ArcGIS Web Adaptor とサーバーまたはポータルとの間のネットワーク通信のセキュリティを確保するには、HTTPS プロトコルを使用します。
HTTPS プロトコルは標準のセキュリティ テクノロジであり、Web サーバーと Web クライアント間で暗号化されたリンクを確立するために使用されます。 HTTPS を使用すると、サーバーの識別および認証によるネットワーク通信のセキュリティ保護が容易に実現され、送信されるすべてのデータのプライバシーと整合性が維持されます。 HTTPS はネットワーク上で送信される情報の傍受および改変を防ぐため、ログインや認証メカニズム、および通信に機密情報や独自情報が含まれるネットワークでは SSL を使用してください。
サーバー証明書を取得し、ArcGIS Web Adaptor をホストしている Web サイトに関連付ける必要があります。 証明書を読み込み、Web サイトに関連付ける手順は Web サーバーごとに異なります。
また、HTTPS を通じてセキュアなサービスに正しくアクセスできるように、Web サーバーがクライアント証明書を無視するように設定されていることを確認します。
サーバー証明書の作成または取得
ArcGIS Web Adaptor とサーバーまたはポータルとの間で HTTPS 接続を作成するには、Web サーバーにサーバー証明書が必要です。 証明書は、Web サーバーのアイデンティティに関する情報を含むデジタル ファイルです。 SSL 証明書には、Web サーバーとサーバーまたはポータル間のセキュリティで保護されたチャンネルを確立するときに使用される、暗号化の手法も含まれます。 証明書は、Web サイトの所有者が作成してデジタル署名する必要があります。 証明書には、CA 署名、ドメイン、自己署名の 3 種類があります。次に、それぞれの証明書について説明します。
CA 署名証明書
独立した証明機関 (CA) が署名した証明書は、Web サイトのアイデンティティが確認済みであることをクライアントに保証します。 通常、証明機関は Web サイトの信頼性を証明できる信頼された第三者機関です。 Web サイトが信頼できる場合、証明機関は独自のデジタル署名を Web サイトの自己署名証明書に追加します。 これにより Web クライアントに対して、Web サイトのアイデンティティが確認済みであることを保証します。
運用システムには、CA 署名証明書を使用します。特に、組織外のユーザーがサーバーまたはポータルにアクセスする場合は、その必要があります。
よく知られた証明機関によって発行された証明書を使用する場合、サーバーと Web クライアント間のセキュリティで保護された通信は自動的に行われます。組織管理者やアクセスするクライアントが特別な操作を行う必要はありません。 Web サイトは証明機関によって確認済みであるため、Web ブラウザーが予期しない動作を起こしたり、警告メッセージを表示したりすることはありません。
ドメイン証明書
サーバーまたはポータルがファイアウォールの内側にあり、CA 署名証明書を使用できない場合、ドメイン証明書を使用します。 ドメイン証明書は、組織の認証機関が署名した内部の証明書です。 ドメイン証明書を使用すると、信頼された内部での使用のために組織内で作成できるため、証明書の発行コストを削減し、証明書の配置が容易になります。
Web サイトはドメイン証明書によって確認されているため、ドメイン内のユーザーは、自己署名証明書で通常発生する予期しない動作や警告メッセージを経験することはありません。 ただし、ドメイン証明書は外部の証明機関によって整合チェックされていないため、ドメイン外部のサイトのユーザーには、証明書が本当に主張しているとおりの組織を表しているかを確認する方法がありません。 外部ユーザーのブラウザーには、このサイトが信頼されていないことを示す警告が表示されます。このため、ユーザーが実際は悪意のある相手と通信していると考え、サイトから移動してしまう可能性があります。
IIS を使用していてドメイン証明書を作成する必要がある場合は、「ドメイン証明書の作成」をご参照ください。この中に、適切な証明書を作成して HTTPS ポート 443 にバインドする、コンピューター上で実行するためのスクリプトがあります。
自己署名証明書
Web サイトの所有者のみによって署名された証明書を、自己署名証明書と呼びます。 一般的に自己署名証明書は、組織の内部 (LAN) ネットワークのユーザーだけが利用する Web サイトで使用されます。 自社のネットワークの外部にある、自己署名証明書を使用している Web サイトと通信する場合、証明書を発行しているサイトが本当に主張しているとおりの組織であるかを確認する方法はありません。 実際、悪意のある相手と通信して、情報を危険にさらす可能性があります。
