HTTPS は、Web サーバーとの間の通信を暗号化するための手段です。また、クライアント アプリケーションは、HTTPS を使用して Web サーバーの ID を確認できます。HTTPS が使用されている場合、HTTPS が有効化されている各 Web サーバーは、証明書をクライアントに送信する必要があります。この証明書には ID (gis.mycity.gov) のステートメントとパブリック キーが含まれています。クライアントは、これらを使用して、暗号化された情報を Web サーバーに送信できます。
Portal for ArcGIS は暗号化を必要とする情報を頻繁に送信しているため、ポータルでは常に HTTPS が有効になっています。企業 (内部) または民間の認証機関 (CA) で署名された証明書を使用することを強くお勧めします。ポータル自身には、自己署名証明書が付属しています。自己署名証明書は、クライアントがサーバーの ID を確認できないことを意味します。自己署名証明書を CA 署名証明書に置き換えると、配置のセキュリティが大きく向上します。
ポータルで CA 署名証明書を使用する場合、2 つの方法があります。
- 新しい CA 署名証明書の生成 - 証明書署名要求 (CSR) を生成し、CA の署名を受けた後、ポータルにインポートします。
- 既存の CA 署名証明書の使用 - 既存の CA 署名証明書がすでにポータル コンピューターに割り当てられている場合は、これをポータルにインポートします。
注意:
これらのワークフローは、ポート 7443 を介した Portal for ArcGIS との HTTPS 通信にのみ適用されます。ArcGIS Web Adaptor に使用される CA 署名証明書を生成またはインポートするには、ArcGIS Web Adaptor がインストールされている Web サーバーに関するドキュメントをご参照ください。
これらの処理の詳細については、次のセクションの手順をご参照ください。
新しい CA 署名証明書の生成
企業 (内部) または民間の CA で署名された新しい証明書を使用して、HTTPS を有効にできます。手順は次のとおりです。
新規証明書の生成
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] > [SSLCertificates] > [Generate] の順にクリックします。
- [Generate Certificate] ページで、次の情報を入力します。
- Alias - 証明書の名前を識別する一意の名前 (例: portalcert)。
- Key Algorithm - RSA (デフォルト) または DSA を指定します。
- Key Size - 証明書の作成に使用する暗号鍵を生成する際のサイズ (ビット単位) を指定します。鍵のサイズが大きいほど、暗号が破られにくくなりますが、暗号の解読にかかる時間も長くなります。RSA の場合は、鍵のサイズを 2,048 以上にすることをお勧めします。DSA の場合、鍵のサイズは 512 ~ 1,024 で指定します。
- Signature Algorithm - デフォルト (SHA256withRSA) を使用します。組織に固有のセキュリティ制限がある場合は、次のアルゴリズムのいずれかを DSA で使用できます: SHA384withRSA、SHA512withRSA、SHA1withRSA、SHA1withDSA。
- Common Name - このフィールドはオプションであり、以前の Web ブラウザーやソフトウェアとの下位互換性の確保に使用されます。ポータル コンピューターの完全修飾ドメイン名を共通名として使用することをお勧めします。
- Organizational Unit - サイトのユーザーにとって意味のある部門名 (例: GIS Department)。
- Organization - 組織の名前 (例: Esri)。
- City or Locality - 都市または地域の名前 (例: Redlands)。
- State or Province - 州の名前 (例: California)。
- Country Code - 組織が置かれている国の 2 文字の国コード (例: US)。
- Validity - 証明書の有効日数 (例: 365)。
- Subject Alternative Name - SAN は、アクセスする Web サイトで提示された SSL 証明書がその Web サイト用に発行されたものであるかどうかの検証に使用されます。
このパラメーターが空のままである場合は、ローカル コンピューターの完全修飾ドメイン名がデフォルト値として使用されます。SAN フィールドには、複数の値を指定できます。ただし、必ず Web サイトの完全修飾ドメイン名を挿入しなければなりません。SAN パラメーター値はスペースを含むことができません。
SAN を使用すると、1 つの証明書で異なる URL を使用して同じ Web サイトにアクセスすることができます。たとえば、証明書が次のパラメーター値で作成されている場合は、URL https://www.esri.com、https://esri、および https://10.60.1.16 を使用して、同じサイトにアクセスすることができます。
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- [Generate] をクリックします。証明書のリンクが証明書ページに表示されます。
CA に対する証明書への署名の要求
Web ブラウザーに証明書を信頼させるには、CA (組織、Verisign、Thawte など) で証明書の確認と副署を受ける必要があります。
- 証明書ページで、証明書の名前をクリックします。
