HTTPS は、Web サーバーとの間の通信を暗号化するための手段です。また、クライアント アプリケーションは、HTTPS を使用して Web サーバーの ID を確認できます。HTTPS が使用されている場合、HTTPS が有効化されている各 Web サーバーは、証明書をクライアントに送信する必要があります。この証明書には ID (gis.mycity.gov) のステートメントとパブリック キーが含まれています。クライアントは、これらを使用して、暗号化された情報を Web サーバーに送信できます。
Portal for ArcGIS は暗号化を必要とする情報を頻繁に送信しているため、ポータルでは常に HTTPS が有効になっています。企業 (内部) または民間の認証機関 (CA) で署名された証明書を使用することをお勧めします。ポータル自体には、自己署名された証明書が付属しています。自己署名証明書は、クライアントがサーバーの ID を確認できないことを意味します。自己署名証明書を CA 署名証明書に置き換えると、配置のセキュリティが大きく向上します。
ポータルで CA 署名証明書を使用する場合、2 つの方法があります。
- 新しい CA 署名証明書の生成 - 証明書署名要求 (CSR) を生成し、CA の署名を受けた後、ポータルにインポートします。
- 既存の CA 署名証明書の使用 - 既存の CA 署名証明書がすでにポータル コンピューターに割り当てられている場合は、これをポータルにインポートします。
これらの処理の詳細については、次のセクションの手順をご参照ください。
新しい CA 署名証明書の生成
企業 (内部) または民間の CA で署名された新しい証明書を使用して、HTTPS を有効にできます。手順は次のとおりです。
新規証明書の生成
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptor.domain.com/arcgis/portaladmin です。
- [Security] > [SSLCertificates] > [Generate] の順にクリックします。
- [Generate Certificate] ページで、次の情報を入力します。
- Alias - 証明書の名前を識別する一意の名前 (例: portalcert)。
- Key Algorithm - RSA (デフォルト) または DSA を指定します。
- Key Size - 証明書の作成に使用する暗号鍵を生成する際のサイズ (ビット単位) を指定します。鍵のサイズが大きいほど、暗号が破られにくくなりますが、暗号の解読にかかる時間も長くなります。RSA の場合は、鍵のサイズを 2,048 以上にすることをお勧めします。DSA の場合、鍵のサイズは 512 ~ 1,024 で指定します。
- Signature Algorithm - デフォルト (SHA1withRSA) を使用します。組織に固有のセキュリティ制限がある場合は、SHA256withRSA、SHA384withRSA、SHA512withRSA、SHA1withDSA のいずれかのアルゴリズムを DSA で使用できます。
- Common Name - ポータル コンピューターの完全修飾ドメイン名。
- Organizational Unit - サイトのユーザーにとって意味のある部門名 (例: GIS Department)。
- Organization - 組織の名前 (例: Esri)。
- City or Locality - 都市または地域の名前 (例: Redlands)。
- State or Province - 州の名前 (例: California)。
- Country Code - 組織が置かれている国の 2 文字の国コード (例: US)。
- Validity - 証明書の有効日数 (例: 365)。
- Subject Alternative Name - 証明書で指定された CN (Common Name) の別名を定義するオプションのパラメーター。SAN が定義されていない場合は、URL に共有名を使用することでのみ、(証明書エラーなしで) Web サイトにアクセスできます。SAN を使用すると、1 つの証明書で異なる URL を使用して同じ Web サイトにアクセスすることができます。たとえば、証明書が次のパラメーター値で作成されている場合は、URL https://www.esri.com、https://esri、および https://10.60.1.16 を使用して、同じサイトにアクセスすることができます。
CN=www.esri.com
SAN=DNS:esri, IP:10.60.1.16
- [Generate] をクリックします。証明書のリンクが証明書ページに表示されます。
CA に対する証明書への署名の要求
Web ブラウザーに証明書を信頼させるには、CA (組織、Verisign、Thawte など) で証明書の確認と副署を受ける必要があります。
- 証明書ページで、証明書の名前をクリックします。
- [GenerateCSR] をクリックします。[Generate CSR] ページで、CSR のコンテンツをコピーしてファイルに貼り付けます。「*.csr」の拡張子を付けてファイルを保存します (例: portalcert.csr)。
- CSR を CA に送信します。DER (Distinguished Encoding Rules) または Base64 エンコード証明書を取得することをお勧めします。CA が、証明書を適用する Web サーバーのタイプを要求した場合、[その他/不明] または [Java アプリケーション サーバー] を指定します。アイデンティティが確認された後、CA から「*.crt」または「*.cer」の拡張子付きのファイルが送信されます。
- CA から受け取った署名済みの証明書を、ポータル コンピューター上の場所に保存します。署名済みの証明書だけでなく、ルート証明書も CA から発行されます。CA ルート証明書をポータル コンピューターに保存します。
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptor.domain.com/arcgis/portaladmin です。
- [Security] > [SSLCertificates] > [Import Root or Intermediate Certificate] の順にクリックします。
- CA から提供されたルート証明書の場所を参照します。[Import] をクリックします。CA からその他の中間証明書が発行されている場合は、それらの証明書もインポートします。署名された証明書はインポートしないでください。
- [Security] > [SSLCertificates] の順にクリックします。