自己署名証明書は、組織のすべてのユーザーに対して予期しない結果やパフォーマンスの低下を引き起こす可能性があるため、運用環境に有効なオプションと考えるべきではありません。
組織を最初に設定するときは、構成が正しいことを簡単に確認する初期テストを実行するために、自己署名証明書を使用できます。 ただし、自己署名証明書を使用する場合は、テスト中に以下の状況が生じます。
- Web ブラウザーまたはデスクトップ クライアントから組織にアクセスするときに、信頼されないサイトに関する警告メッセージが表示されます。
Web ブラウザーは、自己署名証明書を検出すると、通常は警告を表示し、そのサイトに移動するか確認します。 多くのブラウザーは、自己署名証明書を使用する限り、アドレス バーに警告アイコンや赤色を表示します。 自己署名証明書を使用して組織を構成している場合は、この種の警告が表示されると考えられます。
- フェデレーション サービスをマップ ビューアーで開くこと、セキュリティ保護されたサービス アイテムを組織に追加すること、フェデレーション サーバー上で ArcGIS Server Manager にサイン インすること、または ArcGIS for Office から組織に接続することはできません。
ArcGIS for Office からサイン インできるようにするには、ArcGIS for Office を実行しているコンピューター上にある [信頼されたルート証明機関] 証明書ストアに、自己署名証明書をインストールします。
- ホストされたサービスを印刷するとき、およびクライアント アプリケーションから組織にアクセスするときに、予期しない動作が発生する場合があります。
注意:
上記の問題のリストは、自己署名証明書を使用したときに発生するすべての事象を網羅しているわけではありません。 ドメイン証明書または CA 署名証明を使用して ArcGIS Enterprise 組織を完全にテストしてから配置することをお勧めします。
IIS での自己署名証明書の作成
IIS マネージャーで自己署名証明書を作成するには、次の手順を実行します。
- [接続] パネルのツリー ビューでサーバーを選択し、[サーバー証明書] をダブルクリックします。
- [操作] パネルで、[自己署名入り証明書の作成] をクリックします。
- 新しい証明書にわかりやすい名前を入力して、[OK] をクリックします。
最後に、自己署名証明書を HTTPS ポート 443 に関連付けます。
証明書と Web サイトの関連付け
証明書を ArcGIS Web Adaptor をホストする Web サイトに関連付ける必要があります。 関連付けとは、Web サイトのポート 443 を使用するように証明書を構成するプロセスのことを指します。
注意:
「ドメイン証明書の作成」トピックにあるスクリプトを使用すると、証明書を関連付けることができます。
証明書を Web サイトに関連付ける手順は、プラットフォームと Web サーバーのバージョンによって異なります。 手順については、システム管理者にお問い合わせいただくか、Web サーバーのマニュアルをご参照ください。
サイトのテスト
ポート 443 にバインドされる証明書を取得または作成したら、ArcGIS Web Adaptor を使用できるように構成します。 HTTPS URL (https://webadaptorhost.domain.com/webadaptorname/webadaptor など) を使用して ArcGIS Web Adaptor の構成ページにアクセスする必要があります。
注意:
HTTP サイト バインドでホスト名が指定されている場合、そのホスト名が ArcGIS Web Adaptor 構成ページにアクセスするために使用される URL のホスト名と一致する必要があります。
ArcGIS Web Adaptor を構成したら、組織サイトへの HTTPS リクエスト (例: https://webadaptorhost.domain.com/webadaptorname/home) または ArcGIS Server Manager への HTTPS リクエスト (例: https://webadaptorhost.domain.com/webadaptorname/manager) を作成して、HTTPS が正しく動作していることをテストします。 自己署名証明書を使用してテストする場合、信頼できない接続を知らせるブラウザーの警告を閉じます。 このため、通常は、自己署名証明書を使用しているサイトと通信できるように、ブラウザーに例外を追加します。