このドキュメントでは、IIS Webサーバーをインストールし、静的コンテンツを提供するように構成するプロセスについて説明します。 静的コンテンツは、保存時にユーザーに配信されるWebページ（HTML）です。 逆に、動的コンテンツは、ASP.NET、従来のASPアプリケーション、またはPHPアプリケーションなどのWebアプリケーションによってレンダリングされます。 静的コンテンツは、すべてのユーザーに対して同じ情報を表示します。 動的コンテンツは、ユーザーの名前など、特定のユーザーに関する情報を表示できます。

静的コンテンツWebサーバーは、HTMLWebサイトをサポートするための最も単純なIIS構成です。 静的コンテンツWebサーバーは、内部または外部（パブリック）Webサイトをホストするために使用できます。 IIS 8をインストールすると、デフォルトで、静的コンテンツWebサーバーをサポートするために必要なすべてのIISモジュールがインストールされます。 デフォルトのインストールには、静的HTMLファイル、ドキュメント、および画像を提供する機能が含まれています。 IIS 8は、静的コンテンツを含むサーバーの既定のドキュメント、ディレクトリの参照、ログ記録、および匿名アクセスの使用をサポートしています。

Webサーバーのセキュリティを強化するには、要求フィルタリングを構成します。 手順については、記事を参照してください。

まず、IIS Microsoft管理コンソール（MMC）スナップインを見てください。 [スタート]、[管理ツール]、[インターネットインフォメーションサービス（IIS）マネージャー]の順に選択して、IISMMCを開きます。 MMCは、インストールされているすべてのIISコンポーネントを構成します。 コンソールの左側のペインにある[Webサイト]フォルダーでWebサイトを構成できます。 このフォルダを開くと、ウィンドウの左側にこのサーバーのすべてのWebサイトのリストが表示され、右側に各Webサイトの基本情報が表示されます（図2.1を参照）。

SSLポート（SSLポート）。 WebサイトがSecureSocketsLayerデータを受信するポートを指定します。 SSLを使用すると、データがクライアントとサーバー間を移動するときに、データを暗号化および/または認証できます（講義10を参照）。

前の場合と同様に、このポートのデフォルト443を変更する場合、クライアントはWebサイトを開くためにURLにポート番号を追加する必要があります。 たとえば、ポート番号を1543に変更した場合、クライアントはサイトにアクセスするためにhttps://www.beerbrewers.comではなくhttps://www.beerbrewers.com:1543と入力する必要があります。

詳細（オプション）

[詳細]ボタンをクリックすると、[詳細Webサイトの構成]ウィンドウが開き、追加のアドレスとIDが構成されます。 追加の識別子により、ユーザーは複数のアドレスのサイトにアクセスできます。 このアプローチは、DNS（ドメインネームシステム）を使用せずに、あるサイトのURLを入力するユーザーを同じコンピューター上の別のサイトに誘導する場合に役立ちます。 （詳細については、第8章を参照してください。） [高度なWebサイトの構成]ウィンドウでホストヘッダー名を指定して、複数のWebサイトが同じIPアドレスとポートを使用できるようにします。

ノードヘッダーについて..。 ホストヘッダーを使用すると、あるWebサイトアドレスを別のWebサイトアドレスと区別できます。 これらは通常、同じIPアドレスとポートを使用するように異なるWebサイトを構成するのに役立ちます。 ホストヘッダーは、サイトを開くためにブラウザのアドレスバーに入力する完全修飾DNS名です。 ホストヘッダーを使用すると、使用可能なIPアドレスを1つ確保しながら、アドレス空間を節約できます。 ページがHTTP1.1 Webブラウザーによって要求されると、要求の最初の部分は次のようになります。

GET./.HTTP/1.1 Accept：.image / gif、.image / xxbitmap 、。 image / jpeg、.image / pjpeg、.application / vnd.mspowerpoint 、。 application / vnd.ms-excel、.application / msword、。* / * Accept-Language：.en-us..Accept-Encoding：.gzip、.deflate .. Use61 r-agent：.Mozilla / 4.0。（互換性あり; .MSIE.6.0; .Windows.NT.5.2）ホスト：www.mywebsite.com

Hostの後のコードは、ホストヘッダーの名前（www.mywebsite.com）です。 IISはこれを使用して、適切なWebサイトにメッセージを送信します。

ホストヘッダー名はHTTP1.1プロトコルで最初に登場し、すべてのHTTP1.1準拠のブラウザーがそれらで動作します。 古いブラウザはホストヘッダーを送信せず、常にデフォルトのWebサイトに移動してIPアドレスを取得します。

助言..。 古いブラウザをサポートするために、Webサイトを一覧表示するデフォルトのIPアドレスページを作成し、Cookieを使用して顧客をそれらのサイトに誘導することができます。 Internet Explorerバージョン4およびNetscapeバージョン3以降はホストヘッダーをサポートしているため、この点については詳しく説明しません。 古いバージョンのブラウザのサポートの詳細については、MicrosoftのWebサイトを参照してください。

ノート..。 ホストヘッダー名はHTTP1.1プロトコルの一部であり、IISのFTP、メール、およびニュースサイトでは使用できません。 同じサーバー上に複数のサイトを作成する場合は、複数のIPアドレスを取得するか、異なるポートを使用する必要があります。 Secure Socket Layer（SSL）を使用している場合、ヘッダーは暗号化された要求に含まれているため、ホストヘッダーも使用できません。

IDを追加する..。 同じWebサイトに複数のアドレスを割り当てることができます。 このサイトは、個々のアドレスごとに、一度にすべての要求に応答します。 Webサイトに関連付けられている各アドレスは、IDと呼ばれます。 Webサイトの追加IDを作成するには、[Webサイト]タブの[WebサイトID]セクションにある[追加]ボタンをクリックします。 [高度なWebサイトの識別]ダイアログボックスが開きます（図2.3を参照）。

米。 2.3。[高度なWebサイトの識別]ダイアログボックス

各IDは一意であり、3つのアドレス（IPアドレス、TCPポート、またはホストヘッダー値）のいずれかを使用する必要があります。 有効なIPアドレス、ポート、またはホストヘッダー名を入力します。 [Webサイト]タブの[IPアドレス]フィールドと同様に、システムはコンピューターでこのアドレスをチェックしないため、有効なアドレスを入力してください。 将来、指定されたアドレスでサイトが見つからない場合は、ほとんど役に立たないことに注意してください。

同一の識別子の削除..。 IDを削除するには、IDを強調表示して、[削除]ボタンをクリックします。 このウィンドウで同一のサイト識別子をすべて削除することはできないため、[OK]ボタンはグレー表示されます。

IDの編集..。 IDを変更するには、IDを強調表示して、[編集]ボタンをクリックします。

同一のSSLIDの割り当て..。 Webサイトに複数のSSLIDを割り当てることができます。 SSLにはホストヘッダーがないため、IPアドレスとポート番号のみが変更されます。 サイトに証明書がインストールされていない場合、同一のSSL識別子のすべてのオプションが無効になります。

同一のSSL識別子の追加..。 [追加]ボタンをクリックして、SSLIDをWebサイトに追加します。 複数の識別子を追加できます。 SSL証明書は、IPアドレスではなく、サイト名に基づいていることに注意してください。 提供されたIPアドレスは、DNS名で処理する必要があります。 IPアドレスでアクセスしようとすると、サイトが利用できなくなります。

同一のSSL識別子の削除..。 WebサイトからSSLIDを削除するには、SSL IDを強調表示して、[削除]ボタンをクリックします。 同一のSSL識別子をすべて削除することはできません。

IDSSL識別子の変更..。 WebサイトのSSLIDを変更するには、Webサイトを強調表示して、[編集]ボタンをクリックします。

接続時間制限

[Webサイト]タブの[接続タイムアウト]設定は、サーバーがクライアントに対して開いている接続を維持する時間の長さを秒単位で指定します。 通常、ブラウザはサーバーにリクエストを送信して、接続を開いたままにします。 このプロセスはと呼ばれます HTTP接続のサポート（生き続ける）。 クライアントは複数の要求に対してオープン接続を使用し、クライアントもサーバーも要求ごとに接続を再確立する必要はありません。 これにより、特に低速接続のパフォーマンスが大幅に向上します。 要求を完了すると、クライアントはサーバーに接続を閉じることができ、サーバーが占有しているリソースを解放できることを通知します。

クライアントが何らかの理由で接続を閉じなかったとしましょう。 サーバーに閉じるように指示しない限り、無期限に開いたままになります。 接続タイムアウト値は、この時間間隔を設定するためだけのものです。

HTTP接続サポート機能の有効化

[HTTPキープアライブを有効にする]オプションはデフォルトで有効になっており、サーバーがリクエストを受け入れることができます HTTPキープアライブクライアントから。 このオプションを無効にすると、クライアントとサーバーの両方のパフォーマンスが大幅に低下します。

ログを有効にする

デフォルトでは、Webサイトでログが有効になっています。 標準のログタイプはW3C拡張ログファイルです。 ウィンドウで、ログの種類をオフにしたり変更したりできます。 ロギングについては、第11章で詳しく説明しています。

[Webサイトのプロパティ]ウィンドウの[パフォーマンス]タブ（図2.4を参照）は、帯域幅管理とサイト接続の数を構成します。

米。 2.4。

帯域幅管理

Bandwidth Throttlingパラメーターは、最大通信帯域幅（Kbps）を調整します。 この設定では、パケットをネットワーク経由で送信できるかどうかを判断するために、Windowsパケットスケジューラ（QOS-サービス品質アプリケーション）が必要です。 プログラムはデータをキューに入れ、指定された速度でネットワーク経由で送信します。 最大帯域幅を設定して[OK]をクリックすると、IISはWindowsパケットスケジューラを自動的にインストールします。

このパラメータを設定するときは、ローカルネットワーク通信チャネルの帯域幅が10、100、または1000 Mb / sであり、インターネットの速度は原則としてはるかに遅いことに注意してください。 たとえば、完全なT1リンクは1.544Mbpsです。 受け入れられるデフォルトが1024Kの場合、T1リンク速度よりもはるかに高速になります。

ノート..。 1バイトは8ビットに相当します。 1キロバイトは8192ビットに相当します。

ウェブサイトの接続

[Webサイト接続]ラジオボタンを使用すると、特定のサイトのクライアント接続の数を構成できます。 デフォルトは無制限です。 [接続制限先]を選択した場合は、0から2,000,000,000までの任意の数の接続を指定します。

[ISAPIフィルター]タブ

[ISAPIフィルター]タブ（図2.5を参照）で、サイトにISAPIフィルターを追加できます。 サイトに向けられたすべてのHTTPトラフィックは、ここで指定された順序でISAPIフィルターに渡されます。 ISAPI拡張機能は、関連付けられている拡張機能にのみ適用され、ISAPIフィルタはすべてのサイトトラフィックに適用されます。 これにより、特にISAPIフィルターが正しく記述されておらず、メモリリソースを浪費する可能性がある場合に、サイトのパフォーマンスが大幅に低下する可能性があります。 （ISAPIテクノロジの詳細については、IISコースのプログラミングの講義5を参照してください。）

米。 2.5。

ISAPIフィルターは特定の状態にあります。 下向きの赤い矢印は、フィルターが現在無効になっていることを意味します。 上向きの緑色の矢印は、フィルターがオンになっていることを意味します。

ISAPIフィルターの追加

ISAPIフィルターを追加するには、[追加]ボタンをクリックし、フィルターに名前を付けてから、トラフィックをフィルター処理する実行可能ファイルを選択します。 フィルタ名は、ユーザーフレンドリーで使いやすいものにする必要があります。

ISAPIフィルターの削除

ISAPIフィルターを削除するには、フィルターを強調表示して、[削除]ボタンをクリックします。

ISAPIフィルターの変更

ISAPIフィルターを変更するには、フィルターを強調表示して[編集]ボタンをクリックします。 編集できるのは、フィルターが指す実行可能ファイルのみであることに注意してください。 フィルタ名は変更できません。

ISAPIフィルターの有効化と無効化

フィルタが現在アクティブな場合は、フィルタ名を強調表示して[無効にする]ボタンをクリックすると無効にできます。 フィルタが現在無効になっている場合は、フィルタ名を強調表示して[有効にする]ボタンをクリックすると有効にできます。 フィルタを無効にすると、フィルタリストから削除せずに操作を一時停止できます。

実行順序の変更

複数のISAPIフィルターを使用する場合、通常、それらは特定の順序で実行されます。 この順序はこのウィンドウで設定されます。 リスト内のフィルターの優先度を上げるには、その名前を強調表示して、[上に移動]ボタンをクリックします。 リスト内のフィルターの優先度を下げるには、その名前を強調表示して、[下に移動]ボタンをクリックします。

[ホームディレクトリ]タブ（図2.6を参照）は、このサイトの場所とデータの処理方法を示しています。

IISをサイトコンテンツの場所にポイントする

IISがサイトコンテンツの場所を指すようにするには、適切なラジオボタンを選択します。

このコンピュータにあるディレクトリ..。 このオプションを選択し、[ローカルパス]フィールドで、サイトコンテンツが配置されている論理ドライブとディレクトリを指定します。 [参照]ボタンは、目的のディレクトリに移動したり、フィールドにパスを入力したりするのに役立ちます。

