Split-Merge セキュリティの構成Split-merge security configuration

Split/Merge サービスを使用するには、セキュリティが正しく構成されていなければなりません。To use the Split/Merge service, you must correctly configure security. このサービスは、Microsoft Azure SQL Database の Elastic Scale 機能の一部です。The service is part of the Elastic Scale feature of Microsoft Azure SQL Database. 詳しくは、「 Elastic Scale の分割とマージ サービス チュートリアル」をご覧ください。For more information, see Elastic Scale Split and Merge Service Tutorial.

証明書の構成Configuring certificates

証明書は次の 2 つの方法で構成されます。Certificates are configured in two ways.

  1. SSL 証明書を構成するにはTo Configure the SSL Certificate
  2. クライアント証明書を構成するにはTo Configure Client Certificates

証明書を取得するにはTo obtain certificates

証明書はパブリック証明機関 (CA) または Windows Certificate Serviceから取得できます。Certificates can be obtained from public Certificate Authorities (CAs) or from the Windows Certificate Service. これは証明書を取得するための推奨方法です。These are the preferred methods to obtain certificates.

これらの方法が利用可能でない場合は、 自己署名証明書を生成できます。If those options are not available, you can generate self-signed certificates.

証明書を生成するツールTools to generate certificates

ツールを実行するにはTo run the tools

SSL 証明書を構成するにはTo configure the SSL certificate

通信の暗号化やサーバーの認証には SSL 証明書が必要です。An SSL certificate is required to encrypt the communication and authenticate the server. 以下の 3 つのシナリオから最適なものを選択し、すべての手順を実行します。Choose the most applicable of the three scenarios below, and execute all its steps:

新しい自己署名証明書を作成するCreate a new self-signed certificate

  1. 自己署名証明書を作成するCreate a Self-Signed Certificate
  2. 自己署名 SSL 証明書用の PFX ファイルを作成するCreate PFX file for Self-Signed SSL Certificate
  3. クラウド サービスに SSL 証明書をアップロードするUpload SSL Certificate to Cloud Service
  4. サービス構成ファイルの SSL 証明書を更新するUpdate SSL Certificate in Service Configuration File
  5. SSL 証明機関をインポートするImport SSL Certification Authority

証明書ストアから既存の証明書を使用するにはTo use an existing certificate from the certificate store

  1. 証明書ストアから SSL 証明書をエクスポートするExport SSL Certificate From Certificate Store
  2. クラウド サービスに SSL 証明書をアップロードするUpload SSL Certificate to Cloud Service
  3. サービス構成ファイルの SSL 証明書を更新するUpdate SSL Certificate in Service Configuration File

PFX ファイルの既存の証明書を使用するにはTo use an existing certificate in a PFX file

  1. クラウド サービスに SSL 証明書をアップロードするUpload SSL Certificate to Cloud Service
  2. サービス構成ファイルの SSL 証明書を更新するUpdate SSL Certificate in Service Configuration File

クライアント証明書を構成するにはTo configure client certificates

サービスへの要求を認証するには、クライアント証明書が必要です。Client certificates are required in order to authenticate requests to the service. 以下の 3 つのシナリオから最適なものを選択し、すべての手順を実行します。Choose the most applicable of the three scenarios below, and execute all its steps:

クライアント証明書をオフにするTurn off client certificates

  1. クライアント証明書ベースの認証をオフにするTurn Off Client Certificate-Based Authentication

新しい自己署名証明書を発行するIssue new self-signed client certificates

  1. 自己署名証明機関を作成するCreate a Self-Signed Certification Authority
  2. CA 証明書をクラウド サービスにアップロードするUpload CA Certificate to Cloud Service
  3. サービス構成ファイルの CA 証明書を更新するUpdate CA Certificate in Service Configuration File
  4. クライアント証明書を発行するIssue Client Certificates
  5. クライアント証明書の PFX ファイルを作成するCreate PFX files for Client Certificates
  6. クライアント証明書をインポートするImport Client Certificate
  7. クライアント証明書のサムプリントをコピーするCopy Client Certificate Thumbprints
  8. 許可されているクライアントをサービス構成ファイルに構成するConfigure Allowed Clients in the Service Configuration File