- [GenerateCSR] をクリックします。[Generate CSR] ページで、CSR のコンテンツをコピーしてファイルに貼り付けます。「*.csr」の拡張子を付けてファイルを保存します (例: portalcert.csr)。
- CSR を CA に送信します。DER (Distinguished Encoding Rules) または Base64 エンコード証明書を取得することをお勧めします。CA が、証明書を適用する Web サーバーのタイプを要求した場合、[その他/不明] または [Java アプリケーション サーバー] を指定します。アイデンティティが確認された後、CA から「*.crt」または「*.cer」の拡張子付きのファイルが送信されます。
- CA から受け取った署名済みの証明書を、ポータル コンピューター上の場所に保存します。署名済みの証明書だけでなく、ルート証明書も CA から発行されます。CA ルート証明書をポータル コンピューターに保存します。
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] > [SSLCertificates] > [Import Root or Intermediate Certificate] の順にクリックします。
- CA から提供されたルート証明書の場所を参照します。[Import] をクリックします。CA からその他の中間証明書が発行されている場合は、それらの証明書もインポートします。Portal for ArcGIS は、証明書がインポートされるごとに自動的に再起動します。署名された証明書はインポートしないでください。
- [Security] > [SSLCertificates] の順にクリックします。
- 前のセクションで生成した証明書の名前をクリックします (例: portalcert)。
- [Import Signed Certificate] をクリックして、CA から受け取った署名済みの証明書の場所を参照します。
- [インポート] をクリックします。前のセクションで作成した証明書が、CA 署名証明書で置換されます。
CA 署名証明書を使用するための Portal for ArcGIS の構成
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] > [SSLCertificates] > [Update] の順にクリックします。
- [Web server SSL Certificate] フィールドに、CA 署名証明書のエイリアスを入力します。指定するエイリアスは、前のセクションで CA 署名証明書に置き換えられた証明書のエイリアスと一致する必要があります。
- [Update]をクリックします。
HTTPS で CA 署名証明書が使用されるようになりました。
HTTPS を使用してポータルにアクセスできることを確認
次の URL をテストし、HTTPS を使用してポータルにアクセスできることを確認します: https://portalhost.domain.com:7443/arcgis/home。
既存の CA 署名証明書の使用
企業 (内部) または民間の CA によって発行された証明書がすでにある場合は、この証明書を使用して HTTPS を有効にすることができます。
ルート CA 証明書のインポート
- 組織の管理者として ArcGIS Portal Directory にサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] > [SSLCertificates] > [Import Root or Intermediate Certificate] の順にクリックします。
- CA から提供されたルート証明書の場所を参照します。[インポート] をクリックします。CA からその他の中間証明書が発行されている場合は、それらの証明書もインポートします。CA 署名証明書はインポートしないでください。
- Portal for ArcGIS サービスを再起動します。
既存の CA 署名証明書のインポート
注意:
この証明書をポータルにインポートするには、証明書とそれに関連するプライベート キーが、「.p12」または「.pfx」の拡張子を持つファイルで表される PKCS#12 形式で保存されている必要があります。
- [Security] > [SSLCertificates] > [Import Existing Server Certificate] の順にクリックします。
- [Import Existing Server Certificate] ページで、次の情報を指定します。
- Certificate password - 証明書を含むファイルのロックを解除するパスワードを入力します。
- Alias - 証明書を簡単に識別する一意の名前を入力します (例: rootcert)。
- 既存の CA 署名証明書の場所を参照します。[インポート] をクリックします。
CA 署名証明書を使用するための Portal for ArcGIS の構成
- [Security] > [SSLCertificates] > [Update] の順にクリックします。
- [Web server SSL Certificate] フィールドに、既存の CA 署名証明書のエイリアスを入力します。
- [Update]をクリックします。
HTTPS で既存の CA 署名証明書が使用されるようになりました。
HTTPS を使用してポータルにアクセスできることを確認
次の URL をテストし、HTTPS を使用してポータルにアクセスできることを確認します: https://portalhost.domain.com:7443/arcgis/home。