017年6月20日 6:26