既存のクライアント証明書を使用するUse existing client certificates

  1. Find CA Public KeyFind CA Public Key
  2. CA 証明書をクラウド サービスにアップロードするUpload CA Certificate to Cloud Service
  3. サービス構成ファイルの CA 証明書を更新するUpdate CA Certificate in Service Configuration File
  4. クライアント証明書のサムプリントをコピーするCopy Client Certificate Thumbprints
  5. 許可されているクライアントをサービス構成ファイルに構成するConfigure Allowed Clients in the Service Configuration File
  6. クライアント証明書の失効確認を構成するConfigure Client Certificate Revocation Check

許可された IP アドレスAllowed IP addresses

サービス エンドポイントへのアクセスは特定範囲の IP アドレスに制限できます。Access to the service endpoints can be restricted to specific ranges of IP addresses.

ストアの暗号化を構成するにはTo configure encryption for the store

メタデータ ストアに格納されている資格情報を暗号化するには、証明書が必要です。A certificate is required to encrypt the credentials that are stored in the metadata store. 以下の 3 つのシナリオから最適なものを選択し、すべての手順を実行します。Choose the most applicable of the three scenarios below, and execute all its steps:

新しい自己署名証明書を使用するUse a new self-signed certificate

  1. 自己署名証明書を作成するCreate a Self-Signed Certificate
  2. 自己署名の暗号化証明書の PFX ファイルを作成するCreate PFX file for Self-Signed Encryption Certificate
  3. クラウド サービスに暗号化証明書をアップロードするUpload Encryption Certificate to Cloud Service
  4. サービス構成ファイルの暗号化証明書を更新するUpdate Encryption Certificate in Service Configuration File

証明書ストアにある既存の証明書を使用するUse an existing certificate from the certificate store

  1. 証明書ストアから暗号化証明書をエクスポートするExport Encryption Certificate From Certificate Store
  2. クラウド サービスに暗号化証明書をアップロードするUpload Encryption Certificate to Cloud Service
  3. サービス構成ファイルの暗号化証明書を更新するUpdate Encryption Certificate in Service Configuration File

PFX ファイル内に既存の証明書を使用するUse an existing certificate in a PFX file

  1. クラウド サービスに暗号化証明書をアップロードするUpload Encryption Certificate to Cloud Service
  2. サービス構成ファイルの暗号化証明書を更新するUpdate Encryption Certificate in Service Configuration File

既定の構成The default configuration

既定の構成では、HTTP エンドポイントへのすべてのアクセスを拒否します。The default configuration denies all access to the HTTP endpoint. これらのエンドポイントへの要求にはデータベースの資格情報などの機密情報が含まれていることがあるため、これが推奨される設定です。This is the recommended setting, since the requests to these endpoints may carry sensitive information like database credentials. 既定の構成では、HTTPS エンドポイントへのすべてのアクセスを許可します。The default configuration allows all access to the HTTPS endpoint. この設定は、さらに制限できます。This setting may be restricted further.

構成の変更Changing the Configuration

エンドポイントに適用されるアクセス制御ルールのグループは、サービス構成ファイル<EndpointAcls> セクションに構成されます。The group of access control rules that apply to and endpoint are configured in the <EndpointAcls> section in the service configuration file.

<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpIn" accessControl="DenyAll" />
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="AllowAll" />
</EndpointAcls>

アクセス制御グループ内のルールは、サービス構成ファイルの <AccessControl name=""> セクションに構成されます。The rules in an access control group are configured in a <AccessControl name=""> section of the service configuration file.

