SSL/TLS セッションでの電子証明書

Reflection では、SSL/TLS 接続を確立する前にホスト (サーバ) を認証する必要があります。また、サーバによっては、ユーザ (クライアント) のユーザ認証で証明書が要求されることもあります。SSL/TLS セキュリティを使用するように Reflection が設定されている場合、認証は電子証明書によって処理されます。これらの証明書は、インターネット通信の安全性を守るための PKI (Public Key Infrastructure) に使用されているのと同じものです。

ユーザのコンピュータは、ホストによって提示された電子証明書を認識するように設定する必要があります。また、必要に応じて、クライアント認証のために証明書を提供するように設定する必要があります。コンピュータが正しく設定されていない場合、または認証で提示した証明書が無効な場合、SSL/TLS 接続を確立することはできません。

電子証明書の発行手段によっては、SSL/TLS セキュリティを使用して接続するのに、コンピュータに証明書をインストールしなければならないことがあります。

• ホスト証明書が VeriSign や Thawte などのよく知られた認証局 (CA) から取得されたもので、Windows の証明書格納場所を使用してホスト証明書に対応するように Reflection を構成した場合は、使用しているコンピュータにホスト証明書をインストールする必要はありません。発行者を信頼された CA として識別する証明書が、使用しているシステムの信頼されたルート認証局の一覧にすでに含まれています。
• Reflection の格納場所を使用して認証を要求するように Reflection を構成した場合、各クライアントコンピュータは必要な CA 証明書を Reflection 証明書マネージャにインポートする必要があります。
• 会社独自の認証局を作成した場合、各クライアントコンピュータはその認証局のルート証明書をインポートする必要があります。構成に応じて、Windows の証明書格納場所または Reflection の証明書格納場所にインポートします。
• ホストが自署証明書を作成した場合、必要なすべての証明書を各クライアントコンピュータにインストールする必要があります。構成に応じて、Windows の証明書格納場所または Reflection の証明書格納場所にインポートします。
• ホストがユーザ認証のためにクライアント証明書を要求した場合は、個人用証明書をインポートする必要があります。Reflection または Windows の個人用証明書格納場所を使用できます。

  注意: 既定では、[PKI の構成] ダイアログボックスの [証明書のホスト名と対象ホスト名が一致するかどうかを確認する] は有効になっています。この設定を有効にした場合、Reflection で構成するホスト名は、証明書の CommonName フィールドまたは SubjectAltName フィールドに入力されたホスト名と完全に一致している必要があります。ホストファイルを使用している場合は、ホストファイルに収められている名前が証明書内の名前と完全に一致することを確認してください。