CA 署名証明書を使用した SSL の有効化
このトピックの内容
- 新しい自己署名証明書の作成
- CA に対する証明書への署名の要求
- CA 署名証明書を使用するための ArcGIS Server の構成
- 配置された各 GIS サーバーの構成
- Windows 証明書ストアへの CA ルート証明書のインポート
- サイトの SSL の有効化
- SSL を使用したサイトへのアクセス
このトピックでは、CA (認証機関) で署名された証明書を使用して、ArcGIS Server で SSL を有効化する方法を説明します。CA 署名証明書を使用して SSL を有効化する手順は、以下のとおりです。
新しい自己署名証明書の作成
- http://gisserver.domain.com:6080/arcgis/admin で ArcGIS Server Administrator Directory にログインします。
- [machines] > [<コンピューター名>] > [sslcertificates] の順に移動します。
- [generate] をクリックします。
- このページのパラメーターに値を指定します。
オプション 説明 Alias
証明書を簡単に識別できる一意の名前。
Key Algorithm
RSA (デフォルト) または DSA を使用します。
Key Size
証明書の作成に使用する暗号鍵を生成する際のサイズ (ビット単位) を指定します。鍵のサイズが大きいほど、暗号が破られにくくなりますが、暗号の解読にかかる時間も長くなります。DSA の場合、鍵のサイズは、512 から 1,024 の間で指定します。RSA の場合、推奨される鍵のサイズは、2,048 以上です。
Signature Algorithm
デフォルト (SHA1withRSA) を使用します。組織に特定のセキュリティ制限がある場合は、DSA に対して [SHA256withRSA]、[SHA384withRSA]、[SHA512withRSA]、[SHA1withDSA] のいずれかのアルゴリズムを使用できます。
Common Name
サーバーの名前のドメイン名を共通名として使用します。
サーバーに https://www.gisserver.com:6443/arcgis/ の URL を使用してインターネット経由でアクセスできる場合は、www.gisserver.com を共通名として使用します。
サーバーに https://gisserver.domain.com:6443/arcgis の URL を使用して LAN (ローカル エリア ネットワーク) のみでアクセスできる場合は、gisserver を共通名として使用します。
Organizational Unit
組織単位の名前 (たとえば、GIS 部門)。
Organization
組織の名前 (たとえば、Esri)。
City or Locality
都市または地域の名前 (たとえば、Redlands)。
State or Province
都道府県のフル ネーム (たとえば、California)。
Country Code
国の短縮コード (たとえば、US)。
Validity
この証明書が有効な日数 (たとえば、365)。
Subject Alternative Name
Subject Alternative Name (SAN) は、オプションのパラメーターで、SSL 証明書で指定された Common Name (CN) に対する別名を定義します。SAN パラメーター値にスペースを含めることはできません。
SAN が定義されていない場合、Web サイトは、URL に共有名を使用しないと (SSL 証明書エラーなしで) アクセスできません。SAN が定義されていて DNS 名が存在する場合、SAN にリストされていないと Web サイトにアクセスできません。必要に応じて、複数の DNS 名を指定できます。たとえば、SSL 証明書が次の SAN パラメーター値を使用して作成されている場合、URL: https://www.esri.com、https://esri、および https://10.60.1.16 を使用して、同じサイトにアクセスすることができます。
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- [Generate] をクリックして、証明書を生成します。
CA に対する証明書への署名の要求
作成した証明書を Web ブラウザーが信頼できる証明書として受け入れるようにするには、Verisign や Thawte などのよく知られた認証機関で証明書の確認と副署を受ける必要があります。
- 前のセクションで作成した自己署名証明書を開き、[generateCSR] をクリックします。コンテンツをファイルにコピーします。通常、ファイルの拡張子は「.csr」です。
- 選択した CA に CSR を送信します。DER (Distinguished Encoding Rules) または Base64 エンコード証明書を取得できます。CA が、証明書を適用する Web サーバーのタイプを要求した場合、[その他/不明] または [Java アプリケーション サーバー] を指定します。アイデンティティが確認された後、CA から *.crt または *.cer ファイルが返送されます。
- CA から受け取った署名済みの証明書を、コンピューター上に保存します。CA からは、署名済みの証明書に加え、ルート証明書も発行されます。CA ルート証明書をコンピューターに保存します。
- ArcGIS Server Administrator Directory にログインします。http://gisserver.domain.com:6080/arcgis/admin。
- [machines] → [<コンピューター名>] → [sslcertificates] > [importRootOrIntermediate] の順にクリックして、CA から提供されたルート証明書をインポートします。CA からその他の中間証明書が発行されている場合は、それらもインポートします。
- [machines] > [<コンピューター名>] > [sslcertificates] の順に移動します。
- CA に送信した自己署名証明書の名前をクリックします。