形式は、ネットワーク アクセス制御リスト ドキュメントに説明があります。The format is explained in Network Access Control Lists documentation. たとえば、HTTPS エンドポイントへのアクセスを範囲 100.100.0.0 ~ 100.100.255.255 の IP のみ許可する場合、ルールは次のようになります。For example, to allow only IPs in the range 100.100.0.0 to 100.100.255.255 to access the HTTPS endpoint, the rules would look like this:

<AccessControl name="Retricted">
    <Rule action="permit" description="Some" order="1" remoteSubnet="100.100.0.0/16"/>
    <Rule action="deny" description="None" order="2" remoteSubnet="0.0.0.0/0" />
</AccessControl>
<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="Restricted" />
</EndpointAcls>

サービス拒否 (DOS) 防止Denial of service prevention

サービス拒否の攻撃を検出および防止するための支援として次の 2 種類のメカニズムがあります。There are two different mechanisms supported to detect and prevent Denial of Service attacks:

  • リモート ホストあたりの同時要求数の制限 (既定ではオフ)Restrict number of concurrent requests per remote host (off by default)
  • リモート ホストあたりのアクセス レートの制限 (既定ではオン)Restrict rate of access per remote host (on by default)

このような機能の基本となる機能の詳細については、IIS の Dynamic IP Security に関するページをご覧ください。These are based on the features further documented in Dynamic IP Security in IIS. この構成を変更する場合、次の要素に注意が必要です。When changing this configuration beware of the following factors:

  • リモート ホスト情報を扱うプロキシおよびネットワーク アドレス変換デバイスの動作The behavior of proxies and Network Address Translation devices over the remote host information
  • Web ロールにおける任意のリソースに対する各要求が考慮されている (例: スクリプト、イメージなどの読み込み)Each request to any resource in the web role is considered (for example, loading scripts, images, etc)

同時実行アクセス数の制御Restricting number of concurrent accesses

この動作を構成するための設定は、次のとおりです。The settings that configure this behavior are:

<Setting name="DynamicIpRestrictionDenyByConcurrentRequests" value="false" />
<Setting name="DynamicIpRestrictionMaxConcurrentRequests" value="20" />

この保護を有効にするには、DynamicIpRestrictionDenyByConcurrentRequests を true に変更します。Change DynamicIpRestrictionDenyByConcurrentRequests to true to enable this protection.

アクセス レートの制限Restricting rate of access

この動作を構成するための設定は、次のとおりです。The settings that configure this behavior are:

<Setting name="DynamicIpRestrictionDenyByRequestRate" value="true" />
<Setting name="DynamicIpRestrictionMaxRequests" value="100" />
<Setting name="DynamicIpRestrictionRequestIntervalInMilliseconds" value="2000" />

拒否された要求に対する応答の構成Configuring the response to a denied request

次の設定は、拒否された要求への応答を構成します。The following setting configures the response to a denied request:

<Setting name="DynamicIpRestrictionDenyAction" value="AbortRequest" />

サポートされている他の値については、IIS の Dynamic IP Security に関するドキュメントを参照してください。Refer to the documentation for Dynamic IP Security in IIS for other supported values.

サービス証明書を構成する操作Operations for configuring service certificates

このトピックは参照専用です。This topic is for reference only. 次に概要を説明している手順に従って構成してください。Follow the configuration steps outlined in:

  • SSL 証明書の構成Configure the SSL certificate
  • クライアント証明書の構成Configure client certificates

自己署名証明書を作成するCreate a self-signed certificate

次のように実行します。Execute:

makecert ^
  -n "CN=myservice.cloudapp.net" ^
  -e MM/DD/YYYY ^
  -r -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.1" ^
  -a sha256 -len 2048 ^
  -sv MySSL.pvk MySSL.cer

カスタマイズするには、次のように実行します。To customize:

  • サービスの URL に -n を指定します。-n with the service URL. ワイルドカード ("CN=*.cloudapp.net") と代替名 ("CN=myservice1.cloudapp.net、CN=myservice2.cloudapp.net") がサポートされています。Wildcards ("CN=*.cloudapp.net") and alternative names ("CN=myservice1.cloudapp.net, CN=myservice2.cloudapp.net") are supported.
  • 証明書の有効期限の日付に -e を指定します。強力なパスワードを作成し、要求されたときにこれを指定してください。-e with the certificate expiration date Create a strong password and specify it when prompted.

