ArcGIS Web Adaptor と ArcGIS Enterprise 組織サイトとの間のネットワーク通信のセキュリティを確保するには、HTTPS プロトコルを使用します。
HTTPS プロトコルは標準のセキュリティ テクノロジであり、Web サーバーと Web クライアント間で暗号化されたリンクを確立するために使用されます。 HTTPS を使用すると、サーバーの識別および認証によるネットワーク通信のセキュリティ保護が容易に実現され、送信されるすべてのデータのプライバシーと整合性が維持されます。 HTTPS はネットワーク上で送信される情報の傍受および改変を防ぐため、ログインや認証メカニズム、および通信に機密情報や独自情報が含まれるネットワークでは SSL を使用してください。
注意:
大多数の配置では、デフォルトの HTTPS ポート 443 を使用することが適切です。 まれに、組織特有の理由から、ArcGIS Web Adaptor インスタンスが Web サーバー上でポート 443 を使用できない場合があります。 組織がこれに該当する場合は、回避策を構成する追加手順の詳細について、「ポータルの ArcGIS Web Adaptor にデフォルト以外のポートを使用する」をご参照ください。
Web サーバー上で HTTPS を有効にするには、パブリック キーとプライベート キーを含むサーバー証明書が必要です。 HTTPS リスナーで証明書をインポートまたは参照する方法は、Web サーバーごとに異なります。
また、PKI ベースの証明書認証による Web 層認証が構成されている場合を除いて、HTTPS 経由でセキュアなサービスにアクセスする際にクライアント証明書を無視するように Web サーバーが設定されていることも確認します。
サーバー証明書の作成または取得
ArcGIS Web Adaptor と組織サイトの間で HTTPS 接続を作成するには、Web サーバーにサーバー証明書が必要です。 証明書は、Web サーバーのアイデンティティに関する情報を含むデジタル ファイルです。 SSL 証明書には、Web サーバーと組織間のセキュリティで保護されたチャンネルを確立するときに使用される、暗号化の手法も含まれます。 証明書は、Web サイトの所有者が作成してデジタル署名する必要があります。 証明書には、CA 署名、ドメイン、自己署名の 3 種類があります。次に、それぞれの証明書について説明します。
CA 署名証明書
独立した証明機関 (CA) が署名した証明書は、Web サイトのアイデンティティが確認済みであることをクライアントに保証します。 通常、証明機関は Web サイトの信頼性を証明できる信頼された第三者機関です。 Web サイトが信頼できる場合、証明機関は独自のデジタル署名を Web サイトの自己署名証明書に追加します。 これにより Web クライアントに対して、Web サイトのアイデンティティが確認済みであることを保証します。
運用システムには、CA 署名証明書を使用します。特に、組織外のユーザーが ArcGIS Enterprise 組織サイトにアクセスする場合は、その必要があります。
よく知られた証明機関によって発行された証明書を使用する場合、サーバーと Web クライアント間のセキュリティで保護された通信は自動的に行われます。組織管理者やアクセスするクライアントが特別な操作を行う必要はありません。 Web サイトは証明機関によって確認済みであるため、Web ブラウザーが予期しない動作を起こしたり、警告メッセージを表示したりすることはありません。
ドメイン証明書
組織がファイアウォールの内側にあり、CA 署名証明書を使用できない場合、ドメイン証明書を使用します。 ドメイン証明書は、組織の認証機関が署名した内部の証明書です。 ドメイン証明書を使用すると、信頼された内部での使用のために組織内で作成できるため、証明書の発行コストを削減し、証明書の配置が容易になります。
Web サイトはドメイン証明書によって確認されているため、ドメイン内のユーザーは、自己署名証明書で通常発生する予期しない動作や警告メッセージを経験することはありません。 ただし、ドメイン証明書は外部の証明機関によって整合チェックされていないため、ドメインの外部からサイトを訪れるユーザーには、証明書が主張しているとおりの組織を表しているかどうかを確認する方法がありません。 外部ユーザーのブラウザーには、このサイトが信頼されていないことを示す警告が表示されます。このため、ユーザーが悪意のある相手と通信していると思い、サイトから移動してしまう可能性があります。
ドメイン証明書の作成と HTTPS の有効化
ArcGIS Enterprise 構成ウィザードを正常に完了するには、基本配置がインストールされているコンピューター上の Web サーバーで HTTPS を有効にしておく必要があります。
HTTPS が有効になっていないと、構成ウィザードが正常に完了せず、次のエラー メッセージが表示されます。
