ネットワーク接続の保護
ABBYY FlexiCaptureコンポーネント間でデータを安全に転送するには、安全なネットワーク接続が必要です。
HTTPSでの接続の保護
デフォルトでは、ABBYY FlexiCaptureは、ステージング、テスト、またはデモ環境にのみ推奨されるHTTPプロトコルを使用するように設定されています。
注:スキャンプラグインは、ユーザーのマシン上でのローカルでの配置だけのために設計されているため、HTTP プロトコルはウェブスキャンステーションと ABBYY スキャンプラグインの間のデータの転送にも使用されます。
本番用には、機密データを保護するためにHTTPSを使用する必要があります。
HTTPSを使用するには、IIS設定でSSLサポートを有効にしてください。
HTTPSでIISを操作するには、サーバーの証明書を取得する必要があります。証明書の管理の詳細は、Microsoftのウェブサイトのこのセクションをご参照ください。
IIS設定で、デフォルトのウェブサイトのHTTPSプロトコルを指定します。この操作を実行するには:
- コントロールパネルからIISマネージャコンソールを実行します。
- デフォルトのウェブサイトを選択して、アクションペインで結合をクリックします。
- 表示されるダイアログボックスで、追加をクリックし、種類ドロップダウンリストからhttpsを選択します。
- SSL証明書ドロップダウンリストから、所望の証明書を選択して、OKをクリックします。
- サイトをHTTPS経由のみ利用可能にする場合は、ツリーペインでサイトを選択し、コンテンツペインでSSL設定をダブルクリックして、SSLを要求オプションを選択します。注:クライアント証明書が検証されないため、SSLを設定する時にクライアント証明書オプションを無視に設定します。
証明書が追加されたら、アプリケーションサーバーアドレスの先頭に「https」(すなわちhttps://<server name>)を付けて、アプリケーションサーバーに接続する各クライアントマシンの名前を証明書の名前と合致させます。
処理サーバー、ユーザーステーション、およびウェブステーションでアプリケーションサーバーアドレスを指定する必要があります。
処理サーバー上のアプリケーションサーバーのアドレスを指定するには:
- 処理サーバーモニターを開始します。
- 処理サーバーのショートカットメニューを開いて、アプリケーションサーバーを変更を選択します。
- 表示されるダイアログで、アドレスhttps://<server name> を指定します。
アプリケーションサーバーアドレスは、ユーザーステーションを開始するときまたはプロジェクトを開くときにも指定する必要があります。
ウェブステーションで作業する場合は、次の形式でURLを入力します:https://<server_name>/FlexiCapture12/<web_station_name>。
データ暗号化でのTLS 1.2の使用
ABBYY FlexiCapture 12は、安全な接続に推奨される暗号化プロトコルであるTLS 1.2プロトコルをサポートしています。
ABBYY FlexiCaptureに接続するときは、他のプロトコルをオペレーティングシステムレベルで使用できます。特定のプロトコルの使用を制限する方法の詳細は、Microsoftのウェブサイトのこのセクションをご参照ください。
相互SSLでの接続の保護
デフォルトでは、HTTPSを設定するときに、一方向SSL認証が設定されています。これは、クライアントでサーバー証明書の真正性が検証されることを意味します。クライアントでサーバー証明書の真正性が検証され、サーバーがクライアント証明書の信頼性を検証するように、相互SSLを使用して接続をより安全にすることができます。
アプリケーションサーバーの相互SSLを設定するには、以下の手順を踏みます。
- IISで、アプリケーションサーバーへの接続に使用されるプロトコルとしてHTTPSを指定します(上のHTTPSでの接続の保護ご参照)。
- デフォルトのウェブサイト\FlexiCapture12\Serverで、SSL設定のSSLを要求オプションを選択します。
- クライアント証明書で、必須オプションを選択します。
これで、クライアントがアプリケーションサーバーに接続するときに証明書の提供が必要となります。
- プロジェクト設定ステーションと検証ステーションでは、追加の設定は不要です。接続する際に、クライアントはアプリケーションサーバーに提供する証明書を選択するよう求められます。
- 処理サーバーと処理ステーションでは、レジストリの適切な証明書の指紋を指定する必要があります。レジストリでHKLM\Software\ABBYY\FlexiCapture\12.0\FlexiBrを検索して、次のように指定します:
<ClientCertificateThumbPrint> - 管理/監視コンソールでは、適用する証明書を指定する必要があります。これには、web.configファイルを次のように変更します:
<add key="UseClientCertificate" value="True" />
<add key="ClientCertificateThumbprint" value="Certificate Thumbprint" />注:指定した指紋のあるクライアント証明書は、ローカルコンピュータ > パーソナルに格納します。この証明書を提供するアカウントには、使用許可が必要です。詳細については、Microsoftのウェブサイトのこのセクションをご参照ください。
注:相互SSLはウェブスキャンステーションまたはウェブキャプチャステーションでは設定できません。
データベースとファイルストレージへの接続の保護
アプリケーションサーバーはデータベースおよびファイルストレージと相互作用します。
SQL、SQL Azure、またはOracleデータベースへの接続を保護するために、TLS 1.2暗号化プロトコルを使用することを推奨します。TLSはデータベースで設定します:
- SQLデータベースを使用している場合は、詳細な指示について、Microsoftのウェブサイトのこのセクションをご参照ください。
- SQL Azureデータベースを使用している場合は、詳細な指示について、Microsoftのウェブサイトのこのセクションをご参照ください。
- Oracleデータベースを使用している場合は、詳細な指示について、Microsoftのウェブサイトのこのセクションをご参照ください。
- PostgreSQL データベースを使用している場合は、PostgreSQL ウェブサイトのこのセクションをご覧ください。
アプリケーションサーバーはファイルストレージとの相互作用でSMBプロトコルを使用します。SMB 3.0には、多数のセキュリティ強化機能が導入されました。詳細については、Microsoftのウェブサイトのこのセクションをご参照ください。
12.04.2024 18:16:06