米。 2.6。

別のコンピューターにある共有..。 このオプションを選択すると、[ホームディレクトリ]タブのテキストが変更されます。 [ローカルパス]テキストボックスには[ネットワークディレクトリ]という名前が付けられ、[参照]ボタンは[名前を付けて接続]になります。 汎用名前付け規則（UNC）に従って、パスを\\ ServerName \ LocationNameとして入力します。 [名前を付けて接続]ボタンをクリックし、IISが[ネットワークディレクトリのセキュリティ資格情報]ダイアログボックスで指定した場所に接続するために使用するユーザー名とパスワードを設定します。 サーバーがシステムに登録されていない場合、サーバーにはネットワーク共有へのアクセストークンがありません。 また、入力したユーザー名とパスワードにより、IISが認証できるようになります。

IISは、サイトへの認証時にクライアントから提供されたユーザー名とパスワードを使用できます。 これを行うには、[ネットワークディレクトリセキュリティ資格情報]ダイアログボックスの[ネットワークディレクトリへのアクセスを検証するときに常に認証されたユーザーの資格情報を使用する]オプションを選択します。 ユーザーがリモートネットワークリソースへのアクセスを許可されていない場合、ユーザーはIISリソースにアクセスできません。

URLにリダイレクト..。 オプションを選択すると、[リダイレクト先]テキストボックスが表示されます。 クライアントがこのリソースに接続するときにアクセスするURLを指定します。 オプションの1つを確認してください。

• 上に入力された正確なURL（上記の正確なURL）。 [リダイレクト先]フィールドで指定されたURLにクライアントをリダイレクトします。 フィールドには、完全で有効なURLが含まれている必要があります。
• 入力されたURLの下のディレクトリ（指定されたURLの下のフォルダー）。 ブラウザでクライアントが指定した親ディレクトリの下の子フォルダにクライアントをリダイレクトします。 このオプションを選択した場合は、サブディレクトリの名前にスラッシュ（/）を付けて入力するだけです。
• このリソースの永続的なリダイレクト（このリソースへの永続的なリダイレクト）。 あるURLから別のURLにサイトを移動するときに使用されます。 「HTTP301PermanentRedirect」メッセージをクライアントに送信します。 一部のお客様は、このメッセージを受信した後、ブックマークを自動的に更新します。

ホームディレクトリオプション

[このコンピューターにあるディレクトリ]または[別のコンピューターにある共有]ラジオボタンを選択すると、以下のオプションにアクセスできます。 IISはファイルシステムに基づいているため、認証された（または匿名の）ユーザーは、アクセス許可を操作するときに適切なアクセス権を持っている必要があることに注意してください。

スクリプトソースアクセスオプション（スクリプトのソースコードへのアクセス）。 有効にすると、クライアントは適切な読み取り/書き込み権限を設定することにより、スクリプトソースコード（Active Server Pages、ASP）にアクセスできます。 スクリプトはサーバー側で処理されるため、クライアントにソースコードへのアクセスを許可せず、オプションを無効のままにします。

読み取りオプション（読む）。 このオプションを有効にすると、クライアントにファイルを読み取る権限が与えられます。 クライアントがWebサイトのWebコンテンツを操作している場合は、このオプションを有効にすることをお勧めします。 クライアントが書き込み権限でファイルをアップロードし、アップロードされたファイルの読み取りを除外できる場合、読み取りオプションは無効になります（関連するテクニカルノートを参照）。

書き込みオプション（録音）。 有効にすると、PUT機能をサポートするHTTP 1.1ブラウザを使用するクライアントは、このディレクトリにファイルをアップロードできます。

警告..。 ユーザーがディレクトリへのファイルの読み取りと書き込みを許可されている場合、誰でもファイルをアップロードして実行できます。 スクリプトを有効にすると、サーバー上で実行されるため、攻撃者が悪意のあるASPファイルをアップロードして実行し、サーバーに損害を与える可能性があります。

ディレクトリブラウジングオプション（ディレクトリを参照）。 このオプションを有効にすると、クライアントにはディレクトリ、つまりそのすべてのファイルを参照する権限が付与されます。 デフォルトのページが存在する場合は、クライアントに表示されます。 それ以外の場合、クライアントには、仮想ファイルを除くすべてのファイルとディレクトリのリストが表示されます。これらはファイルシステムにないためです。 このオプションを有効にすると、すべてのユーザーがサイトのファイル構造を表示できるため、セキュリティ上のリスクが生じます。

ログ訪問オプション（訪問のログを保持します）。 有効にすると、IISがログを記録している場合、このディレクトリへのすべてのアクセスがログに記録されます。

このリソースオプションにインデックスを付ける（このリソースにインデックスを付けます）。 有効にすると、インストールして有効にすると、カタログはMicrosoft IndexingServiceによってインデックスが作成されます。

アプリケーションオプション

[アプリケーション設定]セクションでは、アプリケーション設定を構成して境界を定義できます。 アプリケーションを作成するときに、作成したアプリケーションプールで実行するように指定できます。 これにより、アプリケーションを相互に分離し、ワークフローをカスタマイズして、分離したい問題のあるアプリケーション、スクリプト、またはコンテンツを処理できます。

アプリケーション名（アプリケーション名）。 作成するアプリケーションの名前を指定します。 テキストボックスが淡色表示され、[作成]ボタンが使用可能な場合、アプリケーションはまだ作成されていません。 [削除]ボタンが使用可能な場合は、このディレクトリにアプリケーションが定義され、その名前が[アプリケーション名]テキストボックスに表示されます。

実行権限（実行権限）。 このサイトで許可されるコンテンツのタイプを設定します。

• なし（番号）。 IISのデフォルトは6です。これは、すぐに使用できるIIS構成への重要な変更を表しています。 以前のバージョンでは、スクリプト（ASPなど）を標準のIISインストールで実行できました。 これにより、特にWindowsのインストール時にIISがデフォルトでインストールされたため、問題が発生しました。そのため、WindowsはIISとIISスクリプトの両方を実行するように構成されていました。 標準インストールでスクリプトを無効にすると、デフォルトで最も安全なIIS構成が提供されるようになりました。
• スクリプトのみ（スクリプトのみ）。 ASPスクリプトをサイトで実行できるようにします。 このオプションは、あらゆるタイプのスクリプトを実行できるため、必要な場合にのみ有効にする必要があります。
• スクリプトと実行可能ファイル（スクリプトと実行可能ファイル）。 スクリプトと実行可能ファイルをサイトで実行できるようにします。 実行可能カテゴリには、ファイル（.exe）、ダイナミックリンクライブラリ（.dll）、およびCommon Gateway Interfaceスクリプト（.cgi）が含まれます。 このオプションは、あらゆるタイプのファイルへのアクセスと実行を許可するため、必要な場合にのみ有効にする必要があります。

警告..。 実行権限で[なし]に設定されていないディレクトリでは、NTFSの書き込みとIISの書き込みの権限が無効になっていることを確認してください。

アプリケーションプール（アプリケーションプール）。 サイトのコンテンツを実行するアプリケーションプールを指定するのに役立ちます。 このリストには、IISMMCで作成されたアプリケーションプールからのデータが入力されます。 ホームディレクトリにアプリケーションがまだ定義されていない場合、フィールドは淡色表示になります。

アンロード

[アンロード]ボタンは、サンドボックス化されたアプリケーションをメモリからアンロードします。 アプリケーションがメモリにロードされ、構成に変更が加えられた場合、変更を有効にするには、アプリケーションをアンロードする必要があります。 ボタンが使用できない場合は、アプリケーションがメモリにロードされていないか、アプリケーションの開始ディレクトリにいないことを意味します。

構成

[構成]ボタンは、ディレクトリのアプリケーション構成設定を変更します。 表示される[アプリケーションの構成]ウィンドウ（図2.7を参照）で、ホームディレクトリとスクリプトおよび実行可能コンテンツとの相互作用のためのいくつかのパラメーターを構成できます。

米。 2.7。

[アプリケーションの構成]ウィンドウには、次のタブが含まれています。

[マッピング]タブ（ファイルタイプ）。 ファイル拡張子とISAPIDLLの関連付けを指定します。 デフォルトでは、すべてのASPライブラリ（.asa、.asp、.cdx、.cer）、データベースコネクタ（.idc）、およびバックエンドインクルード（.shtm、.shtml、.stm）が指定されています。 要求が着信すると、このリストを使用して、要求されているファイルの拡張子に応じて、コンテンツを渡すDLLを特定します。

[ISAPI拡張機能のキャッシュ]オプションが有効になっている場合、ISAPI DLLはメモリにキャッシュされ、IISはDLLを再ロードせずに関連する拡張機能の要求を処理します。 これにより、ASPを含むほとんどのISAPIアプリケーションのパフォーマンスが向上します。 このオプションはデフォルトで有効になっているため、無効にしないことを強くお勧めします。 無効にすると、IISはASP.DLLをロードし、ASPページが要求されるたびにアプリケーションとセッションの状態オブジェクトを作成します。 要求を処理した後、IISはすぐにASP.DLLをアンロードします。 アプリケーションのアンロード中にクライアントがASPページを要求すると、エラーが発生する可能性があります。 原則として、このオプションは、再起動が必要になるたびに、ISAPI.DLLコードをテストする場合にのみ無効になります。

独自のISAPI.DLLライブラリを追加し、それらにリンクを割り当てることができます。 次の手順に従って、DLLを追加および構成します。

1. [追加]ボタンをクリックします。 [アプリケーション拡張マッピングの追加/編集]ダイアログボックスが表示されます。
2. コンテンツを処理する実行可能ファイルの名前を入力します（またはファイルを参照します）。
3. 拡張子の名前を入力します。 延長の前にピリオドを付ける必要はありません。
4. 特定のHTTPコマンドのみをアプリケーションに渡すか、すべてを渡すかを指定します。 コマンドのセットを制限するには、許可されたコマンドをコンマで区切って入力します。
5. スクリプトエンジンをそのままにして、無効にする理由がない限り、ファイルが存在することを確認します。 次に、その目的について説明します。

HTTP動詞の制限（HTTPコマンドを制限します）。 HTTPクライアントは、コマンドを使用してサーバーアクションを要求します。 これらのコマンド（メソッド）は、HTTPのW3C仕様で定義されています。 最も一般的なメソッドはGET、HEAD、POST、およびTRACEですが、PUTおよびDELETEも使用されます。 攻撃に対する脆弱性を減らすために、コマンドセットを制限することをお勧めします。 たとえば、ASPファイルにリンクすると、セットがGET、HEAD、POST、およびTRACEコマンドに制限されます。 制限がある場合は、リスト内のコマンドのみがアプリケーションに送信されて処理されます。

1. • スクリプトエンジン（スクリプトマシン）。 このオプションはデフォルトで有効になっています。 この場合、IISはコンテンツを実行可能ファイルではなくスクリプトとして扱います。これにより、スクリプトがインタープリターにリンクされているため、ディレクトリに実行権限が含まれなくなります。
   • ファイルが存在することを確認する（ファイルの存在を確認しています）。 このオプションを有効にすると、IISは、スクリプトファイルの存在と、ファイルをインタープリターに送信する前にファイルを操作するためのユーザーのアクセス許可を確認します。 各スクリプトは2回開かれるため（テスト用に1回、スクリプトの読み取りとマシンへの送信用に1回）、このオプションを有効にするとパフォーマンスが低下します。 IIS 5では、このオプションはデフォルトで無効になっており、他の多くのオプションと同様に、セキュリティ上の理由からIIS6では無効になっています。

ノート..。 ISAPI拡張機能をリンクして有効にする場合でも、ホームディレクトリのアクセス許可で[スクリプトのみ]オプションが選択されていないと、機能しない場合があります。 この場合、スクリプトと実行可能ファイルのアクセス許可を有効にして、コンテンツを正常に処理します。

アプリケーションと拡張機能の関連付けを変更するには、拡張機能を強調表示して、[編集]ボタンをクリックします。 [追加]ボタンをクリックした後と同じウィンドウが、同じオプションで表示されます。

拡張機能からアプリケーションを削除するには、拡張機能を選択して[削除]ボタンをクリックし、削除を確認します。

ワイルドカードは、ISAPIアプリケーションをすべてのファイル拡張子にリンクするときに使用されます。 問題は、なぜISAPIフィルターを適用しないのかということです。 ISAPIフィルターとワイルドカードを使用したアプリケーション通信にはいくつかの違いがあります。 管理レベルでは、ISAPIフィルタはWebサイト全体に適用され、ISAPI拡張機能はディレクトリごとに設定されます。 サブディレクトリは、それ自体が含まれていない限り、親ディレクトリから拡張子を持つグループリンクを継承します（その場合、親リンクは無視されます）。

[挿入]ボタンをクリックして、アプリケーションリンクを追加します。 次に、実行可能ファイルの名前を入力して（またはファイルを参照して）、コンテンツを処理します。 [ファイルが存在することを確認する]オプションは、拡張リンクの場合と同じように機能し、セキュリティ対策です。

