Skip To Content

新しい CA 署名証明書での ArcGIS Server の構成

このトピックでは、証明書を作成し、その証明書に証明機関 (CA) の署名をもらい、その証明書を ArcGIS Server に構成する手順を段階的に説明します。この実行手順は、次のとおりです。

自己署名証明書の作成

  1. https://gisserver.domain.com:6443/arcgis/adminArcGIS Server Administrator Directory にログインします。
  2. [machines] > [<コンピューター名>] > [sslcertificates] の順に移動します。
  3. [generate] をクリックします。
  4. このページのパラメーターに値を指定します。

    オプション説明

    エイリアス

    証明書を簡単に識別できる一意の名前。

    Key Algorithm

    RSA (デフォルト) または DSA を使用します。

    Key Size

    証明書の作成に使用する暗号鍵を生成する際のサイズ (ビット単位) を指定します。鍵のサイズが大きいほど、暗号が破られにくくなりますが、暗号の解読にかかる時間も長くなります。DSA の場合、鍵のサイズは 512 ~ 1,024 で指定します。RSA の場合は、鍵のサイズを 2,048 以上にすることをお勧めします。

    Signature Algorithm

    デフォルト (SHA256withRSA) を使用します。組織に固有のセキュリティ制限がある場合は、SHA384withRSASHA512withRSASHA1withRSASHA1withDSA のいずれかのアルゴリズムを DSA で使用できます。

    Common Name

    このフィールドはオプションであり、古い Web ブラウザーやソフトウェアとの下位互換性のために使用されます。サーバー名の完全修飾ドメイン名を共通名として使用することをお勧めします。

    サーバーに https://www.gisserver.com:6443/arcgis/ の URL を使用してインターネット経由でアクセスできる場合は、www.gisserver.com を共通名として使用します。

    サーバーに https://gisserver.domain.com:6443/arcgis の URL を使用して LAN (ローカル エリア ネットワーク) のみでアクセスできる場合は、gisserver.domain.com を共通名として使用します。

    Organizational Unit

    組織単位の名前 (たとえば、GIS 部門)。

    組織

    組織の名前 (たとえば、Esri)。

    City or Locality

    都市または地域の名前 (たとえば、Redlands)。

    都道府県のフル ネーム (たとえば、California)。

    Country Code

    国の短縮コード (たとえば、US)。

    Validity

    この証明書が有効な日数 (たとえば、365)。

    Subject Alternative Name

    SAN (Subject Alternative Name) は、アクセス対象の Web サイトによって提示された SSL 証明書がその Web サイト用に発行されたものであることを検証するために使用されます。

    このパラメーターが空のままである場合は、ローカル コンピューターの完全修飾ドメイン名がデフォルト値として使用されます。SAN フィールドには、複数の値を指定できます。ただし、必ず Web サイトの完全修飾ドメイン名を含めなければなりません。SAN パラメーター値はスペースを含むことができません。

    たとえば、サーバーが主に URL https://www.esri.com を使用してアクセスされる場合、SAN パラメーターを DNS:www.esri.com に設定する必要があります。サーバーに URL https://www.esri.com を使用してパブリックなインターネット上でアクセスする場合や URL https://gisserver.esri.com を使用して組織の LAN (ローカル エリア ネットワーク) 内でアクセスする場合は、SAN パラメーターを DNS:www.esri.com,DNS:gisserver.esri.com に設定する必要があります。

    SAN パラメーター内でワイルドカード (*.esri.com) を使用することは、サポートされていますが、お勧めしません。同じ証明書が複数の Web サイトまたはサブドメインで使用された場合、次の例に示すように、各 Web サイトまたはサブドメインのリストを SAN パラメーターに入力します。

    例: DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com

  5. [Generate] をクリックして、証明書を生成します。

CA に対する証明書への署名の要求

作成した証明書を Web ブラウザーが信頼できる証明書として受け入れるようにするには、Verisign や Thawte などのよく知られた認証機関で証明書の確認と副署を受ける必要があります。

  1. 前のセクションで作成した自己署名証明書を開き、[generateCSR] をクリックします。コンテンツをファイルにコピーします。通常、ファイルの拡張子は「*.csr」です。
  2. 選択した CA に CSR を送信します。DER (Distinguished Encoding Rules) または Base64 エンコード証明書を取得できます。CA が、証明書を適用する Web サーバーのタイプを要求した場合、[その他/不明] または [Java アプリケーション サーバー] を指定します。アイデンティティが確認された後、CA から *.crt または *.cer ファイルが返送されます。
  3. CA から受け取った署名済みの証明書をコンピューター上に保存します。そこには、ArcGIS Server Administrator Directory からアクセスできます。CA からは、署名済みの証明書に加え、ルート証明書も発行されます。CA ルート証明書をコンピューターに保存します。
  4. ArcGIS Server Administrator Directory にログインします: https://gisserver.domain.com:6443/arcgis/admin
  5. [machines] → [<コンピューター名>] → [sslcertificates] > [importRootOrIntermediate] の順にクリックして、CA から提供されたルート証明書をインポートします。CA からその他の中間証明書が発行されている場合は、それらの証明書もインポートします。
  6. [machines] > [<コンピューター名>] > [sslcertificates] の順に移動します。
  7. CA に送信した自己署名証明書の名前をクリックします。
  8. [importSignedCertificate] をクリックして、CA から受け取った署名済みの証明書を保存した場所を参照します。
  9. [送信] をクリックします。これにより、前のセクションで作成した自己署名証明書が CA 署名証明書に置き換えられます。