自己署名 SSL 証明書のための PFX ファイルを作成するCreate PFX file for self-signed SSL certificate

次のように実行します。Execute:

    pvk2pfx -pvk MySSL.pvk -spc MySSL.cer

パスワードを入力し、その後、次のオプションを使用して証明書をエクスポートします。Enter password and then export certificate with these options:

  • はい、秘密キーをエクスポートしますYes, export the private key
  • すべての拡張プロパティをエクスポートするExport all extended properties

証明書ストアから SSL 証明書をエクスポートするExport SSL certificate from certificate store

  • 証明書を検索するFind certificate
  • [アクション]、[すべてのタスク]、[エクスポート] の順にクリックするClick Actions -> All tasks -> Export…
  • 次のオプションを使用して証明書を .PFX ファイルにエクスポートします。Export certificate into a .PFX file with these options:
    • はい、秘密キーをエクスポートしますYes, export the private key
    • 可能であれば、証明書パスのすべての証明書を含めます *すべての拡張プロパティをエクスポートしますInclude all certificates in the certification path if possible *Export all extended properties

クラウド サービスに SSL 証明書をアップロードするUpload SSL certificate to cloud service

既存または生成された .PFX ファイルと SSL キーのペアを使用して、証明書を次のようにアップロードします。Upload certificate with the existing or generated .PFX file with the SSL key pair:

  • 秘密キーの情報を保護するパスワードを入力するEnter the password protecting the private key information

サービス構成ファイルの SSL 証明書を更新するUpdate SSL certificate in service configuration file

サービス構成ファイルの次の設定のサムプリント値を、クラウド サービスにアップロードされた証明書のサムプリントを使用して、次のように更新します。Update the thumbprint value of the following setting in the service configuration file with the thumbprint of the certificate uploaded to the cloud service:

<Certificate name="SSL" thumbprint="" thumbprintAlgorithm="sha1" />

SSL 証明機関をインポートするImport SSL certification authority

サービスと通信するすべてのアカウントおよびマシンで、次の手順に従います。Follow these steps in all account/machine that will communicate with the service:

  • Windows エクスプローラーで .CER ファイルをダブルクリックするDouble-click the .CER file in Windows Explorer
  • [証明書] ダイアログ ボックスで [証明書のインストール] をクリックするIn the Certificate dialog, click Install Certificate…
  • 信頼されたルート証明機関のストアに証明書をインポートするImport certificate into the Trusted Root Certification Authorities store

クライアント証明書ベースの認証をオフにするTurn off client certificate-based authentication

クライアント証明書ベースの認証のみがサポートされています。これを無効にすると、他のメカニズムが (Microsoft Azure Virtual Network など) が機能していない限り、サービス エンドポイントへのパブリック アクセスが可能になります。Only client certificate-based authentication is supported and disabling it will allow for public access to the service endpoints, unless other mechanisms are in place (for example, Microsoft Azure Virtual Network).

この機能を無効にするには、次のようにして、サービス構成ファイルでこの設定を false にします。Change these settings to false in the service configuration file to turn off the feature:

<Setting name="SetupWebAppForClientCertificates" value="false" />
<Setting name="SetupWebserverForClientCertificates" value="false" />

次に、CA 証明書の設定で、SSL 証明書と同じサムプリントを次のようにコピーします。Then, copy the same thumbprint as the SSL certificate in the CA certificate setting:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

自己署名証明機関を作成するCreate a self-signed certification authority

認証機関として機能する自己署名証明書を作成するには、次の手順を実行します。Execute the following steps to create a self-signed certificate to act as a Certification Authority:

makecert ^
-n "CN=MyCA" ^
-e MM/DD/YYYY ^
 -r -cy authority -h 1 ^
 -a sha256 -len 2048 ^
  -sr localmachine -ss my ^
  MyCA.cer