アプリケーションの関連付けを変更するには、拡張機能を強調表示して、[編集]ボタンをクリックします。 [追加]ウィンドウが表示され、同様のオプションが表示されます。

アプリケーションリンクを削除するには、拡張機能を強調表示して[削除]ボタンをクリックし、削除を確認します。

[上に移動]ボタンと[下に移動]ボタンは、ISAPIアプリケーションの通信優先度を設定します。 リクエストは、ここで指定された順序で、指定されたアプリケーションリンクを介して転送されます。

[オプション]タブ（オプション）。 [オプション]タブ（図2.8を参照）は、アプリケーション、スクリプトマシンの構成をセットアップし、セッションをサポートする方法を決定するために使用されます。

[セッション状態を有効にする]オプションは、サーバー上のクライアントセッションごとにサーバー側セッションを作成するようにASPを構成します。 セッション状態はASP.NETアプリケーションのweb.configファイルで構成されているため、このアプローチは通常のASPシナリオにのみ適用できます。 セッションにはユーザーに関するデータが保存され、ユーザーがアクセスした各ページに移動します。 プログラムでは、このデータはセッションオブジェクトの変数に格納されます。 セッション変数は大量のメモリを消費する可能性があるため、パフォーマンスを低下させないために、トラフィックレベルの高いサイトでセッション変数を大量に使用することはお勧めしません。

Session Timeoutパラメーターは、セッションが閉じられる前にアイドル状態である時間の長さを指定します。 1〜2,000,000,000分の値を入力します。 誰が知っているか、あなたは3800年でセッション変数を必要とするかもしれません。

米。 2.8。

助言..。 ASP Webフレームワークを使用している場合、またはワークフローのリサイクルを使用している場合は、セッション状態を使用して時間をかけてください。 ASP Webフレームワークでは、Webサイトに接続するときに、ユーザーは毎回異なるサーバーにアクセスする可能性があります。 セッション状態は（ユーザーが現在ログインしている場所ではなく）別のサーバーで作成されるため、セッション状態情報は失われます。 これは、セッション情報を含むワークフローをリサイクルするときにも発生します。 そのため、セッション状態の使用をオプトアウトするか、ASP.NETを使用することをお勧めします。

[バッファリングを有効にする]チェックボックスをオンにして、ブラウザに送信する前にすべての出力ASPスクリプトコンテンツをキャッシュするようにサーバーを構成します。 このオプションは、行ごとではなく、出力を1回送信します。 ただし、大きなスクリプトを処理する場合は、コンテンツを処理した直後にページを表示する必要があるため、このオプションを無効にする必要があります。

親パスを使用すると、ASPコードの相対パス名を使用してディレクトリにリンクできます。 親ディレクトリ内のスクリプトへのパスは、2つのドット（ ".."）で示されます。 これは、インクルードファイルなどの動的コンテンツにのみ適用されます。 静的コンテンツには、相対パスを使用してアクセスできます。 目的の場所に移動するためのディレクトリ構造を指定しなくても動的コンテンツを同じページで実行できるため、セキュリティ上の理由から、[親パスを有効にする]オプションはデフォルトで無効になっています。

ノート..。 IIS 6では、親パスはデフォルトで無効になっています。 コードに相対パスがあり、このコードが以前にIIS 5で実行されている場合は、コードを変更するか、[親パスを有効にする]オプションをオンにして、動的コンテンツがIIS6で実行されるようにする必要があります。

[既定のASP言語]オプションは、スクリプトのコンテンツを処理する言語を指定します。 スクリプトの内容はタグで示されます<% и %>..。 IIS 6には、Microsoft Visual Basic Sc​​ripting Edition（デフォルト）とMicrosoftJScriptの2つの言語が付属しています。 ActiveXスクリプトマシンをインストールして、サイトのコンテンツを解釈します。

ASP Script Timeoutは、スクリプトを実行するための最大時間を指定します。 このオプションを無効にすると、文字通りに記述されていないスクリプトが無期限に実行され、サーバーで問題が発生する可能性があります。 指定された時間が経過すると、スクリプトが停止し、処理されたコンテンツが制限時間に達したことを示すエラーメッセージとともにブラウザに送信されます。 1から2,000,000,000秒までの任意の間隔を指定します（つまり、63年です！）。

[サイドバイサイドアセンブリを有効にする]オプションを使用すると、ASPアプリケーションは特定のバージョンのアプリケーションでコードを実行できます。 アプリケーションの最新バージョンをサーバーにインストールできますが、古いDLLまたはEXEで特定のコードを実行します。 バージョン管理をカスタマイズするには、構成、場所、およびCOM登録情報を含むマニフェストファイル（XMLファイル）を作成します。 使用する正しいコンポーネントをIISに通知します。 異なるバージョンのリンクを使用して、マニフェストファイルを各仮想ディレクトリに追加します。

[デバッグ]タブ（デバッグ）。 [アプリケーションの構成]ウィンドウの[デバッグ]タブ（図2.9を参照）は、ASPスクリプトコードのテストの問題のトラブルシューティングに役立ちます。 有効にすると、IISはMicrosoft ScriptDebuggerを使用してコードを検査します。 IISは、サーバー側とクライアント側の両方のスクリプトをデバッグするように構成されています。 サーバーサイドスクリプトを有効にするとパフォーマンスに悪影響が及ぶため、これは必要な場合にのみ使用してください。 スクリプトでエラーが発生したときにクライアントに送信されるメッセージをカスタマイズできます。

米。 2.9。

• ASPサーバー側スクリプトのデバッグを有効にする（バックエンドスクリプトのデバッグを有効にします）。 このオプションを有効にすると、IISは、スクリプトデバッガーを使用して、処理中にコードを検査するように構成されます。
• ASPクライアント側スクリプトのデバッグを有効にする（クライアント側のスクリプトデバッグを有効にします）。 このオプションを有効にすると、クライアント側でMicrosoftScriptDebuggerを使用したASPページのデバッグが有効になります。 エラーが発生すると、クライアントはエラーをデバッグするかどうかを尋ねるメッセージを受け取ります。
• 詳細なASPエラーメッセージをクライアントに送信する（詳細なエラーメッセージをクライアントに送信します）。 デフォルトのオプションは、ファイル名と相対パス、特定のエラーメッセージ、およびエラーが発生した行番号を含む標準エラーメッセージを送信します。 これにより、クライアントはサイトの設定に関する詳細情報にアクセスできるため、セキュリティ上の理由から他のエラーメッセージを送信するのが理にかなっています。
• 次のテキストエラーメッセージをクライアントに送信します（次のエラーテキストメッセージをクライアントに送信します）。 このオプションを選択し、ASPスクリプトでエラーが発生したときにクライアントに送信される独自のメッセージのテキストを入力します。 たとえば、顧客がバグレポートを送信できる電子メールアドレスを含むメッセージを入力します。

隣接するバージョンのレイアウトを作成する

アプリケーションが古いバージョンのDLLを使用できるようにするマニフェストファイルを作成しましょう。 これは、隣接するバージョンをリンクする際の重要なオブジェクトであるため、最初に使用します。 ロードされたCOMオブジェクトに使用するグラフィカルユーザーインターフェイスに関する情報をIISに提供します。 ファイルをMyapp.xmlと呼びましょう。 このDLLを使用するすべての仮想ディレクトリに配置する必要があります。

次に、隣接するバージョンのリンクを使用するようにIISに指示する必要があります。 [オプション]タブで、[サイドバイサイドアセンブリを有効にする]オプションをオンにします。 次に、[マニフェストファイル名]フィールドにMyapp.xmlと入力します。 マニフェストファイルは同じディレクトリにあるため、ファイル名のみが指定されます。

[Webサイトのプロパティ]ウィンドウには、[ドキュメント]という別のタブがあります（図2.10を参照）。 標準のWebサイトページと、各ページに配置されるフッターを構成します。

米。 2.10。

デフォルトのコンテンツページを有効にする

このオプションは、リクエストURLにドキュメント名が指定されていない場合に表示するデフォルトのページを指定します。 たとえば、クライアントがhttp://www.microsoft.comに入ると、IISWebサーバーはデフォルトのドキュメントをチェックします。 このオプションを有効にすると、このドキュメントが表示されます。 このアプローチでは、アクセスした各サイトのドキュメントの名前をクライアントが指定する必要はありません。 デフォルトのドキュメントが定義されておらず、クライアントがドキュメントの名前を指定しなかった場合、イベントの今後の展開は、ディレクトリブラウジングが有効か無効かによって異なります。

• ディレクトリブラウジングが有効になっています。 サーバーは、ディレクトリの内容のリストを送信します。
• ディレクトリブラウジングは無効になっています。 サーバーはエラーメッセージを送信します：「この仮想ディレクトリの内容の表示は拒否されました。」

デフォルトのコンテンツを含むページの追加と削除

要求で特定のページが指定されていない場合、IISは指定されたページの名前を検索します。 ファイル名はページ名と一致する必要があるため、拡張子を指定することを忘れないでください。正しく指定してください（Default.htmはDefault.htmlと同じではありません）。 リストにファイル名を追加するには、[追加]ボタンをクリックして、ページの名前を入力します。 リストからファイル名を削除するには、ファイル名を選択して[削除]ボタンをクリックします。 削除の確認は必要ありません。

デフォルトのページ順序の設定

IISがページを検索するとき、デフォルトでは、IISはこのウィンドウで指定された順序でリストをチェックします。 IISは、名前が検索条件に一致する最初のページを使用します。 リストアイテムの順序を変更するには、ページ名を強調表示し、[上に移動]ボタンと[下に移動]ボタンを使用してページを目的の場所に移動します。

ドキュメントフッターを有効にする

ドキュメントフッターを有効にするには、このオプションをオンにします。 フッターは、すべてのページの下部に表示されるHTMLドキュメントです。 これは、サイトのすべてのページで、各ページにコード（またはファイル）を入力せずに、著作権などの情報を配置する必要がある場合に使用されます。 HTMLドキュメントには、タグを開かずに表示する特定のコードのみが含まれています ..。 タグは、フッターのテキストをフォーマットするために使用されます。 残念ながら、フッターは静的コンテンツ（HTML）を含むページにのみ配置できます。

このオプションを有効にした後、[参照]ボタンをクリックして、フッターとして使用するドキュメントを選択します。 ドキュメント内のコードはHTML互換である必要があり（スクリプトが含まれていてはなりません）、拡張子が.HTMのファイルを使用する必要はありません。

[ディレクトリセキュリティ]タブ（図2.11を参照）は、サイトのセキュリティ設定を構成するために使用されます。IISクライアント認証を構成し、サーバーに接続できるクライアントを指定し、クライアントとサーバー間の接続を保護します。

米。 2.11。

認証とアクセス制御の設定の変更

このセクションでは、セキュリティを確保するためにサイト認証のタイプを選択します。 NTFSセキュリティとIISセキュリティ対策の間の相互作用、およびWebページへの認証を行うユーザーへの影響に注意してください。 [編集]ボタンをクリックして、認証とアクセス制御の設定を変更します。 [認証方法]ダイアログボックスが開きます（図2.12を参照）。

米。 2.12。

匿名アクセスオプションを有効にする（匿名アクセスを有効にします）。 このオプションを有効にすると、ユーザーは資格情報を入力せずにWebページに接続します。 セキュリティのコンテキストでは、Guestアカウント（インターネット上のゲストアカウント）が使用されます。 IISのインストール中に作成され、IUSR_という名前が付けられます<имя_компьютера>..。 このオプションを使用すると、このアカウントを使用してサイトにアクセスするすべての匿名ユーザーのセキュリティ対策を構成できます。 ゲストインターネットアカウントをオプトアウトして、代わりに別のアカウント（ローカルまたは信頼できるドメインにある）を使用できます。

助言..。 Webページへのアクセスに使用されるアカウントには、NTFSレベルのファイル権限が必要です。 これらの権限の設定の詳細については、第6章を参照してください。

次の手順に従って、匿名アクセスアカウントを選択します。

1. [認証方法]ダイアログボックスにアカウント名を入力します。 ドメインアカウントの場合は、domain_name \ usernameの形式を使用します。
2. [参照]ボタンをクリックして、目的の名前を見つけます。 標準のWindows2003オブジェクト選択ウィンドウが表示されます。
3. このウィンドウで、ユーザーアカウントの名前とその場所を選択します。 [詳細]ボタンをクリックして検索できます。
4. アカウントを選択したら、[OK]ボタンをクリックします。
5. アカウントのパスワードを[パスワード]テキストボックスに入力します。 [OK]ボタンをクリックすると、パスワード確認ウィンドウが表示されます。

ユーザー名とパスワードを指定すると、IISはこの情報を検証しません。 データが正しく入力されていない場合、IISはサイトへの匿名アクセスを無効にして機能します。 Internet Explorerは、ログインしたユーザー資格情報などの他の認証方法を自動的に使用するため、これを検出することは困難です。 管理者はリソースにアクセスできますが、ゲストユーザーはアクセスできません。 このプロセスを記録するサイトログファイルを使用して、現在認証されているユーザーを見つけることができます。 指定したリソースにアクセスできないアカウントを使用する場合は、認証データを入力するためのウィンドウが表示されます。