- [importSignedCertificate] をクリックして、CA から受け取った署名済みの証明書を保存した場所を参照します。
- [送信] をクリックします。これにより、前のセクションで作成した自己署名証明書が CA 署名証明書に置き換えられます。
CA 署名証明書を使用するための ArcGIS Server の構成
注意:
CA 署名証明書で定義された CDP (CRL 配布ポイント) が有効であり、ArcGIS Server をホストするコンピューターからアクセスできる必要があります。SSL 証明書で定義されたCDP が無効であるか、インターネット アクセス設定、ネットワーク設定、またはファイアウォール設定がないために CDP にアクセスできない場合、ArcGIS for Desktop で公開することはできません。この問題を回避するには、「よくある問題と解決策」のトピックの「CA が発行した SSL 証明書を使用する ArcGIS Server サイトでサービスを公開できません」という問題を解決する手順に従います。
- ArcGIS Server Administrator Directory (http://gisserver.domain.com:6080/arcgis/admin) にログインします。
- [machines] > [<コンピューター名>] の順に移動します。
- [edit] をクリックします。
- [Web server SSL Certificate] フィールドに、署名済み証明書の名前を入力します。指定する名前は、前のセクションで CA 署名証明書に置き換えられた自己署名証明書のエイリアスと一致する必要があります。
- [Save Edits] をクリックして、変更内容を適用します。
- 現在のページの [Web server SSL Certificate] プロパティで、適切な SSL 証明書が SSL で使用されることを確認します。
配置された各 GIS サーバーの構成
ArcGIS Server を複数のコンピューターを使用して配置している場合は、サイトに参加している GIS サーバーごとに、CA 署名証明書を取得して構成する必要があります。
Windows 証明書ストアへの CA ルート証明書のインポート
認証機関のルート証明書が Windows 証明書ストアに表示されない場合は、証明書をインポートする必要があります。
- ArcGIS Server をホストしているコンピューターにログインします。
- CA から受け取った署名済みの証明書を、このコンピューター上の場所にコピーします。
- この証明書を開き、[証明のパス] タブをクリックします。[証明書の状態] が [この証明書は問題ありません。] である場合、CA ルート証明書は Windows 証明書ストアに存在しています。証明書のインポートは必要ありません。手順 9 に進みます。
- CA ルート証明書をこのコンピューター上の場所にコピーします。
- [スタート] ボタンをクリックして [証明書マネージャー] を開き、検索ボックスに「certmgr.msc」と入力して、Enter キーを押します。
- [資格情報マネージャー] ウィンドウで、[信頼されたルート証明機関] をクリックし、[証明書] をクリックします。
- トップ メニューで、[操作] をクリックし、[すべてのタスク] > [インポート] の順にクリックします。
- [証明書のインポート ウィザード] ダイアログ ボックスで、[次へ] をクリックし、ウィザードに表示される手順に従って、CA のルート証明書をインポートします。
- サイト内の各 GIS サーバーで、手順 1 ~ 8 を繰り返します。
- サイト内の各 GIS サーバーを再起動します。
サイトの SSL の有効化
- http://gisserver.domain.com:6080/arcgis/admin で ArcGIS Server Administrator Directory にログインします。
- [security] > [config] > [update] の順に移動します。
- [Protocol] パラメーターで [HTTP and HTTPS] オプションを選択して、[Update] をクリックします。ArcGIS Server サイトが自動的に再起動します。
- サイトが再起動したら、URL https://gisserver.domain.com:6443/arcgis/admin にアクセスできることを確認します。この URL から応答がない場合、ArcGIS Server は指定された SSL 証明書を使用できなかったことになります。SSL 証明書をチェックし、新規または別個の SSL 証明書を使用するように ArcGIS Server を構成します。
- URL https://gisserver.domain.com:6443/arcgis/admin にアクセスできる場合、[security] > [config] > [update] の順に移動します。
- [Protocol] パラメーターで [HTTPS Only] オプションを選択して、[Update] をクリックします。
注意:
ArcGIS Web Adaptor がサイトの通信プロトコルの変更を認識するまで、1 分かかります。
レガシー:
10.2.1 以前のバージョンでは、ArcGIS Server の通信プロトコルの更新後に、ArcGIS Web Adaptor を再構成する必要がありました。10.2.2 以降のバージョンでは、この作業は必要なくなりました。
SSL を使用したサイトへのアクセス
SSL の構成が完了すると、ArcGIS Server はポート 6443 で HTTPS リクエストを待機します。以下の URL を使用して、ArcGIS Server に安全にアクセスできます。
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server Services Directory | https://gisserver.domain.com:6443/arcgis/rest/services |
注意:
SSL が有効になっているときに ArcGIS Server の名前を変更しても、SSL を使用して ArcGIS Server へのアクセスを継続できます。ただし、新しい SSL 証明書を生成して、ArcGIS Server がこの証明書を使用するように構成する必要があります。