これをカスタマイズするには次のようにします。To customize it

  • 証明の有効期限の日付に -e を指定する-e with the certification expiration date

CA の公開キーを検索するFind CA public key

すべてのクライアント証明書は、サービスで信頼されている証明機関によって発行される必要があります。All client certificates must have been issued by a Certification Authority trusted by the service. クラウド サービスにアップロードするために、認証に使用するクライアント証明書を発行した認証機関への公開キーを検索します。Find the public key to the Certification Authority that issued the client certificates that are going to be used for authentication in order to upload it to the cloud service.

公開キーのファイルが利用可能でない場合、証明書ストアから次のようにエクスポートしてください。If the file with the public key is not available, export it from the certificate store:

  • 証明書を検索するFind certificate
    • 同じ証明機関によって発行されたクライアント証明書を検索します。Search for a client certificate issued by the same Certification Authority
  • 証明書をダブルクリックするDouble-click the certificate.
  • 証明書のダイアログ ボックスで、[証明のパス] タブをクリックするSelect the Certification Path tab in the Certificate dialog.
  • パスの CA エントリをダブルクリックするDouble-click the CA entry in the path.
  • 証明書のプロパティを書き留めるTake notes of the certificate properties.
  • [証明書] ダイアログ ボックスを閉じるClose the Certificate dialog.
  • 証明書を検索するFind certificate
    • 前のように CA を検索します。Search for the CA noted above.
  • [アクション]、[すべてのタスク]、[エクスポート] の順にクリックするClick Actions -> All tasks -> Export…
  • 次のオプションを指定した証明書を .CER にエクスポートするExport certificate into a .CER with these options:
    • いいえ、秘密キーをエクスポートしませんNo, do not export the private key
    • 可能であれば、証明書パスにあるすべての証明書を含むInclude all certificates in the certification path if possible.
    • すべての拡張プロパティをエクスポートするExport all extended properties.

CA 証明書をクラウド サービスにアップロードするUpload CA certificate to cloud service

既存または生成された .CER ファイルを CA 公開キーと共にアップロードします。Upload certificate with the existing or generated .CER file with the CA public key.

サービス構成ファイルの CA 証明書を更新するUpdate CA certificate in service configuration file

サービス構成ファイルの次の設定のサムプリント値を、クラウド サービスにアップロードされた証明書のサムプリントを使用して、次のように更新します。Update the thumbprint value of the following setting in the service configuration file with the thumbprint of the certificate uploaded to the cloud service:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

同じサムプリントを使用して、次の設定の値を更新します。Update the value of the following setting with the same thumbprint:

<Setting name="AdditionalTrustedRootCertificationAuthorities" value="" />

クライアント証明書を発行するIssue client certificates

サービスへのアクセスが許可された各個人は、排他的に使用するクライアント証明書を持っている必要があります。また、秘密キーを保護するための強力なパスワードを独自に選択する必要があります。Each individual authorized to access the service should have a client certificate issued for their exclusive use and should choose their own strong password to protect its private key.

自己署名 CA 証明書が生成および格納された同じマシンで、次の手順を実行する必要があります。The following steps must be executed in the same machine where the self-signed CA certificate was generated and stored:

makecert ^
  -n "CN=My ID" ^
  -e MM/DD/YYYY ^
  -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.2" ^
  -a sha256 -len 2048 ^
  -in "MyCA" -ir localmachine -is my ^
  -sv MyID.pvk MyID.cer

次のようにカスタマイズします。Customizing:

  • この証明書で認証されるクライアントの ID に -n を指定します。-n with an ID for to the client that will be authenticated with this certificate
  • 証明書の有効期限の日付に -e を指定します。-e with the certificate expiration date
  • MyID.pvk および MyID.cer には、このクライアント証明書用の一意のファイル名を指定します。MyID.pvk and MyID.cer with unique filenames for this client certificate

このコマンドでは、パスワードの作成と 1 回の使用が求められます。This command will prompt for a password to be created and then used once. 強力なパスワードを使用します。Use a strong password.