CA 署名証明書を使用するための ArcGIS Server の構成

注意:

CA 署名証明書で定義された CDP (CRL 配布ポイント) が有効であり、ArcGIS Server をホストするコンピューターからアクセスできる必要があります。証明書で定義された CDP が無効であるか、インターネット アクセス設定、ネットワーク設定、またはファイアウォール設定がないために CDP にアクセスできない場合、ArcGIS Desktop で公開することはできません。この問題を回避するには、「よくある問題と解決策」のトピックの「CA 発行の証明書を使用する ArcGIS Server サイトでサービスを公開できません」という問題を解決する手順に従います。

  1. https://gisserver.domain.com:6443/arcgis/adminArcGIS Server Administrator Directory にログインします。gisserver.domain.com を、ArcGIS Server がインストールされているコンピューターの完全修飾名に変更します。
  2. [machines] > [<コンピューター名>] の順に移動します。
  3. [edit] をクリックします。
  4. [Web server SSL Certificate] フィールドに、署名済み証明書の名前を入力します。指定する名前は、前のセクションで CA 署名証明書に置き換えられた自己署名証明書のエイリアスと一致する必要があります。
  5. [Save Edits] をクリックして、変更内容を適用します。ArcGIS Server サイトが自動的に再起動します。
  6. サイトが再起動したら、URL https://gisserver.domain.com:6443/arcgis/admin にアクセスできることを確認します。この URL から応答がない場合、ArcGIS Server は指定された SSL 証明書を使用できなかったことになります。ArcGIS Server Administrator Directory (http://gisserver.domain.com:6080/arcgis/admin) にログインします。SSL 証明書をチェックし、新規または別個の証明書を使用するように ArcGIS Server を構成します。
  7. 現在のページの [Web server SSL Certificate] プロパティで、適切な証明書が HTTPS で使用されることを確認します。

配置された各 ArcGIS Server コンピューターを構成します。

ArcGIS Server を複数のコンピューターを使用して配置している場合は、サイトに参加している ArcGIS Server コンピューターごとに、CA 署名証明書を取得して構成する必要があります。すべての証明書がインポートされたら、ArcGIS Server サイト内の各コンピューターを再起動します。

Windows 証明書ストアへの CA ルート証明書のインポート

認証機関のルート証明書が Windows 証明書ストアに表示されない場合は、証明書をインポートする必要があります。

  1. ArcGIS Server をホストしているコンピューターにログインします。
  2. CA から受け取った署名済みの証明書を、このコンピューター上の場所にコピーします。
  3. この証明書を開き、[証明のパス] タブをクリックします。[証明書の状態][この証明書は問題ありません。] である場合、CA ルート証明書は Windows 証明書ストアに存在しています。証明書のインポートは必要ありません。手順 12 に進みます。
  4. CA ルート証明書をこのコンピューター上の場所にコピーします。
  5. この証明書を開き、[一般] タブをクリックします。[証明書のインストール] ボタンをクリックします。
  6. [証明書のインポート ウィザード] が開き、[ようこそ] パネルが表示されたら、[次へ] をクリックします。
  7. [証明書ストア] パネルで、[証明書をすべて次のストアに配置する].オプションを選択します。
  8. [参照] ボタンをクリックします。[証明書ストアの選択] ダイアログ ボックスで、[物理ストアを表示する] オプションを有効にします。
  9. [信頼されたルート証明機関] フォルダーを展開して、その内容を表示します。使用する証明書ストアとして [ローカル コンピューター] を選択します。[OK] をクリックします。
  10. [証明書ストア] パネルで、[次へ] をクリックします。
  11. [完了] をクリックします。
  12. サイト内の各 ArcGIS Server コンピューターで、手順 1 ~ 11 を繰り返します。
  13. 各コンピューターで ArcGIS Server を再起動します。

サイトへのアクセス

デフォルトで HTTPS が有効になっている場合、ArcGIS Server はリクエストに対してポート 6443 をリッスンします。次の URL を使用すると、 ArcGIS Server に安全にアクセスできます。

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

ArcGIS Server Services Directory

https://gisserver.domain.com:6443/arcgis/rest/services

注意:

ArcGIS Server の名前を変更しても、引き続き HTTPS を使用して ArcGIS Server にアクセスできます。ただし、新しい証明書を生成して、ArcGIS Server がこの証明書を使用するように構成する必要があります。