Web Adaptor の URL https://mymachine.mydomain.com/server にアクセスできません。 Web サーバーで HTTPS が有効になっていることを確認してください。 HTTPS を有効化する手順については、次のように移動してヘルプ トピックをご参照ください。 ArcGIS Enterprise の概要 → ArcGIS Enterprise Builder → 基本配置の計画。
注意:
ほとんどの場合、IT 管理者が証明書を提供し、HTTPS ポート 443 にバインドします。
2017 年に、Google Chrome は Subject Alternative Name (SAN) パラメーターを含む証明書のみを信頼するようになりました。このパラメーターは、IIS Manager アプリケーションで証明書を作成する場合は構成できません。
IIS を使用していてドメイン証明書を作成する必要がある場合は、「ドメイン証明書の作成」をご参照ください。この中に、適切な証明書を作成して HTTPS ポート 443 にバインドする、コンピューター上で実行するためのスクリプトがあります。
自己署名証明書
Web サイトの所有者のみによって署名された証明書を、自己署名証明書と呼びます。 一般的に自己署名証明書は、組織の内部 (LAN) ネットワークのユーザーだけが利用する Web サイトで使用されます。 自社のネットワークの外部にある、自己署名証明書を使用している Web サイトと通信する場合、証明書を発行しているサイトが主張しているとおりの組織であるかを確認する方法はありません。 悪意のある相手と通信して、情報を危険にさらす可能性があります。
自己署名証明書は、組織のすべてのユーザーに対して予期しない結果やパフォーマンスの低下を引き起こす可能性があるため、運用環境に有効なオプションと考えるべきではありません。
組織を設定する際には、構成が正しいことを簡単に確認する初期テストを実行するために、自己署名証明書を使用できます。 ただし、自己署名証明書を使用する場合は、テスト中に以下の状況が生じます。
- Web ブラウザーまたはデスクトップ クライアントから組織にアクセスするときに、信頼されないサイトに関する警告メッセージが表示されます。
Web ブラウザーは、自己署名証明書を検出すると、通常は警告を表示し、そのサイトに移動するか確認します。 多くのブラウザーは、自己署名証明書を使用する限り、アドレス バーに警告アイコンや赤色を表示します。 自己署名証明書を使用して組織を構成している場合は、この種の警告が表示されると考えられます。
- フェデレーション サービスをマップ ビューアーで開くこと、セキュリティ保護されたサービス アイテムを組織に追加すること、フェデレーション サーバー上で ArcGIS Server Manager にサイン インすること、または ArcGIS for Office から組織に接続することはできません。
ArcGIS for Office からサイン インできるようにするには、ArcGIS for Office を実行しているコンピューター上にある [信頼されたルート証明機関] 証明書ストアに、自己署名証明書をインストールします。
- ホストされたサービスを印刷するとき、およびクライアント アプリケーションから組織にアクセスするときに、予期しない動作が発生する場合があります。
注意:
上記の問題のリストは、自己署名証明書を使用したときに発生するすべての事象を網羅しているわけではありません。 ドメイン証明書または CA 署名証明を使用して ArcGIS Enterprise 組織を完全にテストしてから配置することをお勧めします。
HTTPS リスナーの作成
HTTPS リスナーを作成する場合、Web サーバーを実行しているユーザーには、特定のポートで TLS 通信に使用されるサーバー証明書にアクセスするための権限が必要となります。 HTTP リスナーは機能しているが、HTTPS が使用できなくなっている場合は、そのリスナーがポートにバインドできなかった理由が Web サーバー ログに示されます。
サイトのテスト
ポート 443 にバインドされる証明書を取得または作成したら、ArcGIS Web Adaptor を組織サイトで使用できるように構成します。 HTTPS URL (https://webadaptorhost.domain.com/webadaptorname/webadaptor など) を使用して ArcGIS Web Adaptor の構成ページにアクセスする必要があります。
注意:
HTTP サイト バインドでホスト名が指定されている場合、そのホスト名が ArcGIS Web Adaptor 構成ページにアクセスするために使用される URL のホスト名と一致する必要があります。
ArcGIS Web Adaptor を構成したら、組織サイトへの HTTPS リクエスト (例: https://webadaptorhost.domain.com/webadaptorname/home) を作成して、HTTPS が正しく動作していることをテストします。 自己署名証明書を使用してテストする場合、信頼できない接続を知らせるブラウザーの警告を閉じます。 このため、通常は、自己署名証明書を使用しているサイトと通信できるように、ブラウザーに例外を追加します。