クライアント証明書の PFX ファイルを作成するCreate PFX files for client certificates

生成された各クライアント証明書で、次のように実行します。For each generated client certificate, execute:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

次のようにカスタマイズします。Customizing:

MyID.pvk and MyID.cer with the filename for the client certificate

パスワードを入力し、その後、次のオプションを使用して証明書をエクスポートします。Enter password and then export certificate with these options:

  • はい、秘密キーをエクスポートしますYes, export the private key
  • すべての拡張プロパティをエクスポートするExport all extended properties
  • この証明書の発行先である個人は、パスワードのエクスポートを選択する必要があります。The individual to whom this certificate is being issued should choose the export password

クライアント証明書をインポートするImport client certificate

クライアント証明書が発行されている各ユーザーは、キー ペアを、サービスとの通信で使用するマシンに次のようにインポートする必要があります。Each individual for whom a client certificate has been issued should import the key pair in the machines they will use to communicate with the service:

  • Windows エクスプローラーで .PFX ファイルをダブルクリックするDouble-click the .PFX file in Windows Explorer
  • 少なくとも次のオプションを使用して、個人用ストアに証明書をインポートします。Import certificate into the Personal store with at least this option:
    • チェック済みの拡張されたすべてのプロパティを含めるInclude all extended properties checked

クライアント証明書のサムプリントをコピーするCopy client certificate thumbprints

証明書が発行されている各ユーザーは、サービス構成ファイルに追加される自分の証明書のサムプリントを取得するために、次の手順を実行する必要があります。Each individual for whom a client certificate has been issued must follow these steps in order to obtain the thumbprint of their certificate, which will be added to the service configuration file:

  • certmgr.exe を実行するRun certmgr.exe
  • [個人設定] タブをクリックするSelect the Personal tab
  • 認証に使用するクライアント証明書をダブルクリックするDouble-click the client certificate to be used for authentication
  • 表示される [証明書] ダイアログ ボックスで [詳細] タブをクリックするIn the Certificate dialog that opens, select the Details tab
  • すべてが表示されていることを確認するMake sure Show is displaying All
  • 一覧の Thumbprint という名前のフィールドを選択するSelect the field named Thumbprint in the list
  • サムプリントの値をコピーするCopy the value of the thumbprint
    • 最初の桁の前にある非表示の Unicode 文字を削除するDelete non-visible Unicode characters in front of the first digit
    • すべてのスペースを削除するDelete all spaces

許可されているクライアントをサービス構成ファイルに構成するConfigure Allowed clients in the service configuration file

サービス構成ファイルの次の設定値を、サービスへのアクセスが許可されたクライアント証明書のコンマで区切られたサムプリント一覧を使用して更新します。Update the value of the following setting in the service configuration file with a comma-separated list of the thumbprints of the client certificates allowed access to the service:

<Setting name="AllowedClientCertificateThumbprints" value="" />

クライアント証明書の失効確認を構成するConfigure client certificate revocation check

既定の設定では、証明機関によるクライアント証明書の失効状態の確認は行われません。The default setting does not check with the Certification Authority for client certificate revocation status. クライアント証明書を発行した証明機関がこのような確認をサポートする場合にこの確認をオンにするには、X509RevocationMode 列挙型に定義された値の 1 つを使用して次のように設定を変更します。To turn on the checks, if the Certification Authority that issued the client certificates supports such checks, change the following setting with one of the values defined in the X509RevocationMode Enumeration:

<Setting name="ClientCertificateRevocationCheck" value="NoCheck" />

自己署名の暗号化証明書の PFX ファイルを作成するCreate PFX file for self-signed encryption certificates

暗号化証明書は、次のように実行します。For an encryption certificate, execute:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

次のようにカスタマイズします。Customizing:

MyID.pvk and MyID.cer with the filename for the encryption certificate

パスワードを入力し、その後、次のオプションを使用して証明書をエクスポートします。Enter password and then export certificate with these options:

  • はい、秘密キーをエクスポートしますYes, export the private key
  • すべての拡張プロパティをエクスポートするExport all extended properties
  • クラウド サービスに証明書をアップロードする際に、このパスワードが必要になります。You will need the password when uploading the certificate to the cloud service.

