リモートフロントパネルのWebサービスWebサービスのアプリケーションWebサーバで従来SSL (Secure Sockets Layer) として知られているTLS (Transport Layer Security) を有効にすることができます。TLS/SSL暗号化を使用することで、クライアントとWebサーバ間のデータ送信時に安全で暗号化された接続を作成できます。

メモ TLS/SSLは、LabVIEW開発システムおよびLabVIEWプロフェッショナル開発システムでのみ使用可能です。

TLS/SSLでの証明書

TLS/SSLはクライアントとサーバ間で安全な接続を確立するためにX.509証明書を使用します。

証明書は、サーバの識別情報や、パブリックキー、デジタル署名が含まれているデジタルファイルです。識別情報の例としては、サーバ名や、有効期限、地域などがあります。パブリックキーは暗号化の生成に使用される文字列で、デジタル署名は証明書が本物であることの保証するものです。デジタル署名は、証明書の作成者 (自己署名証明書) によって追加されるか、認証機関 (CA) (デジタル証明書を発行する信頼された第三者) によって追加されます。

クライアントが安全な接続を確立しようとすると、サーバはこの証明書を提供します。クライアントは、主要なWebブラウザを使用して、証明書の信頼性を確認します。Webブラウザは、自動的に証明書の信頼性を既知のCAのルート証明書リストと照合し、証明書を受理または拒否する適切なプロンプトを表示します。クライアントが証明書を受理した場合、クライアントはパブリックキーに従って固有の暗号化コードでサーバに通信を返します。そして、サーバは証明書と一緒に作成されたプライベートキーを使用して暗号をデコードします。この時点で、クライアントとサーバ間に暗号化された安全な接続が確立されます。

注意 プライベートキーはWebサーバを実行中のシステムに残り、クライアントまたはCAには公開されません。プライベートキーは暗号化接続の整合性の維持に重要なもので、最初の証明書を生成したシステム上に保持する必要があります。プライベートキーに障害が発生した場合は、関連する証明書の使用を停止してください。

TLS/SSLセキュリティを有効にする

WebサービスのTLS/SSLセキュリティを有効にするには、アプリケーションWebサーバWeb構成ページを使用します。リモートフロントパネルのTLS/SSLセキュリティを有効にするには、オプションダイアログボックスを使用します。WebクライアントからTLS/SSLが有効になっているWebサービスまたはリモートフロントパネルに接続する場合は、https://プロトコルを使用する必要があります。たとえば、https://localhost:443はTLS/SSLがポート443に設定されたWebサーバに接続します。

自己署名TLS/SSL証明書を作成する

証明書へのデジタル署名を第三者CAから取得せずに、TLS/SSLをすぐに使用するためには、自己署名証明書を使用します。自己署名証明書は証明書の作成者が署名するもので、LabVIEWでTLS/SSLを最も短時間で使用することができます。CAが署名した証明書を入手する前に、自己署名証明書を使用してシステムをテストすることもできます。クライアントが主要なWebブラウザを使用してWebサーバにアクセスしたときに、自己署名証明書が追加のセキュリティプロンプトを作成することがあります。

TLS/SSLを有効にしたときにLabVIEWによって作成されるデフォルトのLabVIEW自己署名証明書を使用できます。

LabVIEWのデフォルト自己署名証明書

TLS/SSLを有効にしたときにデフォルトの自己署名証明書が作成されます。この際、新しく自己署名証明書や証明書署名要求 (CSR) を作成する必要はありません。TLS/SSLを有効にしたときにカスタムの証明書を選択しないと、デフォルトの証明書が使用されます。

デフォルトの自己署名証明書は、作成日から10年間有効です。

デフォルトの自己署名証明書ファイルは、(Windows 7) C:\ProgramData\National Instruments\certstore\server_certs\server_0.cerディレクトリにあります。

NI Web-based Configuration & MonitoringをTLS/SSL付きで使用する

NI Web-based Configuration & Monitoringで、Webサーバ構成ページのSSL証明書管理タブを使用して、自己署名証明書とCSRを作成および管理します。以下の手順の詳細については、NI Web-based Configuration & Monitoringに付属のヘルプを参照してください。

  • 自己署名証明書を作成する
  • 証明書署名要求を作成する
  • CSRから証明書を作成する

証明書署名要求を作成する

証明書署名要求を作成することにより、CAのデジタル署名により証明された証明書を入手することができます。CAとは、証明書が本物であることをデジタルに保証する、信頼された第三者機関です。企業のIT部門など、ネットワーク管理者もデジタル署名を発行する場合があります。

CSRには、識別情報と証明書の重要なコンポーネントが含まれています。CSRを信頼できるCAに送信すると、デジタル署名されて完成した証明書がCAから返信されてきます。

認証機関を使用する

CSRを作成する場合、CSRを信頼できるCAに送信してデジタル署名を行う必要があります。ネットワーク管理者が推奨するCAがある場合や、CSRにデジタル署名を加える場合があります。CAは、Webサーバで使用する有効な証明書を作成します。

関連情報

Webサービスセキュリティを構成する