Skip To Content

サーバー証明書のためのベスト プラクティス

コンピューター ネットワーク上での通信はすべて、傍受、解読、または改変される可能性があります。 ArcGIS Enterprise でネットワーク通信をセキュリティ保護するには、HTTPS の使用が推奨され、デフォルトで適用されます。

HTTPS は、Web サーバーとの間の通信を暗号化します。 これを使用すると、Web サーバーと通信する各 Web クライアントに対する Web サーバーの識別および認証によるネットワーク通信のセキュリティ保護が容易に実現されます。 HTTPS を使用すると、送信されるすべてのデータのプライバシーと整合性が維持されます。

Web サーバーとクライアントの間で HTTPS 接続を作成するには、Web サーバーにサーバー証明書が必要です。 証明書は、Web サーバーのアイデンティティに関する情報を含むデジタル ファイルです。 SSL 証明書には、Web サーバーとクライアント間のセキュリティで保護されたチャンネルを確立するときに使用される、暗号化の手法も含まれます。 証明書は、Web サイトの所有者が作成してデジタル署名する必要があります。

サーバー証明書に関するいくつかのベスト プラクティスをお勧めします。 これらのベスト プラクティスは、すべての ArcGIS Server サイトと ArcGIS Enterprise ポータルに関連するものですが、配置の他のコンポーネントについても検討する必要があります。

自己署名証明書を CA 署名証明書に置き換える

ArcGIS ServerPortal for ArcGIS のインストール後、これらのコンポーネントは自己署名証明書を使用して自動的に構成されます。 これらの証明書は、Web サイトの所有者のみによって署名され、追加の手順を必要としないで HTTP 通信を有効にします。 しかし最初は、ほとんどの Web ブラウザーは ArcGIS Enterprise 配置の URL を信頼しません。 このため、自分とユーザーはブラウザーの警告を非表示にする必要がありますが、これは疑念と警告を生じさせる可能性があります。

可能な限り第三者認証機関 (CA) が署名した証明書で配置を構成することをお勧めします。 CA 署名証明書は、サイトが信頼すべきユーザーの Web サイトに対して保証を提供します。 取得するには、CA に対して証明書の署名要求 (CSR) を行います。

CA 署名証明書をすでに所有している場合は、証明書を使用して ArcGIS Server を構成し、ポータルにインポートします。

自己署名証明書への署名を CA に依頼し、新しい証明書を ArcGIS Serverで構成してから、ポータルにインポートすることもできます。

注意:
複数コンピューターの ArcGIS Server サイトに証明書をインポートする場合、サイト内のコンピューターごとに行ってください。

ルート証明書と中間証明書の存在を確認する

クライアント アプリケーションは CA 署名証明書を確認するとき、CA 自体も整合チェックする必要があります。 これは、その CA に属するルート証明書と中間証明書を使って実行されます。 ルート証明書は CA の ID を認証し、中間証明書はエンドエンティティ証明書を発行するための信頼性を強化します。 ルート証明書と中間証明書が存在している場合、ブラウザーとクライアント アプリケーションは証明書が有効な CA によって実際に署名されていることを信頼できます。

ArcGIS Enterprise は、多くの一般的な CA が署名したルート証明書と中間証明書を自動的に信頼します。 組織がカスタム CA を使用している場合、または配置に追加する特定の中間証明書がある場合、ArcGIS Portal Administrator Directory および ArcGIS Server Administrator Directory 内の importRootOrIntermediate 操作を使用できます。

Subject Alternative Name を証明書に含める

一部のブラウザー (Google Chrome など) は、Subject Alternative Name (SAN、複数存在することがある) を含まない証明書を信頼しません。 SAN 値がない証明書を使用して ArcGIS Enterprise 配置が構成されている場合、サイトにアクセスしているユーザーに信頼の警告が表示されます。

IT 管理者が作成した証明書には通常 1 つ以上の SAN 値がありますが、Windows の makecert コマンドおよび一般に使用される IIS Manager アプリケーションでは SAN を構成できません。 別のツールを使用して、ドメイン証明書を生成する必要があります。この証明書は組織の内部 CA が署名します。

名前の不一致問題を理解し対処する

ArcGIS Enterprise は複数のコンピューター、場合によってはドメインまたはサブドメインに配置されることがあるため、名前の不一致問題の原因と考えられる解決策について把握しておく必要があります。 この問題は、サイトの証明書によって提供される一般名 (最近では Subject Alternative Name 値) と一致しないサイトの URL をユーザーが参照するときに発生します。 つまり、Web ページにより提示された証明書がユーザーがアクセスしている URL とは異なる URL に付与されている場合、ブラウザーはエラーのフラグを付けます。

自己署名証明書と同様に、エラーであっても、ユーザーはその URL を許可して信頼することができます。 しかし、このエラーはサイトを使い慣れていないユーザーに対する警告エラーであり、頻繁に発生するのは不便です。

組織が使用する新しいドメインとサブドメインを SAN 値として CA 署名証明書にすぐに追加することをお勧めします。 この予防的手法により、名前の不一致エラーが発生しなくなります。

たとえば、ArcGIS Enterprise コンポーネントを 2 つのサブドメイン (https://water.example.comelectricity.example.com) に配置する機関について検討します。 この機関は CA 署名証明書を使用し、SAN 値は「water.example.com」と「electricity.example.com」に一致し、これにより、新しいサイトを https://recycling.example.com に立ち上げています。 IT 管理者は、「recycling.example.com」エントリをサイト証明書内の SAN パラメーターに追加する必要があります。

Esri スクリプトを使用してセキュリティ問題をスキャンする

ArcGIS Enterprise 配置での一般的なセキュリティ問題を特定できるように、ポータル サイトとサーバー サイトでセキュリティのベスト プラクティスをチェックするスクリプトを用意しています。 serverscan.py スクリプトと portalscan.py スクリプトがソフトウェアに組み込まれており、いつでも実行できます。 確認対象のアイテムで、スクリプトはそのコンポーネントが自己署名証明書を使用しているかどうかをチェックします。

各コンポーネントのインストール直後、新しいバージョンにアップグレードした後、配置または IT コンポーネントに大幅に変更を加えた後、スキャンを実行することをお勧めします。 たとえば、組織が最近サーバー証明書を置き換えた場合やサイトの URL を変更した場合に serverscan.py スクリプトを再実行する必要があります。