証明書ストアから暗号化証明書をエクスポートするExport encryption certificate from certificate store

  • 証明書を検索するFind certificate
  • [アクション]、[すべてのタスク]、[エクスポート] の順にクリックするClick Actions -> All tasks -> Export…
  • 次のオプションを使用して証明書を .PFX ファイルにエクスポートします。Export certificate into a .PFX file with these options:
    • はい、秘密キーをエクスポートしますYes, export the private key
    • 可能であれば、証明書パスにあるすべての証明書を含むInclude all certificates in the certification path if possible
  • すべての拡張プロパティをエクスポートするExport all extended properties

クラウド サービスに暗号化証明書をアップロードするUpload encryption certificate to cloud service

既存または生成された .PFX ファイルと 暗号化キーのペアを使用して、証明書を次のようにアップロードします。Upload certificate with the existing or generated .PFX file with the encryption key pair:

  • 秘密キーの情報を保護するパスワードを入力するEnter the password protecting the private key information

サービス構成ファイルの暗号化証明書を更新するUpdate encryption certificate in service configuration file

サービス構成ファイルの次の設定のサムプリント値を、クラウド サービスにアップロードされた証明書のサムプリントを使用して、次のように更新します。Update the thumbprint value of the following settings in the service configuration file with the thumbprint of the certificate uploaded to the cloud service:

<Certificate name="DataEncryptionPrimary" thumbprint="" thumbprintAlgorithm="sha1" />

一般的な証明操作Common certificate operations

  • SSL 証明書の構成Configure the SSL certificate
  • クライアント証明書の構成Configure client certificates

証明書を検索するFind certificate

次の手順に従います。Follow these steps:

  1. Mmc.exe を実行します。Run mmc.exe.
  2. [ファイル]、[スナップインの追加と削除] の順にクリックします。File -> Add/Remove Snap-in…
  3. [証明書] を選択します。Select Certificates.
  4. [追加] をクリックします。Click Add.
  5. 証明書ストアの場所を選択します。Choose the certificate store location.
  6. [完了] をクリックします。Click Finish.
  7. Click OK.Click OK.
  8. [証明書] を展開します。Expand Certificates.
  9. 証明書ストアを展開します。Expand the certificate store node.
  10. 証明書の子ノードを展開します。Expand the Certificate child node.
  11. 一覧から 1 つの証明書を選択します。Select a certificate in the list.

証明書をエクスポートします。Export certificate

証明書のエクスポート ウィザードで次のように実行します。In the Certificate Export Wizard:

  1. [次へ] をクリックします。Click Next.
  2. [はい][秘密キーをエクスポートします] の順に選択します。Select Yes, then Export the private key.
  3. [次へ] をクリックします。Click Next.
  4. 目的の出力ファイル形式を選択します。Select the desired output file format.
  5. 必要なオプションを確認します。Check the desired options.
  6. [パスワード] をオンにします。Check Password.
  7. 強力なパスワードを入力し、確定します。Enter a strong password and confirm it.
  8. [次へ] をクリックします。Click Next.
  9. 証明書が格納されているファイル名を入力するか参照します (拡張子 .PFX を使用)。Type or browse a filename where to store the certificate (use a .PFX extension).
  10. [次へ] をクリックします。Click Next.
  11. [完了] をクリックします。Click Finish.
  12. Click OK.Click OK.

証明書のインポートImport certificate

証明書のインポート ウィザードで次のように実行します。In the Certificate Import Wizard:

  1. ストアの場所を選択します。Select the store location.