認証されたアクセス..。 [認証方法]ウィンドウの[認証済みアクセス]セクションには、サイトで有効になっている認証タイプが表示されます。 IISゲストアカウントがリソースにアクセスできない場合、IISは使用可能な認証の種類を確認します。

• 統合Windows認証..。 最も安全な認証方法であり、HTTPプロキシがない場合のInternetExplorerブラウザのすべてのバージョンに最適です。 バージョン2.0以降のすべてのIEブラウザに組み込まれています。 Netscapeのようなブラウザは、この認証方法をサポートしていません。 Windows統合認証は、サーバー上でNTチャレンジ/レスポンスまたはKerberosプロトコルを使用します。 Kerberosは、Kerberosクライアントとサーバーがサポートされており、信頼できるキー配布センター（KDC）が使用可能な場合に使用されます。 それ以外の場合は、NT要求/応答の原則。

Windowsドメインサーバーの分析認証..。 分析認証は、ActiveDirectoryアカウントを使用して利用できます。 この方法は、いくつかの危険性を伴いますが、基本認証よりも安全です。 Active Directoryに加えて、HTTP 1.1も必要であるため、分析認証は、このプロトコルをサポートする新しいバージョンのブラウザーでのみ機能します。 ドメインコントローラーは、クライアントから送信されたランダムな情報のパスワードをチェックするために、各パスワードのオープンコピーを保持する必要もあります。 これはセキュリティ上の脅威です。 パスワードをプレーンテキストでディスクに保存することは明らかなリスクです。そのため、ドメインコントローラーが侵入から安全に保護されていることを確認してください。そうしないと、攻撃者が必要なパスワードを見つけ出す可能性があります。 分析認証の利点は、基本認証のように、パスワードがネットワークを介して平文で送信されないことです。

分析認証は単純なハッシュであるため、ファイアウォールとプロキシを介して機能します。 また、Webベースの分散オーサリングおよびバージョン管理（WebDAV）ディレクトリでも使用できます。 分析認証にはドメインが必要なため、ドメインを選択すると、[レルム]フィールドが使用可能になります。 分析（または基本）認証が有効になっていない場合、[レルム]フィールドは使用できません。 このフィールドは、認証に使用されるユーザーアカウントデータベースを指定します。 キーボードを使用してフィールドに領域の名前を入力するか、[選択]ボタンを使用して領域のリストから目的の名前を選択します。

• 基本認証..。 ユーザー名とパスワードがクリアテキストで送信される、最も単純で最も用途の広い認証方法。 この方法は暗号化を使用しないため、簡単に解読できます。 この方法の利点は、その汎用性です。 分析認証と同様に、認証に使用するユーザーアカウントデータベースを指定します。 [レルム]テキストボックスにレルム名を入力するか、[選択]ボタンをクリックしてリストから目的のレルムを選択します。
• .NETパスポート認証..。 Microsoftテクノロジで使用される新しい認証方法。 これにより、顧客はパスポートをサポートするWebサイトへのシングルサインオンを使用できます。 パスポートサポートを提供するには、機能する.NET Central PassportServerが必要です。 .NET Passport Serverは、Microsoft MSDN Webサイト（http://msdn.microsoft.com）からダウンロードできます。 この認証方法を選択すると、[デフォルトドメイン]フィールドがアクティブになります。 IISサーバーはドメインのメンバーである必要があります。 認証用のデフォルトドメインを指定する必要があります。 フィールドに名前を入力するか、[選択]ボタンを押してリストから選択します。

IPアドレスまたはドメイン名によるアクセスの制限

IISでは、ユーザー名とパスワードを指定せずに、ユーザーサイトへのアクセスを制限できます。 IPアドレス制限は、サイトへのアクセスを許可または拒否される特定のユーザーグループを指定します。 これは、次の場合に使用されます。

• 特定のユーザーグループにサイトへのアクセスを提供する必要があります。
• アクセスが許可されているユーザーのすべてのIPアドレスがわかっています。
• 他のユーザーによるサイトへのアクセスを拒否する必要があります。
• アクセス制御のように認証の必要はありません。または、別の制限を使用する必要があります。

IPアドレスでアクセスを制限する場合は、これらの制限を構成する必要があります。 [ディレクトリセキュリティ]タブの[IPアドレスとドメイン名の制限]領域にある[編集]ボタンをクリックします。 [編集]ボタンをクリックすると、[IPアドレスとドメイン名の制限]ダイアログボックスが開きます（図2.13を参照）。 制限の設定方法を選択する必要があります。特定のユーザーを除くすべてのユーザーへのアクセスを拒否するか、すべてのユーザーへのアクセスを許可して、特定のユーザーのサイトへのアクセスを禁止します。 [許可されたアクセス]オプションを選択すると、制限アプローチが忠実になります。 [アクセスの拒否]オプションを選択すると、「いくつかの例外を除いて、すべてのユーザーへのアクセスを拒否する」という原則が適用されます。

米。 2.13。

IPアドレス制限の変更..。 [追加]ボタンをクリックして、IPアドレスをリストに追加します。 選択したオプションに応じて、[アクセスの許可]または[アクセスの拒否]ウィンドウが表示されます。

アクセスを許可するか拒否するかの選択は、グローバルな決定です。 一部のIPアドレスへのアクセスを拒否したり、他のIPアドレスへのアクセスを許可したりすることはできません。 ここでは、「オールオアナッシング」の原則に基づいて行動する必要があります。 必要なアクセスの種類を選択します。

• 1台のコンピューター..。 アクセスリストにIPアドレスを入力できます。 このようにして、複数のコンピューターを順番に指定できます。 コンピュータのIPアドレスがわからない場合は、[DNSルックアップ]ボタンをクリックして、名前でIPアドレスを確認します。
• コンピューターのグループ..。 ネットワークIDとサブネットマスクを入力して、コンピューターをリストに追加できます。 可変長サブネットマスクを使用すると、リスト内のIPアドレスを非常に正確に識別できます。
• ドメイン名..。 ドメイン名を入力して、そこからのサイトへのアクセスを拒否できます。 このオプションを使用するときは注意してください。サーバーに接続している各クライアントを検索して、拒否されたドメインのメンバーであるかどうかを確認します。 これはパフォーマンスに悪影響を及ぼし、クライアント認証の遅延を引き起こします。 逆引き参照は、通常、完了するのに時間がかかります。

アクセスの種類を選択して構成したら、[OK]をクリックして、対応するエントリがリストに表示されるようにします。

削除するには、エントリを強調表示して[削除]ボタンをクリックします。 編集するには、エントリを強調表示して[編集]ボタンをクリックします。

接続セキュリティ

[ディレクトリセキュリティ]タブの[セキュリティで保護された通信]領域は、認証と暗号化の証明書を構成するために使用されます。 これにより、証明書要求の作成、証明書の割り当て、エクスポート、インポート、およびバックアップ、クライアント証明書とのサーバーの相互作用の構成が可能になります。

このサーバーで証明書を構成するには、[サーバー証明書]ボタンをクリックします。 Webサーバー証明書ウィザードウィンドウが表示されます。 [次へ]ボタンをクリックして、証明書の割り当て設定を変更します。

• 新しい証明書を作成する（新しい証明書を作成します）。 認証局（CA）に送信される要求を構成できます（講義10を参照）。 リクエストはオンライン証明書オフィスに送信されるか、ファイルに保存されてから、登録プロセスを通じてファイルが証明書オフィスに送信されます。 サーバーに証明書サービスをインストールして、要求をオンライン認証局に送信します。

  助言..。 企業認証局（CA）はActive Directoryにあり、DNSにSRVレコードがあるため、それらを見つけることができます。 SRVおよびDNSレコードの詳細については、第8章を参照してください。 このコンピューターに別の証明書ビューローがインストールされている場合、IISはそれを認識できません。 ただし、証明書を手動で承認してインストールできるため、これはそれほど大きな問題ではありません（IISコースのプログラミングの講義7を参照）。 CAを安全な場所に配置することをお勧めします。 脆弱なWebサーバーは、この目的には適していません。

  認証局に送信するリクエストを作成するときは、次の手順に従ってください。

  1. [新しい証明書の作成]オプションを選択し、[次へ]ボタンをクリックします。
  2. [今すぐリクエストを準備するが、後で送信する]オプションを選択し、[次へ]ボタンをクリックします
  3. 証明書に必要な名前を入力します。任意の名前を指定できます。
  4. 証明書の長さをビット単位で指定します。 512、1024、2048、4096、8192、または16384ビットを選択して、複雑なハッシュを作成できます。
  5. この証明書を生成する暗号化サービスプロバイダー（CSP）を選択する場合は、適切なオプションを選択してください。 CSPは、証明書の生成に使用されるアルゴリズムです。
  6. 組織の名前を入力し、組織単位を入力します。 商業証明書局のサービスを使用するときは、正式な事業名を提供する必要があることに注意してください。 [次へ]ボタンをクリックします。
  7. 共通のサイト名を入力します。 サイトで使用されているDNSまたはNetBIOS名と一致する必要があります。 各証明書は特定の名前に対応しているため、1つの名前にのみ適しています。 別のDNSまたはNetBIOS名を使用する場合は、新しい証明書を取得する必要があります。 [次へ]ボタンをクリックします。
  8. City、State、Countryフィールドに情報を入力します。 収縮を避けてください。 [次へ]ボタンをクリックします。
  9. リクエストを送信するファイルの名前と場所を入力します。 このファイルは証明書要求で使用されるため、注意してください。 [次へ]ボタンをクリックします。
  10. 次のウィンドウはレポートウィンドウです。 入力した情報が正しいことを確認してください。 [次へ]ボタンをクリックします。
• 既存の証明書を割り当てる（既存の証明書を割り当てます）。 このコンピューターに保存されている正しい証明書をWebサイトに割り当てることができます。 オプションを選択すると、このコンピューターの証明書のリストが表示されます。 それらの1つを強調表示して、[次へ]ボタンをクリックします。 サイトのSSLポートを選択します。 現在のウィンドウでは、デフォルトのポートが設定されています（443）。 クライアントはデフォルトでポート443でSSL接続を確立するため、絶対に必要な場合を除いて、この値を変更しないでください。ポート番号を選択したら、概要画面を確認してウィザードを完了します。 インストールされた証明書は、クライアントがすぐに使用できます。
• KeyManagerバックアップファイルから証明書をインポートする（キーマネージャーアーカイブから証明書をインポートします）。 Windows NT 4.0 KeyManagerプログラムを使用してエクスポートされた証明書をインポートできます。 オプションを選択した状態で、保存された.keyファイルの場所に移動し、ファイルを選択します。 次に、サイトのSSLポートを指定し、結果の画面を表示して、ウィザードを完了します。
• .pfxファイルから証明書をインポートする（.pfxファイルから証明書をインポートします）。 個人情報交換構文標準またはPKSC＃12に準拠する証明書ファイルをインポートできます。 これは、証明書をポータブル形式で保存または転送するための標準です。 インポート後に証明書をアーカイブまたはエクスポートする必要がある場合は、[証明書をエクスポート可能としてマーク]オプションをオンにします。 .pfxファイルを選択した後、エクスポート中にファイルを安全に保つためのパスワードを入力します。 次に、サイトのSSLポートを指定し、結果の画面を表示して、ウィザードを完了します。

• リモートサーバーサイトからこのサイトに証明書をコピーまたは移動する（証明書をリモートサーバーからこのサイトにコピーまたは移動します）。 別のウェブサイトから証明書を取得することが可能です。 このオプションは、セキュリティ上のリスクであるファイルへの証明書のエクスポートを防ぎます。 次の手順に従って、リモートWebサーバーから証明書をコピーまたは移動します。

  1. [IIS証明書ウィザード]ウィンドウで、[証明書をリモートサーバーサイトからこのサイトにコピーまたは移動する]オプションを選択し、[次へ]ボタンをクリックします。
  2. [証明書のコピー/移動]ダイアログボックスで、目的のアクションを選択します。
  3. このWebサイトから証明書をエクスポートするかどうかを選択します。 [次へ]ボタンをクリックします。
  4. 証明書のインポート元のコンピューターの名前を入力します（またはコンピューターを参照します）。
  5. 証明書にアクセスするための十分な権限を持つユーザーの資格情報を入力し、[次へ]をクリックします。
  6. 証明書のインポート元のサイトの場所を指定します。 [参照]ボタンを使用して、リストからこの場所を選択します。 [次へ]ボタンをクリックします。
  7. 表示されるウィンドウで詳細を確認し、正しい証明書をインポートしたことを確認してください。