- 前のセクションで生成した証明書の名前をクリックします (例: portalcert)。
- [Import Signed Certificate] をクリックして、CA から受け取った署名済みの証明書の場所を参照します。
- [Import] をクリックします。前のセクションで作成した証明書が、CA 署名証明書で置換されます。
CA 署名証明書を使用するための Portal for ArcGIS の構成
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptor.domain.com/arcgis/portaladmin です。
- [Security] > [SSLCertificates] > [Update] の順にクリックします。
- [Web server SSL Certificate] フィールドに、CA 署名証明書のエイリアスを入力します。指定するエイリアスは、前のセクションで CA 署名証明書に置き換えられた証明書のエイリアスと一致する必要があります。
- [更新] をクリックします。
HTTPS で CA 署名証明書が使用されるようになりました。
Windows 証明書ストアへの CA ルート証明書のインポート
CA ルート証明書がまだポータル コンピューター上の Windows 証明書ストアに存在していない場合は、CA ルート証明書をインポートする必要があります。
- Portal for ArcGIS をホストしているコンピューターにログインします。
- CA 署名証明書をこのコンピューター上の場所にコピーします。
- この証明書を開き、[証明のパス] タブをクリックします。[証明書の状態] が [この証明書は問題ありません。] である場合は、すでに CA ルート証明書が Windows 証明書ストアに存在しています。証明書のインポートは必要ありません。手順 8 に進みます。
- [証明書マネージャー] を開きます (「certmgr.msc」を検索して開くことができます)。
- [証明書マネージャー] ウィンドウで、[信頼されたルート証明機関] > [証明書] の順にクリックします。
- トップ メニューで、[操作] > [すべてのタスク] > [インポート] の順にクリックします。
- [証明書のインポート ウィザード] ダイアログ ボックスで、[次へ] をクリックし、ウィザードに表示される手順に従って、CA のルート証明書をインポートします。
- Portal for ArcGIS をホストしているコンピューターを再起動します。
HTTPS を使用してポータルにアクセスできることを確認
次の URL をテストし、HTTPS を使用してポータルにアクセスできることを確認します。https://portalhost.domain.com:7443/arcgis/home
既存の CA 署名証明書の使用
企業 (内部) または民間の CA によって発行された証明書がすでにある場合は、この証明書を使用して HTTPS を有効にすることができます。
ルート CA 証明書のインポート
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptor.domain.com/arcgis/portaladmin です。
- [Security] > [SSLCertificates] > [Import Root or Intermediate Certificate] の順にクリックします。
- CA から提供されたルート証明書の場所を参照します。[Import] をクリックします。CA からその他の中間証明書が発行されている場合は、それらの証明書もインポートします。CA 署名証明書はインポートしないでください。
- Portal for ArcGIS サービスを再起動します。
既存の CA 署名証明書のインポート
注意:
この証明書をポータルにインポートするには、証明書とそれに関連するプライベート キーが、「.p12」または「.pfx」の拡張子を持つファイルで表される PKCS#12 形式で保存されている必要があります。
- [Security] > [SSLCertificates] > [Import Existing Server Certificate] の順にクリックします。
- [Import Existing Server Certificate] ページで、次の情報を指定します。
- Certificate password - 証明書を含むファイルのロックを解除するパスワードを入力します。
- Alias - 証明書を簡単に識別する一意の名前を入力します (例: rootcert)。
- 既存の CA 署名証明書の場所を参照します。[Import] をクリックします。
CA 署名証明書を使用するための Portal for ArcGIS の構成
- [Security] > [SSLCertificates] > [Update] の順にクリックします。
- [Web server SSL Certificate] フィールドに、既存の CA 署名証明書のエイリアスを入力します。
- [更新] をクリックします。
HTTPS で既存の CA 署名証明書が使用されるようになりました。
Windows 証明書ストアへの CA ルート証明書のインポート
CA ルート証明書がまだポータル コンピューター上の Windows 証明書ストアに存在していない場合は、CA ルート証明書をインポートする必要があります。
- Portal for ArcGIS をホストしているコンピューターにログインします。
- CA 署名証明書をこのコンピューター上の場所にコピーします。
- この証明書を開き、[証明のパス] タブをクリックします。[証明書の状態] が [この証明書は問題ありません。] である場合は、すでに CA ルート証明書が Windows 証明書ストアに存在しています。証明書のインポートは必要ありません。手順 8 に進みます。
- [証明書マネージャー] を開きます (「certmgr.msc」を検索して開くことができます)。
- [証明書マネージャー] ウィンドウで、[信頼されたルート証明機関] > [証明書] の順にクリックします。
- トップ メニューで、[操作] > [すべてのタスク] > [インポート] の順にクリックします。
- [証明書のインポート ウィザード] ダイアログ ボックスで、[次へ] をクリックし、ウィザードに表示される手順に従って、CA のルート証明書をインポートします。
- Portal for ArcGIS をホストしているコンピューターを再起動します。
HTTPS を使用してポータルにアクセスできることを確認
次の URL をテストし、HTTPS を使用してポータルにアクセスできることを確認します。https://portalhost.domain.com:7443/arcgis/home