    • 現在のユーザーが実行中のプロセスのみがサービスにアクセスする場合は、 [現在のユーザー] を選択します。Select Current User if only processes running under current user will access the service
    • このコンピューターの他のプロセスがサービスにアクセスする場合は、 [ローカル マシン] を選択します。Select Local Machine if other processes in this computer will access the service
  2. [次へ] をクリックします。Click Next.

  3. ファイルからインポートしている場合は、ファイルのパスを確認します。If importing from a file, confirm the file path.

  4. .PFX ファイルをインポートする場合は、次のようにします。If importing a .PFX file:

    1. 秘密キーの情報を保護するパスワードを入力するEnter the password protecting the private key
    2. インポート オプションを選択するSelect import options
  5. 次のストアに証明書の "場所" を選択します。Select "Place" certificates in the following store

  6. [参照] をクリックします。Click Browse.

  7. 目的のストアを選択します。Select the desired store.

  8. [完了] をクリックします。Click Finish.

    • [信頼されたルート証明機関ストア] を選択した場合は、 [はい] をクリックします。If the Trusted Root Certification Authority store was chosen, click Yes.
  9. すべてのダイアログ ウィンドウで [OK] をクリックします。Click OK on all dialog windows.

証明書のアップロードUpload certificate

Azure Portal で次のように実行しますIn the Azure portal

  1. [クラウド サービス] を選択します。Select Cloud Services.
  2. クラウド サービスを選択します。Select the cloud service.
  3. 上部メニューで [証明書] をクリックします。On the top menu, click Certificates.
  4. 下部のバーで [アップロード] をクリックします。On the bottom bar, click Upload.
  5. 証明書ファイルを選択します。Select the certificate file.
  6. .PFX ファイルの場合は、秘密キーのパスワードを入力します。If it is a .PFX file, enter the password for the private key.
  7. 完了したら、一覧内の新しいエントリから証明書の拇印をコピーします。Once completed, copy the certificate thumbprint from the new entry in the list.

その他のセキュリティの考慮事項Other security considerations

このドキュメントで説明した SSL の設定では、HTTPS エンドポイント使用時のサービスとクライアント間の通信を暗号化します。The SSL settings described in this document encrypt communication between the service and its clients when the HTTPS endpoint is used. この暗号化が重要なのは、通信には、データベース アクセスの資格証明と他の潜在的な機密情報が含まれているためです。This is important since credentials for database access and potentially other sensitive information are contained in the communication. ただし、このサービスでは、Microsoft Azure サブスクリプションでメタデータ ストレージ用に指定した Microsoft Azure SQL データベース内の内部テーブルに、資格情報を含む内部の状態が維持されることに注意してください。Note, however, that the service persists internal status, including credentials, in its internal tables in the Microsoft Azure SQL database that you have provided for metadata storage in your Microsoft Azure subscription. このデータベースは、サービス構成ファイルの設定の一部として次のように定義されたものです (.CSCFG ファイル)。That database was defined as part of the following setting in your service configuration file (.CSCFG file):

<Setting name="ElasticScaleMetadata" value="Server=…" />

このデータベースに格納されている資格情報が暗号化されます。Credentials stored in this database are encrypted. ただし、ベスト プラクティスとして、サービス デプロイメントにおける Web ロールとワーカー ロールの両方を最新に保ち、両者がメタデータのデータベースと保存された資格情報の暗号化と解読に使用する証明書へアクセスする際の安全性が保たれるようにします。However, as a best practice, ensure that both web and worker roles of your service deployments are kept up to date and secure as they both have access to the metadata database and the certificate used for encryption and decryption of stored credentials.

その他のリソースAdditional resources

まだ弾力性データベース ツールを使用していない場合は、Not using elastic database tools yet? ファースト ステップ ガイドを参照してください。Check out our Getting Started Guide. 質問がある場合は、SQL Database のフォーラムに投稿してください。機能に関するご要望は、SQL Database に関するフィードバック フォーラムにお寄せください。For questions, please reach out to us on the SQL Database forum and for feature requests, please add them to the SQL Database feedback forum.