証明書の処理..。 CAから応答を受信した後、保留中の証明書要求を処理します。 これを行うには、次の手順に従います。

1. [ディレクトリセキュリティ]タブの[サーバー証明書]ボタンをクリックして、Webサーバー証明書ウィザードを再度実行します。
2. [サーバー証明書]ダイアログボックスで、[保留中の要求の処理]オプションを選択し、証明書をインストールします。 [次へ]ボタンをクリックします。
3. CAから受信した応答ファイルの名前を入力して（またはその場所を参照して）、[次へ]をクリックします。
4. サイトで使用するSSLポート番号を入力します。 [次へ]ボタンをクリックします。
5. レポートウィンドウを確認して、情報が正しいことを確認します。
6. [次へ]ボタンをクリックしてから、[完了]ボタンをクリックします。

これで、サイトに正しい証明書が追加され、証明書応答ファイルのインストール時に指定されたポートに使用できるようになりました。 応答がない場合は、保留中の要求を削除する必要があります。 これを行うには、次の手順に従います。

1. Webサーバー証明書ウィザードで、[保留中の要求の削除]オプションを選択します。 次のダイアログボックスに、ウィザードの操作を続行すると、この要求への応答を処理できなくなることを示すメッセージと、続行を拒否する提案が表示されます。
2. [次へ]ボタンをクリックして、リクエストを削除します。
3. [完了]ボタンをクリックして、ウィザードを完了します。

インストールされた証明書の詳細を表示する..。 証明書がインストールされている場合は、[ディレクトリセキュリティ]タブの[証明書の表示]ボタンをクリックして、その情報を表示します。

• [一般]タブ（全般的）。 証明書に関する情報が含まれています：証明書の目的、証明書の発行者、証明書の顧客、証明書の有効期間。
• [詳細]タブ（詳細）。 証明書に関する非常に重要な情報が含まれています。 そこから、証明書のすべてのプロパティを表示し、証明書のエクスポートウィザードを実行し、特定の証明書の目的を有効または無効にし、さまざまな証明書ビューローからの複数のダウンロード場所を指定できます。
• [認定パス]タブ（証明書パス）。 この証明書のCA証明書階層を表示できます。 証明書が有効かどうかに関する情報を表示します。

安全な接続の変更..。 [編集]ボタンを使用して、証明書の関連付けと信頼リストを変更できます（図2.14を参照）。 SSLの強制使用を設定することができます。

米。 2.14。

[セキュリティで保護されたチャネルを要求する]オプションは、サイトにSSLを適用します。 SSLを使用しないブラウザは、サイトへのアクセスを拒否されます。

[128ビット暗号化が必要]オプションを使用すると、強力な暗号化を適用できます。 これにより、暗号化が弱いブラウザがサイトにアクセスするのを防ぎます。 128ビット暗号化を実装するInternetExplorerの更新プログラムは、Microsoft（http://www.microsoft.com/ie）から入手できます。 これらは、米国が情報の禁止を課している多くの州の一部ではない国のすべてのユーザーがダウンロードできます（Microsoftは米国政府機関であるため）。

クライアント証明書を使用すると、サイト上の接続ユーザーの識別が実装されます。 クライアント証明書は、アクセスを制御する方法です。 以下の設定が可能です。

• 無視（無視）。 デフォルトオプション。 提供されたクライアント証明書は受け入れられません。
• 承認（承認）。 証明書を受け入れます。 オプションの証明書の関連付けを構成できます。 クライアント証明書がないブラウザであれば、サイトにアクセスできます。
• 必須（要求する）。 証明書を使用する必要があります。 証明書のないクライアントは、サイトへのアクセスを拒否されます。 このオプションを選択するには、[セキュリティで保護されたチャネルが必要]オプションもオンにする必要があります。

証明書バインディングの設定は、Windowsアカウントでクライアントコンピューターを認証するように設計されています。 関係には、1対1と多対1の2種類があります。

• 1対1の関係..。 ユーザーアカウントが独自の証明書を持っている場合に使用されます。 ユーザーアカウントには複数の証明書を関連付けることができますが、この機能には少なくとも1つの一意の証明書が必要です。 証明書がインポートされてアカウントに関連付けられ、ユーザーの認証に使用されます。
• 多対1の関係..。 複数の証明書がユーザーアカウントに関連付けられている場合に使用されます。 部門や組織の名前など、証明書に関する情報を使用して、クライアント証明書のグループ基準を指定します。 これらの詳細が一致する場合、指定されたアカウントが使用されます。

[プロパティ]ウィンドウの[HTTPヘッダー]タブ（図2.15を参照）は、コンテンツの有効期限、コンテンツのレーティング、およびMIMEタイプを構成し、HTTPヘッダーを追加します。

米。 2.15。

コンテンツの有効期限の設定

このオプションは、Webサイト上のファイルの有効期限を設定し、指定された期間が経過するとコンテンツのキャッシュを停止するために使用されます。 有効期限は、リクエストに応じてコンテンツとともに渡されます。 CACHECONTROLまたはEXPIRESプロパティを持つRESPONSEオブジェクトは、ASPページのキャッシュの有効期限と有効期限を設定するために使用されますが、グラフィックでは機能しません。 このオプションは、以下のパラメーターを使用して、指定された機能を実行します。

すぐに期限切れ（即時有効期限）。 リクエスターがデータをキャッシュできないようにします。 コードに変更を加える場合は、テストサイトまたは開発サイトで使用して、古いバージョンがIEフォルダーにキャッシュされないようにすることをお勧めします。 このオプションは、ユーザーが毎回新しい結果を受け取るときにコンテンツが動的に変化するページでも機能するため、このページのデータはオフラインフォルダーにキャッシュされません。

有効期限後（有効期限後）。 期間を分、時間、または日で設定します。 1分から32、767日（これはわずか90年）の間の任意の値を指定できます。

有効期限（有効期限）。 特定の時間におけるコンテンツの有効期限を設定します。 現在の日付より前の有効期限を指定することはできません。 2035年12月31日までの日付が表示されます。 この日付はお客様が処理するため、お客様のタイムゾーンによって管理されており、ゾーンによってコンテンツの有効期限が異なる場合があります。

カスタムHTTPヘッダー

このセクションでは、クライアントがサーバーから受信する通常のヘッダーに加えて、クライアントに送信されるカスタムHTTPヘッダーを作成できます。 特別なヘッダーには、クライアントに役立つ追加のデータが含まれています。 また、IIS6でネイティブにサポートされていない新しいHTTP標準もサポートしています。

次の手順に従って、カスタムタイトルを追加します。

1. [追加]ボタンをクリックします。 [カスタムHTTPヘッダーの追加/編集]ダイアログボックスが表示されます。
2. 表示されたフィールドにカスタムタイトルの名前を入力します。
3. 表示されたフィールドにカスタムヘッダー値を入力します。
4. [OK]ボタンをクリックします。

タイトルは[編集]ボタンで変更し、[削除（削除）]ボタンで削除します。 カスタムヘッダーを削除しても、削除の確認を求めるメッセージは表示されません。

コンテンツのレーティング

サイトの内容を評価することが可能です。 これは、インターネットコンテンツレーティング協会（ICRA）によって開発された自主的なシステムです。 ICRAは非営利の独立した組織であり、親が子供がインターネット上で何を見ることができるかについて客観的な決定を下せるようにします。 このシステムは2つの部分で構成されています。最初にサイトがウェブマスターによって評価され（ICRAは評価しません）、次にエンドユーザーがブラウザオプションを設定して特定のサイトのコンテンツをブロックします。

古いRSACi標準と新しいICRAシステムの2つのコンテンツレーティング標準が使用されます。 IIS 6は、4つのカテゴリのコンテンツを評価するRSACiをサポートしています。

1. 暴力。
2. セックス。
3. ヌーディズム。
4. 冒涜。

システムを評価した後、ウェブマスターはフィードバックと評価の議論のためにコンテンツを評価した人の電子メールアドレスを提供します。 評価の有効期限を設定すると、評価が機能しなくなります。

サイトコンテンツのレーティングを有効にする..。 以下の手順に従ってください。

1. [HTTPヘッダー]タブの[レーティングの編集]ボタンをクリックして、[コンテンツのレーティング]ダイアログを開きます。
2. [コンテンツのレーティング]ウィンドウで、[このコンテンツのレーティングを有効にする]オプションをオンにします。
3. 設定するグレードを選択します。
4. スライダーを使用して、レベルを0から4に設定します。
5. 1つの評価またはすべてを一緒に設定します（必要な場合）。
6. 表示されたフィールドにメールアドレスを入力します。 通常、これには代表的なアカウントを反映するアドレスが含まれます（たとえば、 [メール保護]).
7. 有効期限をご記入ください。 日付は現在の日付より大きくする必要があります。 2035年12月31日より前の日付を入力してください。
8. [OK]ボタンをクリックします。

MIMEタイプ

多目的インターネットメール拡張機能（MIME）は、IISがクライアントに提供するファイルの種類を定義します。 IIS 6は、スクリプトまたは特定のMIMEタイプに関連付けられたファイルのみを提供します。 MIMEバインディングのないIIS拡張機能が見つかった場合、クライアントは404 "Not Found"エラーを受け取り、サーバーは3のサブステートコードをコミットします。

ノート..。 MIMEルールには1つの例外があります。つまり、拡張子が.txtで、MIMEまたはスクリプトに関連しないテキストファイルはIISによって提供されます。

MIMEタイプは、Webサイトまたはディレクトリレベルでグローバルに構成され、レベルの降順で継承されます。 MIMEリンクを追加する例を見てみましょう。

1. 目的のレベル（MMCで選択したオプションに応じて、グローバル、サイト、またはディレクトリ）の[HTTPヘッダー]タブの[MIMEタイプ]ボタンをクリックします。
2. [新規]ボタンをクリックします。
3. [MIMEタイプ]ダイアログボックスで、[拡張子]フィールドにファイル拡張子を入力します。 この場合、.log拡張子を指定します。
4. 表示されたフィールドにMIMEタイプを入力します。 ファイルはプレーンテキスト形式であるため、適切なMIMEタイプはtext / plainです。
5. [OK]ボタンをクリックします。 新しい拡張子がリストに追加されます。
6. [OK]ボタンをクリックしてから、もう一度クリックします。

これで、ディレクトリ（サーバー、サイト）が.logファイルを提供するように設定されました。 このディレクトリでファイルを選択したクライアントは、ブラウザにそのファイルを表示します。 このウィンドウでは、MIMEタイプへのリンクを編集および削除できます。

MIMEタイプが正しく構成されていない場合、IISはファイルを提供しますが、システムはファイルの処理方法を認識しません。 IEユーザーは、提供されたリストからこのファイルを開くためのプログラムを選択する必要があります。

ノート..。 MIMEタイプが問題のファイルと一致するかどうかをどのように確認しますか？ RFC2045およびRFC2046は、MIMEタイプのフィールドと、IANA（Internet Protocol Assigned Naming Agency）がタイプを割り当てて表示する方法を定義します。 これは、IPアドレスを割り当てるのと同じ組織です。 タイプの完全なリストは、組織のWebサイト（http://www.iana.org）にあります。

[カスタムエラー]タブ（図2.16を参照）は、IISによって送信される標準エラーメッセージを変更するために使用されます。 各HTTPエラーとサブステータスコードの関連付けが表示されます。 このタブでは、カスタムエラーメッセージを作成し、エラーが発生したときに実行するスクリプトを設定できます。

米。 2.16。

カスタムエラーメッセージは、エラーを報告し、問題のトラブルシューティングに役立てるために使用されます。 たとえば、ウェブマスター通知用のASPスクリプトと一致するメッセージタイプを作成しました。 スクリプトはインシデントをログに記録し、問題が発生したことを示すメッセージをエンドユーザーに表示し、デフォルトのページにリダイレクトします。 スクリプトを作成すると、エラーメッセージがWebサイトの問題の診断に役立ちます。

選択できるメッセージには3つのタイプがあります。

• ディフォルト（ディフォルト）。 IISでプログラムされたデフォルトのエラー。 特別なエラーが不要になったときに元の状態に戻すことができます。
• ファイル（ファイル）。 完全修飾名を使用してファイルを選択できます（たとえば、C：\ windows \ help \ errors \ iiserror404.asp）。
• URL..。 絶対URLパス（サイトのトップレベルから開始）を使用して、クライアントをサイトページに誘導できます。 したがって、HTTPエラーページは、仮想ディレクトリに配置されている場合でも、同じサイトに配置されている必要があります。 正しい形式ではないURLを入力すると、エラーメッセージが表示されます。

特殊エラーのプロパティの変更

特別なエラーのプロパティを変更するには、次の手順に従います。

1. HTTPエラーを強調表示してから、[編集]ボタンをクリックします。 [カスタムエラープロパティの編集]ウィンドウが表示されます。
2. ドロップダウンメニューからこのエラーのメッセージタイプを選択します。
3. ファイルを使用する場合は、ファイルへのパスを指定するか、ファイルの場所を参照します。
4. URLを使用する場合は、ファイルの絶対名を入力します。
5. [デフォルト]オプションを選択した場合、何も指定する必要はありません。
6. オプションを選択して構成したら、[OK]ボタンをクリックします。
7. [OK]ボタンをクリックします。

米。 2.22。

アプリケーションプールの作成

デフォルトのアプリケーションプールの名前はDefaultAppPoolです。 作成する各サイトは、異なるプールが指定されていない限り、DefaultAppPoolを使用します。 次の手順に従って、新しいアプリケーションプールを作成します。

