このトピックでは、自己署名証明書を使用して ArcGIS Server に HTTPS を構成する方法を説明します。自己署名証明書を使用して HTTPS を構成する手順は、以下のとおりです。
自己署名証明書の作成
- https://gisserver.domain.com:6443/arcgis/admin で ArcGIS Server Administrator Directory にログインします。
- [machines] > [<コンピューター名>] > [sslcertificates] の順に移動します。
- [generate] をクリックします。
- このページのパラメーターに値を指定します。
オプション 説明 エイリアス
証明書を簡単に識別できる一意の名前。
Key Algorithm
RSA (デフォルト) または DSA を使用します。
Key Size
証明書の作成に使用する暗号鍵を生成する際のサイズ (ビット単位) を指定します。鍵のサイズが大きいほど、暗号が破られにくくなりますが、暗号の解読にかかる時間も長くなります。DSA の場合、鍵のサイズは 512 ~ 1,024 で指定します。RSA の場合は、鍵のサイズを 2,048 以上にすることをお勧めします。
Signature Algorithm
デフォルト (SHA256withRSA) を使用します。組織に固有のセキュリティ制限がある場合は、SHA384withRSA、SHA512withRSA、SHA1withRSA、SHA1withDSA のいずれかのアルゴリズムを DSA で使用できます。
Common Name
このフィールドはオプションであり、古い Web ブラウザーやソフトウェアとの下位互換性のために使用されます。サーバー名の完全修飾ドメイン名を共通名として使用することをお勧めします。
サーバーに https://www.gisserver.com:6443/arcgis/ の URL を使用してインターネット経由でアクセスできる場合は、www.gisserver.com を共通名として使用します。
サーバーに https://gisserver.domain.com:6443/arcgis の URL を使用して LAN (ローカル エリア ネットワーク) のみでアクセスできる場合は、gisserver.domain.com を共通名として使用します。
Organizational Unit
組織単位の名前 (たとえば、GIS 部門)。
組織
組織の名前 (たとえば、Esri)。
City or Locality
都市または地域の名前 (たとえば、Redlands)。
州
都道府県のフル ネーム (たとえば、California)。
Country Code
国の短縮コード (たとえば、US)。
Validity
この証明書が有効な日数 (たとえば、365)。
Subject Alternative Name
SAN (Subject Alternative Name) は、アクセス対象の Web サイトによって提示された SSL 証明書がその Web サイト用に発行されたものであることを検証するために使用されます。
このパラメーターが空のままである場合は、ローカル コンピューターの完全修飾ドメイン名がデフォルト値として使用されます。SAN フィールドには、複数の値を指定できます。ただし、必ず Web サイトの完全修飾ドメイン名を含めなければなりません。SAN パラメーター値はスペースを含むことができません。
たとえば、サーバーが主に URL https://www.esri.com を使用してアクセスされる場合、SAN パラメーターを DNS:www.esri.com に設定する必要があります。サーバーに URL https://www.esri.com を使用してパブリックなインターネット上でアクセスする場合や URL https://gisserver.esri.com を使用して組織の LAN (ローカル エリア ネットワーク) 内でアクセスする場合は、SAN パラメーターを DNS:www.esri.com,DNS:gisserver.esri.com に設定する必要があります。
SAN パラメーター内でワイルドカード (*.esri.com) を使用することは、サポートされていますが、お勧めしません。同じ証明書が複数の Web サイトまたはサブドメインで使用された場合、次の例に示すように、各 Web サイトまたはサブドメインのリストを SAN パラメーターに入力します。
例: DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com。
- [Generate] をクリックして、証明書を生成します。
証明書を使用するための ArcGIS Server の構成
ArcGIS Server で使用する証明書を指定するには、次の手順に従います。
- https://gisserver.domain.com:6443/arcgis/admin で ArcGIS Server Administrator Directory にログインします。
- [machines] > [<コンピューター名>] の順に移動します。
- [edit] をクリックします。
- [Web server SSL Certificate] フィールドに、使用する証明書の名前を入力します。
- [Save Edits] をクリックして、変更内容を適用します。ArcGIS Server サイトが自動的に再起動します。
- サイトが再起動したら、URL https://gisserver.domain.com:6443/arcgis/admin にアクセスできることを確認します。この URL から応答がない場合、ArcGIS Server は証明書を使用できなかったことになります。ArcGIS Server Administrator Directory (http://gisserver.domain.com:6080/arcgis/admin) にログインします。SSL 証明書をチェックし、新規または別個の証明書を使用するように ArcGIS Server を構成します。
- 現在のページの [Web server SSL Certificate] プロパティで、適切な証明書が HTTPS で使用されることを確認します。
配置内の各サーバーの構成
ArcGIS Server サイトに複数のコンピューターを配置している場合は、サイトに参加しているサーバー コンピューターごとに自己署名証明書を作成し、作成した証明書を使用するように各コンピューターを構成する必要があります。
サイトへのアクセス
デフォルトで HTTPS が有効になっている場合、ArcGIS Server はリクエストに対してポート 6443 をリッスンします。次の URL を使用すると、 ArcGIS Server に安全にアクセスできます。
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server Services Directory | https://gisserver.domain.com:6443/arcgis/rest/services |
注意:
ArcGIS Server の名前を変更しても、引き続き HTTPS を使用して ArcGIS Server にアクセスできます。ただし、新しい証明書を生成して、ArcGIS Server がこの証明書を使用するように構成する必要があります。
OS 証明書ストアへの証明書のインポート
PrintingTools サービスなどの ArcGIS サービスを ArcGIS Server で使用するには、サーバーの証明書を信頼された証明書としてインストールする必要があります。
- ArcGIS Server Administrator Directory にログインします。
- [machines] → [<コンピューター名>] → [sslcertificates] の順に選択します。
- ArcGIS Server で使用されている証明書をクリックし、[エクスポート] をクリックします。CA ルート証明書が保存されているコンピューター上の場所に、このファイルを保存します。
- ArcGIS Server をホストしているコンピューターで、<ArcGIS Server installation directory>/arcgis/server/usr ディレクトリを参照して、init_user_param.sh スクリプトをテキスト エディターで開きます。
- 「export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate>」という行を検索し、すべての CA ルート証明書が保存されているシステム上の場所を指定します。指定したディレクトリは、ArcGIS Server をインストールするときに使用されたアカウントからアクセスできる必要があります。シャープ記号 (#) を削除して、行をコメント解除する必要があります。
- init_user_param.sh スクリプトを保存して閉じます。
- ArcGIS Server を再起動します。これを行うには、サイト内の各 GIS サーバー上で startserver.sh スクリプトを実行します。
- サイトの GIS サーバーごとにこの手順を繰り返します。