Secure Sockets Layer (SSL) プロトコルを使用すると、Windows Server® Update Services (WSUS) 展開をセキュリティで保護できます。WSUS では、クライアント コンピューターとダウンストリーム WSUS サーバーが SSL を使用して WSUS サーバーに対する認証を実行します。また、クライアント コンピューター間やダウンストリーム WSUS サーバー間で受け渡されるメタデータの暗号化にも SSL を使用します。ただし、WSUS で SSL によって暗号化されるのはメタデータのみであり、データの内容は暗号化されません。この点については、Microsoft Update による更新プログラム配布処理も同様です。

更新プログラムは、次の 2 つの部分で構成されています。

  • 更新プログラム自体についての情報を記述したメタデータ

  • 更新プログラムをコンピューターにインストールするためのファイル

更新プログラムのファイルを暗号化していないチャネルで送ることのリスクを低減するために、個々の更新プログラムは署名されています。また、個々の更新プログラムについてハッシュが計算され、メタデータに含めて送信されます。更新プログラムをダウンロードすると、WSUS はこのデジタル署名とハッシュを検証します。更新プログラムが改変されている場合、インストールは実行されません。

WSUS サーバー上と WSUS クライアント上で SSL を構成する手順の詳細については、WSUS の展開ガイド (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=139832) を参照してください。

WSUS の SSL 展開の制限事項

WSUS の SSL 展開を検討する際は、次に示す 2 つの制限事項を考慮してください。

  1. WSUS 展開を SSL でセキュリティ保護すると、サーバーの負荷が大きくなります。ネットワークで伝送するメタデータをすべて暗号化するための付加コストにより、10 パーセント程度のパフォーマンス低下を見込んでください。

  2. リモート SQL を使用する場合、WSUS サーバーとデータベースを実行するサーバーとの接続は SSL でセキュリティ保護されません。データベース接続のセキュリティ保護が必要な場合は、次の推奨事項に従うことを検討してください。

    • データベースを WSUS サーバー上に配置する (既定の WSUS 構成)。

    • SQL を実行するリモート サーバーと WSUS サーバーを同じプライベート ネットワークに配置する。

    • ネットワークに IP セキュリティ (IPsec) を展開してネットワーク トラフィックを保護する。実際の環境に IPsec を展開する方法のガイダンスについては、Windows Server の展開に関するガイド (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=45154) を参照してください。

その他の参照情報

証明機関 (CA) をセットアップし、証明書を WSUS Web サイトにバインドして、WSUS Web サイト上の証明書を信頼するようにクライアント コンピューターをブートストラップ処理するための管理タスクは複雑なものです。個々のタスクの手順をこのトピックで詳細に説明することはできませんが、この話題に関する記事が別途用意されています。証明書をインストールして使用環境をセットアップする方法の詳細については、次のリソースを参照してください。

  • Windows Server 2003 PKI の操作ガイド (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=83159) では、Windows 証明機関を構成して運用するための手順を管理者向けに説明しています。

  • Microsoft サポート技術情報の記事 299875 (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=86176) では、IIS に SSL を実装するための詳細な手順を説明しています。

  • Windows Server 2003 における証明書の自動登録に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=17801) では、Windows Server 2003 Enterprise に Active Directory を統合した環境で Windows XP を実行するクライアント コンピューターを自動登録する方法について説明しています。

  • 証明書の高度な登録と管理に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=83160) では、その他の環境でクライアント コンピューターを自動登録する方法について説明しています。

関連項目