1. IISMMCで[アプリケーションプール]ノードを強調表示します。
2. [アクション] \ [新規] \ [アプリケーションプール]を選択します。 [新しいアプリケーションプールの追加]ダイアログボックスが表示されます。
3. テキストボックスにアプリケーションプールIDを入力します。 わかりやすくわかりやすい名前にする必要があります。
4. 別のアプリケーションプールをテンプレートとして使用している場合は、[既存のアプリケーションプールをテンプレートとして使用する]オプションを選択し、リストから目的のアプリケーションプールを選択します。
5. [OK]ボタンをクリックします。

新しいアプリケーションプールを作成したら、その設定を構成します。 [アプリケーションプールのプロパティ]ウィンドウを開くには、MMCでアプリケーションプールを選択し、[アクション]、[プロパティ]コマンドを発行します。 [プロパティ]ウィンドウが開き、すべてのアプリケーションプールを一度に構成できます。 これを行うには、個別のプールではなく、アプリケーションプール層を割り当てます。 このレベルのすべてのパラメーターは、個々のプールのパラメーターと同じです。

[リサイクル]タブ（図2.23を参照）は、メモリとワークフローのリサイクルを構成します。 ワーカープロセスをリサイクルすると、ワーカープロセスを強制終了して新しいプロセスを開始し、ワーカープロセスで使用されているすべてのメモリを解放することで、IISの稼働を維持できます。

米。 2.23。

5つのプロセスリサイクル基準を設定し、それらを個別に、または一度にすべて使用できます。

• 労働者のプロセスをリサイクルする（分単位） ワークフローを強制終了して新しいプロセスを開始する前に、ワークフローがアクティブである期間を構成できます。 1〜4,000,000分の値を入力します。 1分の値では、再循環が頻繁に行われるため、サーバーに非常に大きな負荷がかかります。 4,000,000分（7。6年）の値は、再循環がないと解釈されます。 メモリリークを最小限に抑えるには、サイトで使用されているテクノロジに一致するようにリサイクル率を設定します。 ASP / COMアプリケーションは、ASP.NETまたはCGIアプリケーションよりも多くのメモリリークの問題を引き起こします。 この場合、サイトに対して行われるリクエストの量は重要なパラメータです。 アプリケーションはそれぞれ異なるため、再循環の頻度を決定するには、アプリケーションがどのようにサポートを提供しているかを調べます。
• 労働者のプロセスをリサイクルする（リクエスト数） 再循環の前にワークフローが処理するリクエストの数を示します。 1〜4,000,000の任意の値を指定します。
• 次の時間に労働者のプロセスをリサイクルする（次回は作業工程をリサイクルしてください）。 作業プロセスの毎日のリサイクルのために特定の時刻を構成します。 時間を追加、削除、変更できます。

メモリリークの排除

メモリリークは、システムメモリの全量を解放しないアプリケーションを実行していることが原因で発生します。 アプリケーションを実行するたびに、一部のメモリが失われます。その結果、システムが正常に機能するための十分なRAMが残っていません。 メモリリークは非常に簡単に実装できます。 たとえば、次のASPコードを使用します。

SET MyBadApp = Server.CreateObject（ "SomeApp.ThisHurts"）MyBadApp.DoSomething

この場合、アプリケーションを閉じ、コードにSET MyBadApp = Nothingという行を追加して、MyBadAppをNothingに設定します。 このパラメータがない場合、プログラムによって占有されていたメモリは解放されません。

メモリのリサイクル（メモリ再循環）メモリ使用量に応じた再循環が可能です。 これは、しきい値に達するとすぐに再循環するため、メモリリークを防ぐための優れた方法です。

• 最大仮想メモリ（メガバイト単位）（最大仮想メモリ、MB）。 しきい値に達したときにワークプロセスを再循環させることができます。 この対策は、仮想メモリの問題に対処します。 1〜2,000,000MBの値を指定します。 仮想メモリの即時量（約1.9 TB）よりも大きい値を指定できることに注意してください。 もちろん、ほとんどの場合1 MBのしきい値に達します。その場合、再循環は定期的に実行されます。
• 最大使用メモリ（メガバイト単位）（使用されたメモリの最大量（MB単位）。 物理メモリの使用に基づいてリサイクルできます。 1〜2,000,000 MBの値を指定します。これは、通常のWindowsサーバーにインストールされているメモリよりもはるかに大きい値です。

[パフォーマンス]タブ（図2.24を参照）では、プロセッサの過負荷を回避するようにパラメータを設定できます。

米。 2.24。

• アイドルタイムアウト（ダウンタイム）。 ワーカープロセスがシャットダウンする前にアイドル状態になることができる時間を指定します。 プロセッサ時間を消費しないため、アイドル状態になることが多い多数のアプリケーションの作業を実装できます。 1〜4,000,000分の任意の時間を入力します。
• リクエストキューの制限（キュー内のリクエストの制限）。 新しい要求を拒否する前に、アプリケーションプールによってキューに入れられる要求の数を指定します。 リクエストによるサーバーの過負荷を防ぐことができます。 指定された制限に達すると、サーバーはすべてのリクエストにHTTP503「ServiceUnavailable」エラーで応答します。 0から65,535のキューに入れられた要求の間の任意の値を指定します。
• 最大CPU使用率（パーセンテージ）（最大プロセッサー使用率（パーセント））。 アプリケーションプールが、指定された値まで、特定のプロセッサ時間を使用できるようにします。 このオプションは、CPU時間を計算してCPU時間を追跡しますが、リアルタイムでは追跡しません。 1〜100パーセントの任意の値を指定します。
• CPU使用率の数値を更新（分単位）（CPU使用率の値を更新します）。 CPU計算機能の更新時間を設定します。 CPUプロセスの数は、指定された時間の後に更新されます。 1〜1440分の任意の値を設定します。
• CPU使用率が最大CPUを超えたときに実行されるアクション（最大プロセッサー使用率を超えたときに実行されるアクション）。 アクションなしとシャットダウンの2つのオプションがあります。 [アクションなし]オプションは、イベントをログに書き込むだけです。 シャットダウンオプションは、アプリケーションプール内のワーカープロセスを照会します。

Webキット..。 アプリケーションは複数のワーカープロセスを使用し、そのうちの1つでエラーが発生しても他の作業に影響を与えないため、特定のアプリケーションプール内の複数のワーカープロセスにリクエストを分散でき、より高いレベルのパフォーマンスと信頼性を実現できます。 [ワーカープロセスの最大数]パラメーターは、このアプリケーションプール内のワーカープロセスの数を設定します。 1〜4,000,000の任意の値を指定します。

警告..。 インストールするワーカープロセスが多すぎると、システムのパフォーマンスに悪影響を及ぼします。これは、各プロセスが起動時にのみ約5MBのメモリを消費するためです。 サーバーで実行するワーカープロセスの最大数を指定するときは、このことに注意してください。

[ヘルス]タブ（図2.25を参照）は、このアプリケーションプールの動作状態を維持する設定と、問題を検出するための設定を構成します。

米。 2.25。

• Pingを有効にする（ping要求を有効にします）。 ping要求をワーカープロセスに定期的に送信するようにシステムを構成します。 ワークフローからの応答がないということは、ワークフローに問題があることを意味します。 IISはこのプロセスを強制終了し、代わりに新しいプロセスを作成します。 1〜4,000,000秒の任意の値を入力します。
• 迅速な失敗の保護（オンラインエラー保護）。 ワークフローのエラーを追跡することでサーバーを保護します。 サービスが特定の期間内に特定の数のエラーに遭遇すると、IISはサーバーを保護するためにこのアプリケーションプールをシャットダウンします。 サーバーは、HTTP503の「ServiceUnavailable」エラーですべての新しいリクエストに応答します。
• 失敗（エラー）。 オンラインエラー保護機能を実行する前にサーバーが許容するエラーの数を構成します。 1〜4,000,000の任意の値を指定します。
• 期間（分単位の時間）（期間、分単位）。 オンラインエラー保護機能を実行してからエラーが発生するまでの時間を設定します。 1〜4,000,000分の任意の時間範囲を入力します。

以下は、検討中のプロセスがどのように機能するかについての説明です。

1. ワークフローでエラーが発生しました。
2. IISは、プロセスID番号と終了コードを指定して、予期しないプロセス終了イベントをアプリケーションログに書き込みます。
3. IISは、別のプロセスが到着すると、ワーカープロセスを自動的に再起動します。
4. しきい値に達するまで、アクションが繰り返されます。
5. しきい値に達すると、IISは、エラーが繰り返し発生することによるアプリケーションプールの自動シャットダウンに関するイベントをアプリケーションログに書き込みます。
6. このアプリケーションプールを使用しているすべてのクライアントは、503「ServiceUnavailable」エラーを受け取ります。
7. この手順は、アプリケーションプールが停止して再起動するまで繰り返されます。

起動とシャットダウンの時間制限..。 ワーカープロセスは、停止した直後に強制終了されるわけではなく、ロードに時間がかかります。 ワークフローを停止するには、キャンセルリクエストが送信され、現在の操作を完了してキューを終了する時間が与えられます。その後、プロセスがキャンセルされます。 リサイクルにより、サービスを中断しないように、古いプロセスが完了する前でも、新しく作成されたプロセスが機能を開始する準備が整います。 ワークフローが完全に停止しない場合や、ワークフローの開始時に問題が発生する場合があります。 時間制限は、IISが問題の発生を待機する時間を設定するために使用されます。

• 起動時間制限（ロード時間制限）。 IISがワーカープロセスの開始を待機する時間を設定します。 1〜4,000,000秒の任意の時間間隔を指定します。
• シャットダウン時間制限（オフタイムを制限します）。 IISがワーカープロセスのスケジュールされたシャットダウンを待機する時間を設定します。 1〜4,000,000秒の任意の時間間隔を指定します。

[ID]タブ（図2.26を参照）は、アプリケーションプールのワーカープロセスが使用するセキュリティアカウントを指定します。 デフォルトでは、ワーカープロセスは、オペレーティングシステムでの権限が制限されたネットワークサービス（[ネットワークサービス]オプションが有効）として実行されます。

米。 2.26。

ワークフローで使用する識別方法を指定します。 特定のIDを選択するか、ユーザーアカウントを提供します。 後者のオプションは、アカウントがオペレーティングシステムへのアクセスを拡張しているため、セキュリティリスクをもたらします。

• ネットワークサービス（ネットワークサービス）。 デフォルト設定。これは、ワークフローを実行するための最も安全で最も推奨される設定です。 この場合、ワーカープロセスがオペレーティングシステムに直接アクセスして制御することはできません。
• ローカルサービス（ローカルサービス）。 以前のオプションよりもオペレーティングシステムに幅広い権限を提供します。 オペレーティングシステムへのアクセスを許可しますが、サーバー外のオブジェクトへのアクセスを拒否します。 デスクトップとの相互作用も禁止されています。
• ローカルシステム（ローカルシステム）。 ローカルサービスよりも幅広い権限を提供します。 実際、このオプションはシステム全体にフルアクセス権を付与します。

3つのアカウントはすべて、ローカルシステムにあるIIS_WPGグループの一部であり、プロセスに割り当てられているアクセス権があります。 ワーカープロセスに現在よりも多くの権限が必要な場合は、IIS_WPGグループに対してそれらの権限を有効にします。 ワーカープロセスのアカウントを構成するときは、アカウントがIIS_WPGグループのメンバーであることを確認してください。

• 構成可能（カスタマイズ可能）。 ワーカープロセスが実行されるアカウントを指定します。 アカウントの名前を入力するか、[参照]ボタンをクリックして、表示されるウィンドウでアカウントを選択します。

ワークフローを開始すると、ワークフローに構成されている認証アクセストークンが含まれます。 リクエストがクライアントから送信されると、クライアントのアクセストークンを使用してリクエストが処理されます。 このアクションは非個人化と呼ばれ、ワークフローを低セキュリティレベルで実行すると同時に、高レベルのセキュリティで実行できるようにします。

ITサポート

1C Webパブリッシングのセットアップ、レジ機器の接続

1.IISでのWebサーバーのセットアップ

Internet Information ServerWebサーバーをインストールします。これはMicrosoftWindowsServerにデフォルトで含まれています。 インストールするときは、必ずコンポーネントを選択してください。

• 一般的なHTTP機能
  • 静的コンテンツ
  • デフォルトのドキュメント
  • ディレクトリブラウジング
  • HTTPエラー
• アプリケーション開発
  • ASP.NET 3.5
  • .NET拡張性3.5
  • ISAPI拡張機能
  • ISAPIフィルター
• 修正と診断（健康と診断）
  • HTTPロギング
  • リクエストモニター
• 管理ツール
  • IIS管理コンソール

2.1Cでの基地の出版物

IIS Webサーバーが展開されているのと同じサーバーに、1C：Enterprise（32ビットコンポーネント）をインストールします。インストール中に次のコンポーネントを選択してください。

• 1C：エンタープライズ
• Webサーバー拡張モジュール

64ビットWebサーバー拡張モジュールを構成する場合は、対応する1C：Enterprise Deliveryから64ビットサーバーセットアッププログラムを追加で実行し、コンポーネントをインストールする必要があります。

• Webサーバー拡張モジュール

次に、1C：EnterpriseデータベースへのWebアクセスを操作するときに使用されるキーフォルダーに必要な権限を設定する必要があります。 Webサーバーで公開されたWebサイトのファイルを保存するためのディレクトリ（デフォルト： C：\ inetpub \ wwwroot \）、グループに完全な権利を与える必要があります 「ユーザー」（ユーザー）。 原則として、この手順はスキップできますが、データベースを公開または公開を変更するには、管理者として1C：Enterpriseを実行する必要があります。 このディレクトリのセキュリティを設定するには、ディレクトリを右クリックして、[ "プロパティ"（プロパティ）。

開いたプロパティウィンドウで、タブに移動します "安全"（セキュリティ）ボタンを押す "変化する"（編集...）現在の権限を変更します。 このディレクトリの権限のウィンドウが表示されます。 グループまたはユーザー名のリストで[ユーザー]グループを選択し、選択したグループのアクセス許可のリストでフラグを設定します "全権アクセス"（フルコントロール）。 次にを押します 申し込み（適用）変更を保存し、ボタンを使用してすべてのウィンドウを閉じます "わかった".

