自己署名 SSL 証明書は次の ArcGIS Data Store 操作に使用されます。
- ArcGIS Data Store 構成ウィザードから Web サーバー経由で ArcGIS Data Store ファイルにアクセス
- ホスティング サーバーと ArcGIS Data Store コンピューター間の Web サーバー経由での通信
- リレーショナル データ ストア、タイル キャッシュ データ ストア、オブジェクト ストア、グラフ ストアの個々のコンピューター間および個々のコンピューター内のポート経由での通信
- ホスティング サーバーと ArcGIS Data Store コンピューター間のポート経由での通信
証明機関 (CA) が確認して署名した SSL 証明書や独自のドメイン用に生成された SSL 証明書で操作をセキュリティ保護する必要のある組織では、replacesslcertificate ユーティリティを使用して、自己署名証明書を CA 署名証明書またはドメイン証明書に置き換えることができます。
証明書ファイルは、ファイル拡張子が .pfx または .p12 の PKCS12 形式にして、ArcGIS Data Store がインストールされている各コンピューターにインポートする必要があります。
1 台の ArcGIS Data Store コンピューター上で SSL 証明書を更新するには、次の手順を実行します。
- 証明機関から SSL 証明書を取得するか、ドメイン証明書を生成します。
- PKCS12 形式のファイルを作成し、ファイルのパスワードとエイリアスを設定します。
- replacesslcertificate ユーティリティを使用して、ArcGIS Data Store コンピューターの自己署名 SSL 証明書を置き換えます。
- Web サーバー通信に使用される証明書を置換するには、webserver オプションを設定して replacesslcertificate ユーティリティを実行します。
- ポート経由での通信とデータ ストア コンピューター間の通信に使用される証明書を置換するには、該当するデータ ストア オプションを設定して replacesslcertificate ユーティリティを実行します。
この例では、証明書ファイル (casignedcert.pfx) は、cacerts ディレクトリに格納されており、myfilealias というエイリアスがあり、Sec00rit というパスワードでセキュリティ保護されており、Web サーバー通信用の証明書の置換に使用されます。
./replacesslcertificate.sh /usr/cacerts/casignedcert.pfx "Sec00rit" myfilealias --option webserver
次の例では、証明書ファイル (casignedcert2.pfx) は、certs ディレクトリに格納されており、reldscert というエイリアスがあり、S00per$ecret というパスワードで保護されており、プライマリとスタンバイのリレーショナル データ ストア コンピューター間の通信用、ポート 2443、9876、44369、45671、45672、および 50432 経由でのリレーショナル データ ストア コンピューターとの通信用、ポート 25672 および 44369 経由での Webhook の通信用の証明書の置換に使用されます。
./replacesslcertificate.sh /usr/cacerts/casignedcert2.pfx "S00per$ecret" reldscert --option relational
- 複数の ArcGIS Data Store コンピューターがある場合は、それぞれのコンピューターで証明書を更新します。
CA 証明書が通信に使用されていることを確認します。
Web サーバーの証明書が正常に更新されているかどうかを確認するには、ブラウザーを開き、ArcGIS Data Store 構成ウィザードの URL を入力します。 URL の形式は https://<fully qualified data store machine name>:2443/arcgis/datastore です。 ウィザードが開いた時点でセキュリティの警告が表示されない場合は、Web サーバー通信の SSL 証明書が正常に更新されていることを示します。
OpenSSL コマンドをダウンロードして実行すると、ポート通信の証明書パスに自己署名証明書が含まれていないことを確認できます。