CA 署名証明書を使用した SSL の有効化
このチュートリアルでは、CA(認証機関)で署名された証明書を使用して、ArcGIS Server で SSL を有効化する方法を説明します。CA 署名証明書を使用して SSL を有効化する手順は、以下のとおりです。
新しい自己署名証明書の作成
- ArcGIS Server Administrator Directory(http://[ホスト名]:6080/arcgis/admin)にログインします。
- [machines] → [<コンピュータ名>] → [sslcertificates] の順に移動します。
- [generate] をクリックします。
- このページのパラメータに値を入力します。
オプション
説明
Alias
証明書を簡単に識別できる一意の名前。
Key Algorithm
RSA(デフォルト)または DSA を使用します。
Key Size
証明書の作成に使用する暗号鍵を生成する際のサイズ(ビット単位)を指定します。鍵のサイズが大きいほど、暗号が破られにくくなります。ただし、鍵のサイズが大きいほど、暗号の解読にかかる時間も長くなります。DSA の場合、鍵のサイズは、512 から 1024 の間で指定します。RSA の場合、推奨される鍵のサイズは、2048 以上です。
Signature Algorithm
デフォルト(SHA1withRSA)を使用します。組織に特定のセキュリティ制限がある場合は、[SHA256withRSA]、[SHA384withRSA]、[SHA512withRSA]、DSA の [SHA1withDSA] のいずれかのアルゴリズムを使用できます。
Common Name
サーバ名のドメイン名を共通名として使用します。
インターネット上で https://www.myarcgis.com:6443/arcgis/ の URL を使用してサーバにアクセスする場合は、「www.myarcgis.com」を共通名として使用します。
サーバに https://hostname:6443/arcgis/ の URL を使用して LAN(ローカル エリア ネットワーク)のみでアクセスできる場合は、「hostname」を共通名として使用します。
Organizational Unit
組織単位の名前(たとえば、GIS 部門)。
Organization
組織の名前(たとえば、Esri)。
City or Locality
都市または地域の名前(たとえば、Redlands)。
State or Province
都道府県のフル ネーム(たとえば、California)。
Country Code
国の短縮コード(たとえば、US)。
Validity
この証明書が有効な日数(たとえば、365)。
- [Submit] をクリックして、証明書を生成します。
CA への証明書への署名の要求
作成した証明書を Web ブラウザが信頼できる証明書として受け入れるようにするには、Verisign や Thawte などのよく知られた認証機関で証明書の確認と副署を受ける必要があります。
- 前のセクションで作成した証明書を開き、[generateCS] をクリックします。コンテンツをファイルにコピーします。通常、ファイルの拡張子は「.csr」です。
- 選択した CA に CSR を送信します。アイデンティティが確認された後、CA から *.crt または *.cer ファイルが返送されます。
- CA から返送された署名済みの証明書を、コンピュータ上の場所に保存します。CA からは、署名済みの証明書に加え、CA ルート証明書も発行されます。CA ルート証明書をコンピュータに保存します。
- ArcGIS Server Administrator Directory にログインします。http://[ホスト名]:6080/arcgis/admin.
- [machines] → [machine name] → [sslcertificates] → [importRootOrIntermediate] の順にクリックして、CA ルート証明書をインポートします。CA からその他の中間証明書が発行されている場合は、これらもインポートします。
- [machines] → [machine name] → [sslcertificates] の順に移動します。
- CA に送信した証明書の名前をクリックします。
- [importSignedCertificate] をクリックします。
- [Browse] をクリックして、CA から返送された署名済みの証明書を保存した場所を参照します。
- [Submit] をクリックして、この証明書をインポートします。自己署名証明書が CA 署名証明書で置き換えられます。
OS 証明書ストアへの CA ルート証明書のインポート
- ArcGIS Server をホストしているコンピュータで [証明書マネージャー] を開きます。これを行うには、[スタート] ボタンを押し、検索ボックスに「certmgr.msc」と入力して、Enter キーを押します。
- [証明書マネージャー] ダイアログ ボックスで、[証明書] コンテンツ ウィンドウの下の適切なフォルダを選択します。
- フォルダを選択したら、[操作] メニューをクリックし、[すべてのタスク] → [インポート] の順にクリックします。
- [証明書のインポート ウィザード] ダイアログ ボックスで、[次へ] をクリックし、ウィザードに表示される手順に従って、CA のルート証明書をインポートします。
- サイトの GIS サーバ コンピュータごとに手順 1 ~ 4 を繰り返します。
- サイト内の各 GIS サーバ コンピュータを再起動します。
SSL 証明書を使用するための ArcGIS Server の構成
ArcGIS Server で使用する SSL 証明書を指定するには、以下の手順に従います。
- ArcGIS Server Administrator Directory(http://[ホスト名]:6080/arcgis/admin)にログインします。
- [machines] → [<コンピュータ名>] の順に移動します。
- [edit] をクリックします。
- [Web server SSL Certificate] のボックスに、使用する SSL 証明書の名前を入力します。
- [Save Edits] をクリックして、変更内容を適用します。
- 現在のページの [Web server SSL Certificate] プロパティで、適切な SSL 証明書が SSL で使用されることを確認します。
配置内の各 GIS サーバの構成
ArcGIS Server を複数のコンピュータを使用して配置している場合は、サイトに参加している GIS サーバごとに、CA 署名証明書を取得して構成する必要があります。
サイトの SSL の有効化
- ArcGIS Server Administrator Directory にログインします。http://[ホスト名]:6080/arcgis/admin.
- [security] → [config] → [update] の順に移動します。
- [Protocol] パラメータで [HTTPS Only] オプションを選択して、[Update] をクリックします。開発者環境では、[HTTP and HTTPS] オプションを使用することもできます。このオプションを使用すると、ユーザは HTTP または HTTPS を通じて ArcGIS Server にアクセスできます。注意:
[Protocol] パラメータの変更を適用すると、ArcGIS Server サイトが自動的に再起動されます。
SSL を使用したサイトへのアクセス
SSL の構成が完了すると、ArcGIS Server はポート 6443 で HTTPS リクエストを待機します。以下の URL を使用して、ArcGIS Server に安全にアクセスできます。
ArcGIS Server Manager | https://[サーバ名]:6443/arcgis/manager |
ArcGIS Server Services Directory | https://[サーバ名]:6443/arcgis/rest/services |
SSL が有効になっているときに ArcGIS Server の名前を変更しても、SSL を使用して ArcGIS Server へのアクセスを継続できます。ただし、新しい SSL 証明書を生成して、ArcGIS Server がこの証明書を使用するように構成する必要があります。