次に、インストールされたファイル「1C：Enterprise」（デフォルト： C：\プログラムファイル（x86）\ 1cv8 \ 32ビット拡張モジュールの場合 C：\プログラムファイル\ 1cv8 \ 64ビットの場合）グループ IIS_IUSRS..。 これを行うには、上記と同様のアクションを実行しますが、必要なグループをリストに表示するための唯一の違いがあります。 「グループまたはユーザー」（グループまたはユーザー名）、リストの下のボタンをクリックする必要があります "追加"（追加..）、グループまたはユーザーを選択するためのウィンドウで、をクリックします "さらに"（高度 ...）。

次に、右側のボタンを押します "検索"（今すぐ検索）、その後、必要なグループを選択します IIS_IUSRS検索結果テーブルで、をクリックします "わかった".

そして最後に、公開がファイルベースである場合は、グループにも提供する必要があります IIS_IUSRSこのインフォベースのファイルを含むディレクトリへの完全な権限。

データベースをWebサーバーに直接公開することに移りましょう。 これを行うには、1C：Enterpriseを実行します。 Configurator公開したいベース用。 次に、メニューから選択します 「管理」-「Webサーバーでの公開...」

Webサーバーでパブリケーションのプロパティを構成するためのウィンドウが開きます。 公開に必要な主なフィールドは、デフォルトですでに入力されています。

• 仮想ディレクトリの名前は、Webサーバー上のデータベースにアクセスするために使用される名前です。 ラテンアルファベットの文字のみで構成できます。
• Webサーバー-現在のコンピューターにあるWebサーバーのリストから選択されます。 私たちの場合、これはインターネットインフォメーションサービスです。
• ディレクトリ-仮想アプリケーションファイルが配置されるディレクトリの物理的な場所。
• 対応するフラグを使用して、公開するクライアントのタイプを指定したり、Webサービスを公開する機能を示したりすることができます。 次の表では、公開されるWebサービスのリストを編集できます。また、[アドレス]列で、このWebサービスにアクセスするための同義語を変更できます。
• また、IIS Webサーバーの場合、適切なフラグを設定することにより、OSを使用してWebサーバーで認証を実行する必要があることを示すことができます。

必要なパブリケーション設定を選択したら、をクリックします "公開".

公開が成功した場合は、対応するメッセージが表示されます。

2.3Webブラウザを介して公開されたインフォベースに接続する

内部のWebサーバーにアクセスすることにより、ネットワーク内の任意のコンピューターからこのインフォベースに接続することもできます（または ポート80-外部による）IPアドレス。

3.IISで無料のLet'sEncryptSSL証明書を作成する

サイトのSSL証明書の存在により、ネットワークを介して送信されるユーザーデータを攻撃から保護できます 真ん中の男送信されたデータの整合性を保証します。

暗号化しましょう APIを介して無料のSSL / TLS証明書を自動的に発行する非営利の認証局です。 有効期間が90日のドメイン検証証明書のみが発行されます。これは、保護の継続性を保証する組み込みの自動証明書再発行機能により問題ありません。

次に、コンソールユーティリティを使用してLet’sEncryptからSSL証明書を取得する方法について説明します。 LetsEncrypt-Win-Simple..。 これは、IISで実行されているサイトの1つを選択し、SSL証明書を自動的に発行してバインドできるシンプルなウィザードです。

3.1SSL証明書の生成

プロジェクトのGitHubページhttps://github.com/PKISharp/win-acme/releasesから最新のクライアントリリースをダウンロードします

IISを使用してサーバー上のディレクトリに解凍してみましょう。 c：\ inetpub \ letsencrypt

対話型ウィザードが起動します。最初に、証明書の更新に関する問題に関する通知が送信される電子メールを指定するように求められ、ユーザーの同意に同意します。

次に、新しい証明書を作成する必要があることを選択する必要があります（ N：新しい証明書を作成します）そして証明書のタイプを選択します（この例では、複数のSANで証明書を使用する必要はありません）。したがって、項目を選択するだけです。 1.IISサイトのシングルバインディング.

次のステップは、ドメイン検証を実行することです。 いくつかの検証オプションが利用可能です：TLS、DNSエントリ、またはHTTP）。 最も簡単なオプションは、アイテムを選択することです 4 IISで一時アプリケーションを作成する（推奨）..。 この場合、Let’sEncryptサーバーが検証できる小さなアプリケーションがWebサーバー上に作成されます。

ノート。 TLS / HTTPチェックを実行する場合、HTTP（80 / TCP）およびHTTPS（443 / TCP）プロトコルを使用して、完全なDNS名で外部からサイトにアクセスできる必要があります。

検証後、ユーティリティ letsencrypt-win-simple証明書を生成する要求を自動的に送信し、それをダウンロードし（必要なすべてのファイルと秘密鍵は、C：\ Users \ User \ AppData \ Roaming \ Letsencrypt-win-simpleディレクトリに保存されます）、バインディングを作成します。 IISWebサイト。 サイトにSSL証明書が既にインストールされている場合は、新しい証明書に置き換えられます。 さらに、毎日実行され、60日ごとに新しい証明書を自動的に発行してインストールするルールがWindowsタスクスケジューラに作成されます。

3.2SSL証明書で接続された個別のプールとサイトの作成。

letsencrypt用に別のIISプールを作成する

サイトを新しいプールに追加します。 ポートを示します 443 （または後でポート443に転送する別のポート）。

SSL証明書で新しい証明書を指定します。

当サイトへのリンクを設定します。

チェック中。

4.レジ設備の接続。 仮想シリアルポートエミュレーター（VSPE）を使用したTCP / IPを介したCOMポート転送。

4.1サーバーでのVSPEの構成

VSPEプログラムを開始します。 「新しいデバイスの作成」ボタンをクリックします。

その後、仮想ポートを作成する必要があります（各チェックアウトには独自のポートがあります）。 問題を回避するために、ポート番号を低くすることをお勧めします。

開いたウィンドウのドロップダウンメニューで、[ TcpServer..。 ボタンを押す "さらに".

リッスンするローカルtcpポート番号を設定します。 機器がインターフェースコンバーターを介して接続されているCOMポートを選択します。 ボタンを押す "設定".

通常、彼らがWebサーバーについて話すとき、それらはLinuxプラットフォームに基づくソリューションを意味します。 ただし、インフラストラクチャがWindows Serverに基づいて展開されている場合は、IISWebサーバーを使用するのが論理的です。 一般に信じられていることとは反対に、これは非常に人気のあるプラットフォームであり、最も人気のあるCMSで作業でき、WindowsとIISで特に動作するように設計された幅広いシステムを備えています。

IISの疑いのない利点は、他のMicrosoftテクノロジおよび開発ツールとの緊密な統合です。 特に、IISのWebソリューションは、.NETの豊富な機能を利用して、そのプラットフォーム上のデスクトップアプリケーションと簡単に対話できます。 これにまだ興味がない場合は、IIS用に特別に作成されたものを含め、既製のCMSを幅広く選択できます。 今日は、ASP.NETに基づくWebソリューションと連携するようにIISをインストールおよび構成し、このプラットフォームで人気のあるCMSの1つをインストールする方法を見ていきます。

WindowsプラットフォームにWebサーバーをインストールするには、スナップインに移動します 役割 v サーバーマネージャー役割のインストールを選択します Webサーバー（IIS）と アプリケーションサーバー.

ただし、急いで[次へ]をクリックしないでください。左側の各役割の名前の下に、オプションがあります 役割サービスに移動し、アプリケーションサーバーに次のオプションを設定します：Webサーバー（IIS）サポート、TCPポート共有、およびHTTPアクティベーション。

また、Webサーバーの場合は、FTPサーバーサービスをインストールします。

次に、選択した役割をインストールします。 IISが機能しているかどうかを確認するには、ブラウザにサーバーのIPアドレスを入力すると、標準のWebサーバースタブページが表示されます。

それでは、サーバーのセットアップに進みましょう。このために、 インターネットインフォメーションサービス（IIS）マネージャー（[スタート]-[管理]にあります）。

まず、新しいサイトを作成します。このために、アイテムを右クリックします ウェブサイト IISマネージャーのサイドメニューで、 新しいウェブサイトを作成する.

開いたウィンドウで、サイトの名前、ルートフォルダへのパスを指定します（デフォルトでは、ユーザーサイトは次の場所にあります） C：\ inetpub \ wwwroot）、最初にホスト名（サイトのドメイン名）を作成して指定する必要があります。この場合は iissite.local

サイトの名前を含むAレコードをDNSサーバーに追加するか、サイトにアクセスするワークステーションのhostsファイルに必要な行を書き込むことを忘れないでください。

原則として、Webページをサイトフォルダに配置してブラウザからアクセスすることはできますが、FTPアクセスによってサイトでの本格的な作業が妨げられることはありません。 これを行うには、サイドメニューでサイト名を右クリックし、[ FTPパブリッシングを追加

次に、FTPサービスのネットワークインターフェイスとポートへのバインドを指定し、セキュリティ設定を構成します。 SSLを使用する場合は、証明書が必要になることに注意してください。ただし、自分のニーズにのみFTPアクセスを使用する場合は、自己署名証明書を使用することができます。 FTPサイトを自動的に開始するには、チェックボックスをオンにすることを忘れないでください。

次のページで、サーバーへのアクセスのパラメーターを指定します。このサイトで作業する特定のユーザーを指定することをお勧めします。

Webサーバーが構成され、HTMLページをホストするために使用できますが、最近のサイトではデータの保存にDBMSを使用しているため、次のステップはMS SQL Express 2012をインストールすることです。これは、タスクには十分すぎるほどです。 インストールはデフォルト値で実行されますが、 認証モードに切り替えます ミックスモード SQLServerスーパーユーザーのパスワードを設定します sa.

次に、ASP.NETテクノロジに基づいて作成された一般的なCMSをインストールしてみましょう。そのようなソリューションの幅広い選択肢が、MicrosoftWebアプリケーションのギャラリーに表示されます。 ダウンロードボタンをクリックすると、Web PIを介してインストールするためのパッケージが届きます。IISにインストールする場合は、開発者のサイトにアクセスして、CMSから完全なパッケージをダウンロードする必要があります。

Orchard CMSをインストールします。パッケージを入手するには、リンクをたどって選択します。 zipとしてダウンロード、結果のアーカイブを解凍し、Orchardフォルダーの内容をサイトルートにアップロードします。

このCMSはASP.NET4に基づいているため、必要なテクノロジを使用するようにサイトを構成します。 これを行うには、サイドメニューでサイト名を右クリックし、[ ウェブサイト管理-詳細オプション

開いたウィンドウで、パラメータを変更します アプリケーションプールそこを示す ASP.NET v.4

次に、サイトのあるフォルダーに必要な権限を設定します。IIS_IUSRSユーザーに、このフォルダーの内容を記述および変更する機能を追加する必要があります。

また、サイトのデータベースを作成することを忘れないでください。これについては、 SQL Server Management Studioアイテムを右クリックします データベースサイドメニューで、新しいベースを作成します。

1.ディレクトリを事前に作成します TestSiteディレクトリ内のサイトのコンテンツ c：\ inetpubサーバー上。 これは、ベースOSから実行できます。エクスプローラーを使用して、$を使用して\\ win_web_srv \ディレクトリを開き、コマンドを使用してサーバー上のフォルダーまたはコマンドラインを作成します。 mkdir.

