none
ホスト型キャッシュを利用した更新プログラム配信時の証明書の必要性 RRS feed

  • 質問

  • [概要]
    Windows10のロールアップ更新プログラムのサイズが大きく、ネットワーク負荷を懸念しているため、
    以下の環境でBranchCache(ホスト型キャッシュ)を利用してWindows10の更新プログラムを展開する検証を実施しております。
    なお、Branch Cacheはバック グラウンド インテリジェント転送サービス (BITS)でのみ利用します。

    【環境】
     ▼データセンター
      ◇WSUSサーバ:Windows Server 2016
       ⇒インストールされている機能
        ・WSUS
        ・BranchCache

     ▼拠点
      ◇キャッシュサーバ:Windows Server 2016
       ⇒インストールされている機能
        ・BranchCache(netshでホストサーバモードを指定)
      ◇クライアント:Windows10 Pro
       ・WSUSサーバを指定
       ・netshでキャッシュサーバを指定
       ・グループポリシーでホスト型Branch Cacheを有効
       ・ダウンロード モードを「バイパス」に設定

    [質問内容]
    ホスト型キャッシュサーバで展開する場合、キャッシュサーバとクライアント間で
    暗号化された通信をするため、キャッシュサーバに証明書をバインドする必要があると資料に記載があります。
    これはBITSのみの利用でも証明書のバインドが必要になるのでしょうか?

    色々資料は確認しておりますが、BITSのみに関しての資料が見つからないので、
    上記の内容が記載された資料があれば合わせてご教示いただけますと幸いです。

    2018年8月9日 9:02

回答

  • チャブーンです。

    これですが、おそらくBranch CacheホストサーバーがWindows Server 2008 R2+Windows 7/VistaクライアントであればSSLのための証明書が必要になりますので、それを示す警告だと思います。Windowsにおける警告の扱いは単に「注意」という意味であり、エラーの一歩手前=取り除くべき障壁、を意味してはいません。

    SSL証明書に関しては、基本的にはホストサーバーがWindows Server 2012以降であれば、不要ということだそうです。逆をいえば、クライアントがWindows 7/Vistaの場合、ホストサーバーが「Windows Server 2008 R2相当にみえる」必要から、サーバー側に証明書が必要ですよ、という話しのように見受けられます。根拠については、したの資料に明記されています。

    https://technet.microsoft.com/en-us/library/mt613461.aspx

    ----
    For hosted cache servers that are running Windows Server 2008 R2, a hosted cache server certificate and associated private key are required, and the certification authority (CA) that issued the certificate must be trusted by client computers in the branch office. This allows the client and server to participate successfully in HTTPS Server authentication.
    ----


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク GCC35 2018年8月16日 1:53
    2018年8月14日 21:56

すべての返信

  • 追加となります。

    実際に環境を構築して色々見ていたところ、キャッシュサーバでbranchcacheの機能を有効にし、ホストサーバモードにしたところ、以下のステータスとなりました。

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    ネットワークの状態:
    -------------------------------------------------------------------------------
    コンテンツ取得の URL 予約                   = 構成済み (必要)
    ホスト型キャッシュの URL 予約                 = 構成済み (必要)
    ホスト型キャッシュの HTTP URL 予約            = 構成済み (必要)
    ホスト型キャッシュ ポートに結合された SSL 証明書       = 未構成  (必要なし)
    コンテンツ取得のファイアウォール規則                = 有効   (必要)
    ピア検出のファイアウォール規則                   = 有効   (必要なし)
    ホスト型キャッシュ サーバーのファイアウォール規則         = 有効   (必要)
    ホスト型キャッシュ クライアントのファイアウォール規則       = 有効   (必要なし)

    警告: ホスト型キャッシュ ポートに結合された証明書がありません。BITS プロトコルを使用している Windows 7 クライアントまた は Vista クライアントにサービスを提供するには、ホスト型キャッシュ SSL 証明書が必要です。

    警告: Windows ファイアウォールは現在無効です。

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    上記の警告からBITSプロトコルの場合でもSSL証明書の発行が必要なようです。

    だた、「ホスト型キャッシュ ポートに結合された SSL 証明書       = 未構成  (必要なし)」と記載してあるので、不要なようにも捉えられます。

    「未構成  (必要なし)」とは何に対して必要なしとなっているのでしょうか?

    2018年8月10日 1:13
  • チャブーンです。

    これですが、おそらくBranch CacheホストサーバーがWindows Server 2008 R2+Windows 7/VistaクライアントであればSSLのための証明書が必要になりますので、それを示す警告だと思います。Windowsにおける警告の扱いは単に「注意」という意味であり、エラーの一歩手前=取り除くべき障壁、を意味してはいません。

    SSL証明書に関しては、基本的にはホストサーバーがWindows Server 2012以降であれば、不要ということだそうです。逆をいえば、クライアントがWindows 7/Vistaの場合、ホストサーバーが「Windows Server 2008 R2相当にみえる」必要から、サーバー側に証明書が必要ですよ、という話しのように見受けられます。根拠については、したの資料に明記されています。

    https://technet.microsoft.com/en-us/library/mt613461.aspx

    ----
    For hosted cache servers that are running Windows Server 2008 R2, a hosted cache server certificate and associated private key are required, and the certification authority (CA) that issued the certificate must be trusted by client computers in the branch office. This allows the client and server to participate successfully in HTTPS Server authentication.
    ----


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク GCC35 2018年8月16日 1:53
    2018年8月14日 21:56
  • フォーラム オペレーターの栗下 望です。
    GCC35 さん、こんにちは。

    本件その後いかがでしょうか。
    チャブーンさんから寄せられた投稿を確認いただき、参考になりましたら [回答としてマーク] の設定と、
    情報のご共有をお願いいたします。


    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望

    2018年8月16日 1:40
    モデレータ
  • チャブーン様

    ご回答ありがとうございました。

    今回、ホストサーバがWindows Server 2016であり、かつ更新プログラムを配信するクライアントがWindows10のみとなるため、証明書を導入しなくとも問題なさそうですね。

    実際の動作は検証してみます。ありがとうございました!

    2018年8月16日 1:55