のりのお仕事

アップグレードしたサーバーでテストを行うのですが、Webアプリなので、なにもしていないとどこからでも参照できる状態になっていてあまりよくないため、接続に関する設定をいれていきたいと思います。

必要な機能は２つです。
このふたつの機能は本番環境でも利用していくものです。
まず１つ目は、SSLの設定です。
現在の教務システムでもネットワーク越しにデータのやり取りが行われているのですが、実際には暗号化されておらず、情報がすべて丸見えなのですが、古いパッケージソフトなのでそういったことが考慮されていません。

やはり作る以上最低限のセキュリティは必須と考えますので、通信はSSLに統一する方向で考えています。

IIS７のIISマネージャーでは、「サーバー証明書」という項目があり、証明書を管理できるようになっています。
サーバー証明書は外部の機関から購入するのが基本ですが、ここでは自己署名入り証明書を作成します。

自己署名入り証明書はIISマネージャーで簡単に作成できるようになっています。
証明書ができたら、「バインドの編集」でSSLの設定を行います。
「バインドの編集」画面は、「Default Web Site」でマウスの右クリックをすると、メニューの中にあります。

「追加」ボタンを押して、種類を「https」に変更すると、「SSL証明書」の項目が出てくるので、作成した証明書を選択し、「OK」ボタンで登録完了です。

これでSSLでの接続ができるのですが、一覧の中には通常の「http」の設定もあるため、削除します。
これでテスト環境では、暗号化されたデータしかやり取りできなくなりました。

２つ目の設定は接続先を制限することです。
職場ではPCのアドレスは固定されており、部署ごとに決められています。
そこでIPアドレスで接続を制限するように設定を入れていきます。

この設定は「IPおよびドメインの制限」で行うのですが、項目が表示されていない場合は、追加する必要があります。

サーバーマネージャーの「役割」から、「役割サービスの追加」を選択し、一覧の中から「IPおよびドメインの制限」にチェックを入れてインストールを行います。

これでIPアドレス単位に制限をかけることができるようになります。
「IPおよびドメインの制限」を開き、まず「機能設定の編集」をクリックします。
「特定できないクライアントのアクセス」が通常「許可」担っているので、「拒否」に変更します。
これでだれでも接続できる状態から、接続できない状態に変えました。

次に「許可エントリの追加」で接続できるIPアドレスを登録していきます。特定のIPアドレスを入れることもできますし、範囲で指定することもできます。

この制限は、サイト全体ではなく、アプリケーション単位に行えるので、部署単位にアプリケーションを作成してその部署でしか使えないように設定できます。
今後本番環境でも部署単位の制限をかける予定にしているので、この設定を使って対応していきたいと思います。