2.カタログ内 テストサイトファイルを作成する index.html以下のコンテンツ

実験のためのテストサイト

3.ファイル内 ホストベースOSに、WebサーバーのIPアドレスと新しいTestSiteサイトの名前の対応を登録します。

4.起動 インターネットインフォメーションサービス（IIS）マネージャーベースOSで。

5.リモートWebサーバーに接続します。

6.右側のペイン 「つながり」ノードを選択します 「サイト」、左側のペイン "行動"選ぶ 「ウェブサイトを追加」

7.開いたウィンドウで、サイトの主なパラメータを定義します。

サイト名 - TestSite（任意に設定できます。Webサーバー内のサイトを識別するためにのみ使用されます）

コンテンツディレクトリ、物理パス- c：\ inetpub \テストサイト

ホストヘッダーによるバインディングを実行します。

ホスト名- TestSite（これは、訪問者がアクセスするサイトの名前です）

8.したがって、新しいサイトを作成し、ホストヘッダー（ホスト名）でバインドします。

9.サイトが機能しているかどうかを確認します。 ブラウザのURLバーにhttp：// testsite /と入力します。ページが表示されます。 index.html作成されたサイト。

10.構成しましょう 「デフォルトドキュメント」

11.ノードの接続パネル サイト私たちのサイトを選択してください TestSiteメインウィンドウの中央で、アイテムを選択します 「デフォルトドキュメント」

12.デフォルトでは複数のドキュメントが存在する可能性があり、管理者はこれらのドキュメントのリストを整理して、カタログでの検索の順序を決定できます。 デフォルトのドキュメントが見つからない場合は、パラメータを設定することで考慮されます ディレクトリブラウジング

13.当サイトの設定は上位レベルから継承されていることにご注意ください。 なぜなら ページしかない index.htmlまだ何も予測されていないので、これらの設定を編集します。 右側の[アクション]パネルで利用可能なアイテムを使用します。

index.htmlを除くすべてのファイル名をリストから削除します

・新しい名前default.htmlを追加します

index.htmlファイルを一番上に移動します

14.結果として、この写真のようなものが得られるはずです。

15.変更後、当サイトのメインカタログをご覧ください c：\ inetpub \ TestSiteファイルが登場 web.configこれには、設定に関連する特定のサイトの構成の変更のみが含まれます デフォルトのドキュメント

16.仮想ディレクトリを作成しましょう。

17.カタログ内 c：\ inetpub \テストサイトサーバー上にサブディレクトリを作成します vd.

18. IISマネージャーで、サイト名を右クリックして、[ 更新

19.サイト構造にフォルダが表示されていることに注意してください。ただし、これは仮想フォルダではなく、実際のフォルダです。J。 これは、当サイトの物理ディレクトリ構造にあります。

20.ブラウザで、URLバーにhttp：// testsite / vdと入力すると、次のエラーメッセージが表示されます。

21. Webサーバーのこの反応は、ディレクトリ内にあるという事実によって説明されます vd設定で指定されたファイルは1つではありません デフォルトのドキュメントと設定 ディレクトリブラウジングサイトから継承されたパラメータ値があります 有効= False、 NS。 ディレクトリの閲覧は禁止されています。

22.vdフォルダーのディレクトリ参照を許可する

23.サイト構造で、フォルダーを選択します VD、およびページ上 機会 IISグループで、アイテムを選択します カタログを閲覧するしたがって、ディレクトリの内容を表示するパラメータを設定できるだけでなく、まずVDフォルダでこのような可能性を有効にすることができます。

24.パネルの左側をクリックします 行動段落 オンにする。ウィンドウの中央部分で、ディレクトリの内容を表示するための対応するオプションが編集できるようになります。

25.ブラウザでページを更新する

26.ファイルはVDディレクトリに自動的に作成されたことに注意してください web.config、ディレクトリを表示するための権限のみを定義します

27.「本物の」を作成しようとしています 仮想ディレクトリ当サイトのディレクトリ構造の外。 たとえば、ディスクのルートで とディレクトリを作成する VD_TestSite。したがって、VDフォルダーとは異なり、このフォルダーは自動的にサイトの構造に入るわけではありません。

28. IISマネージャーで、サイト（TestSite）のノードを右クリックし、アイテムを選択します 「仮想ディレクトリの追加」

29.仮想ディレクトリのパラメータを定義し、その物理的な場所を示すだけです。

30.ウィンドウ内 「仮想ディレクトリの追加」仮想ディレクトリのパラメータを定義します：エイリアスと物理的な場所。 エイリアス（エイリアス）がフォルダ名と一致しないことに注意してください。 URLのブラウザ行では、指定されたエイリアスのみを使用する必要があります。

31.サイト構造内の2つのフォルダーのアイコンの違いに注意してください

32.カタログ化するには c：\ VD_TestSite名前の付いたプリミティブhtmlページを作成します index.html

33.ブラウザのURLバーに、http：// testsite / vd1と入力します。 作成したページが表示されていることを確認してください。 一般に、仮想ディレクトリは別の物理マシン上にあるディレクトリを参照できます。その場合、パスはUNCパスとして指定されます。

34.サイトをリンクするさまざまな方法を試してみましょう。

35.サイトをポートにバインドしようとしています。

36.で インターネットインフォメーションサービス（IIS）マネージャー、パネル上 "行動"選ぶ 「バインディング」、 それから "追加"非標準ポート4545を指定します

37.ブラウザで、URLバーにhttp：// web_win_srvと入力します。 ページを見る必要があります デフォルトのWebサイト、 NS。 デフォルトサイト。

38.ここで、URL行にhttp：// web_win_srv：4545と書いてみましょう。 当サイトのページが開きます-TestSite。

39.したがって、私たちのサイトは2つの方法でリンクされていることがわかりました。

ポート80とホストヘッダーTestSite

ポート4545

40.当サイトの制限設定について理解しましょう。

41.パネル上 "行動"アイテムを選択 「追加オプション」

42.最大スループットと最大接続数が奇妙に多いということは、制限が設定されていないことを意味します。

43.制限はアイテムを使用して変更できます "制限…"パネル上 "行動"

44.次に、サーバーがホストされている訪問者またはアプリケーションの誤ったアクションにサーバーが応答するエラーメッセージを試してみましょう。

45.ブラウザで、http：//testsite/test.htmlなど、存在しないサイトのページを開いてみてください。 なぜなら そのようなページがない場合、サーバーはコードを含むエラーメッセージを返します 404 ..。 このメッセージは、より「訪問者にわかりやすい」ように変更できます。

46.Webサーバーレベルから継承したTestSiteサイトのエラーに対応するすべてのページを見てみましょう

47.エラーが発生したときにメッセージを変更してみましょう 404 .

48.名前を付けて独自のhtmlページを作成しましょう 404.htmディレクトリに配置します c：\ inetpub \ TestSite \ err。ファイルの内容 404.htm

ファイルが見つかりません

残念ながら、探していたコンテンツはここにありません。

サイトのメインページにアクセスして、必要な情報を選択してみてください。

49.パネル上 行動アイテムを選択 "変化する…"

50.ブラウザで、当社のWebサイトに意図的に存在しないページ（http：//testsite/test.htmlなど）を開いてみてください。

51.404エラー用に特別に作成した放浪者を見てみましょう。

52.次に、SSL証明書に基づく安全なHTTPSプロトコルを使用して、サイトに接続して操作する方法を試してみましょう。

53.ローカルコンピューター（ベースOS）とWebサーバーに存在する証明書を見てみましょう。 これを行うには、適切なMMCスナップインを使用します。

54.コマンドラインから管理コンソールを起動します cmd.

55.必要な機器を追加しましょう。

[ファイル]-> [スナップインの追加と削除]

56.使用可能なスナップインのリストから、 「証明書」ボタンを押します "追加".

57.開いたウィンドウで、オプションを選択します 「コンピュータアカウント」、 クリック "さらに"と "準備"

58.その後、スナップインがリストに表示されます 「選択されたリグ...」、プレスを完了する "わかった"

59.同様に、同じコンソールにスナップインを追加します 「証明書」リモートWebサーバーの場合。 構成プロセス中にのみ、リモートWebサーバーの名前を指定します。

60.したがって、ローカルコンピューター（ベースOS）およびリモートWebサーバー上のストレージにある証明書の管理にアクセスできます。

62. HTTPSプロトコルを使用するには、サーバー証明書が必要です。この証明書は、認証局によって認証されている必要があります。 実験室での作業の一環として、使用するのが正しい「完全な」証明書の作成を「邪魔」することはありません。 自己署名ルート証明書を使用してWebサーバーの証明書を認証します。この証明書を作成して、ローカルマシン（ベースOS）の信頼されたルート証明書ストアに転送します。 これが「スポーツではない」ことは明らかであり、実際には使用できませんが、私たちの実験では使用できます。 これは、ラボネットワークに多くの規則があり、主要な認証局や機能しているドメインコントローラーさえないという事実によるものです。

63.もう1つの障害は、Webサーバーのインストールモード（「IISマネージャー」がないServer Core）によって引き起こされるため、すべての構成アクションは主にリモートまたはコマンドラインモードで実行されます。 IISがIISマネージャーを使用してリモートで管理されている場合、IISの証明書管理機能にアクセスできません（比較のために、下の図、フルインストールモードのWebサーバーからのスクリーンショットを参照してください）。 しかし、私たちは簡単な方法を探していません。

64.したがって、コマンドラインを使用してすべての証明書を作成します。 このために、ユーティリティを使用します makecert.exe Windows SDK for Windows Server2008および.NetFramework3.5から

65.自己署名ルート証明書を作成します。 Webサーバーのコマンドライン（cmd）で、コマンドを入力します

makecert.exe –ss root –sr localMachine –n“ CN = TestCompany” -eku 1.3.6.1.5.5.7.3.1 –r

–ssルート証明書が信頼されたルート証明書ストアに作成されることを示します

-NS-自己署名証明書を作成します

–Eku 1.3.6.1.5.5.7.3.1-サーバー認証の証明書識別子。 クライアントの場合、クライアント認証（1.3.6.1.5.5.7.3.2）を使用する必要があります

66.ルート証明書で署名されたWebサイトの証明書を作成します。 パラメータの値が重要です CNサイト名のURLと完全に一致しました。 たとえば、生成された証明書はテストサイトでのみ有効ですが、www.testsiteでは無効です。

makecert –pe –ss my –n“ CN = testsite” –b 01/01/2013 –e 01/01/2036 –sky exchange –in“ TestCompany” –is root –eku 1.3.6.1.5.5.7.3.1- sr localMachine

67.実行された操作の結果として、「信頼できる認証局」ストレージにルート証明書が作成され、「個人」ストレージにWebサイト用の独自の証明書が作成されました。

68.ベースOS管理コンソールでこれらの証明書を自分で見つけます。

69.「インターネットインフォメーションサービスマネージャー」を開き、テストWebサイトをバインドして、HTTPS経由でアクセスできるようにします。 バインドするときは、HTTPSプロトコルを選択し、SSL証明書として、「testsite」という名前で作成した証明書を示すことに注意してください。

70.ブラウザで、HTTPSプロトコルを介してテストサイトにアクセスしようとします。

https：\\テストサイト

71.注意してください。 組織「TestCompany」がローカルマシンに認識されていないため、ブラウザが警告を発行しました

72.警告にもかかわらず、私たちはサイトと協力し続けます。

73.すべてを美しくするには、テスト組織（TestCompany）のルート証明書をローカルコンピューター（ベースOS）の信頼されたルート証明書ストアに配置する必要があります。 管理コンソールを使用して、ルート証明書をファイル（TestCompany.certなど）にエクスポートしてみましょう。

74.ファイルから証明書をインポートしましょう TestCompany.certローカルマシン（ベースOS）の信頼されたルート証明書ストアにあります。

75.ブラウザで、HTTPSプロトコルを使用してテストサイトにアクセスし、もう一度テストサイトを開きます。 証明書の識別に成功したことがわかります。

76.HTTPプロトコルを使用してテストサイトを操作してみてください。

http：\\テストサイト

77.サイトがHTTPリクエストとHTTPSリクエストの両方を処理できることがわかります。 HTTPプロトコルの使用を禁止し、HTTPSプロトコルを介してのみすべての要求を処理するには、Webサイトの設定で必要です。 SSLオプション選択肢一つを選択してください 「SSLが必要」..。 さらに、ここでは、SSLクライアント証明書に関するWebサイトの動作を構成できます。

78.次に、HTTPプロトコルを使用してテストサイトにアクセスしてみましょう。 アクセスが拒否されていることがわかります。

79. TestSiteサイトに対して発行されたSSL証明書を別のサイト（たとえば、デフォルトサイト）に使用しようとすると、ブラウザーウィンドウにエラーメッセージが表示されます。

80.デフォルトサイトを自分でバインドして、TestSiteサイト用に生成されたHTTPSプロトコルとSSL証明書を使用し、エラーが発生するかどうかを確認します。

81.デフォルトサイト用に独自のSSL証明書を作成し、HTTPSプロトコルを使用してサイトのバインディングを変更して正しく機能するようにします。

82.最後になりましたが、大事なことを言い忘れました...

83.PHPで作成されたWebサーバーサイトでホストする機会を提供します。

84.まず、CGIWebサーバーがサポートされているかどうかを確認します。 IIS-CGIコンポーネントのインストール中にインストールされていないことを確認してください

oclist | もっと

85.IIS-CGIモジュールをインストールします