ポータルへの証明書のインポート

HTTPS は、Web サーバとの間の通信を暗号化するための手段です。また、クライアント アプリケーションは、HTTPS を使用して Web サーバの ID を確認できます。HTTPS が使用されている場合、HTTPS が有効化されている各 Web サーバは、証明書をクライアントに送信する必要があります。この証明書には ID(I am gis.mycity.gov)のステートメントとパブリック キーが含まれています。クライアントは、これらを使用して、暗号化された情報を Web サーバに送信できます。

Portal for ArcGIS のユーザは、多くの場合、暗号化する必要のある情報を送信します。そのため、ポータルでは常に HTTPS が有効化されており、ArcGIS Web Adaptor では HTTPS が必要になります。HTTPS が有効化される Web サーバと連携するために、ArcGIS Web Adaptor をインストールします。

Web サーバの証明書が証明機関(CA)から署名されていることを強くお勧めします。ポータル自体には、自己署名された証明書が付属しています。自己署名証明書は、クライアントがサーバの ID を確認できないが、暗号化されたコンテンツを送信できるということを意味します。自己署名された証明書を、証明機関によって署名された証明書に置き換えることによって、配置のセキュリティが向上します。

ポータルで証明書を使用する場合、2 つの方法があります。1 つ目は、証明書署名要求(CSR)を生成し、証明機関から署名をもらい、それをポータルにインポートすることによって、新しい証明書を生成する方法です。2 つ目は、ポータルがインストールされたコンピュータに割り当てられている既存の証明書をインポートする方法です。ほとんどの証明機関は、証明書に署名するための料金を請求します。そのため、顧客は、同じコンピュータ用の証明書がすでに存在する場合、新しい証明書を生成するよりも、その既存の証明書をインポートしたいと考えることがあります。以下に、両方の方法の手順を示します。

以下の手順はすべて、証明書を管理するために keytool というツールを使用します。keytool コマンドは、<Portal for ArcGIS installation location>\arcgis\portal\framework\runtime\jre\bin にあります。証明書は、<Portal for ArcGIS installation location>\arcgis\portal\etc\ssl にある portal.ks というファイルに格納されます。

新規証明書の生成

以下の手順に従って、証明書署名要求(CSR)を生成し、その署名をもらい、組織サイトのルート証明書をインポートし、署名済みの証明書をインポートできます。

CSR の生成とその署名

手順:
  1. [管理者として実行] オプションを使用して、コマンド プロンプト ウィンドウを開きます。
  2. コマンド ラインから、<Portal for ArcGIS installation location>\framework\runtime\jre\bin ディレクトリを参照します。
  3. 次のコマンドを実行します:

    keytool –genkey –alias portalcert –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks -keyalg RSA

    注意注意:

    -alias パラメータには、独自のテキストを入力できます。例では、「portalcert」を指定しています。選択したエイリアスは、後で CSR を生成し、署名済み証明書をポータルにインポートするときに再び使用する必要があるため、重要です。

    1. keystore のパスワードの入力を要求された場合、「portal.secret」と入力します。Enter キーを押します。
    2. 氏名を入力するよう要求されたら、サーバの完全修飾ドメイン名(たとえば、portal.mycity.gov)を入力します。Enter キーを押します。
    3. 組織単位については、サイトのユーザにとって意味のある部門名を入力します。Enter キーを押します。
    4. 組織サイトの名前を指定します。Enter キーを押します。
    5. 都市またはロケールの名前を指定します。Enter キーを押します。
    6. 都道府県の名前を指定します。Enter キーを押します。
    7. 組織が存在する国の、2 文字の国コードを指定します。Enter キーを押します。
    8. 指定した情報を確認します。「yes」と入力し、Enter キーを押します。
    9. 必要に応じて、証明書の keystore のパスワードを指定します。「portal.secret」というデフォルトの keystore のパスワードを使用する場合は、何も指定しません。Enter キーを押します。
  4. 次のコマンドを実行します:

    keytool –certreq –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/portalcert.csr –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  5. keystore のパスワードを指定します。上でデフォルトを使用した場合、パスワードは「portal.secret」です。Enter キーを押します。

<Portal for ArcGIS installation location>/etc/ssl ディレクトリに、portalcert.csr というファイルが生成されます。署名を取得するために、このファイルを証明機関に送信します。返送されたファイルを、<Portal for ArcGIS installation location>\etc\ssl ディレクトリに配置します。

組織サイトのルート証明書のインポート

手順:
  1. [管理者として実行] オプションを使用して、コマンド プロンプト ウィンドウを開きます。
  2. コマンド ラインから、<Portal for ArcGIS installation location>\framework\runtime\jre\bin ディレクトリを参照します。
  3. 次のコマンドを実行して、自分の組織のルート証明書をポータルにインポートします。

    keytool –importcert –alias orgRootCert –file <file path to root certificate>/orgRootCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

    ルート証明書の取得方法については、システム管理者に問い合わせてください。

    注意注意:

    -alias パラメータには、独自のテキストを入力できます。例では、「orgRootCert」を指定しています。

  4. keystore のパスワードを指定します。上でデフォルトを使用した場合、パスワードは「portal.secret」です。Enter キーを押します。
  5. この証明書を信頼するかどうかたずねられたら、「yes」を入力して Enter キーを押します。

署名済み証明書のインポート

手順:
  1. [管理者として実行] オプションを使用して、コマンド プロンプト ウィンドウを開きます。
  2. コマンド ラインから、<Portal for ArcGIS installation location>\framework\runtime\jre\bin ディレクトリを参照します。
  3. 次のコマンドを実行して、証明機関から取得した署名済み証明書をインポートします。

    keytool –importcert –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/signedCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  4. keystore のパスワードを指定します。上でデフォルトを使用した場合、パスワードは「portal.secret」です。Enter キーを押します。
  5. テキスト エディタで <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml ファイルを開きます。
  6. keystorePass="portal.secret" プロパティを見つけて、そのプロパティの末尾に keyAlias="portalcert" を追加します。以下に例を示します。 
    keystorePass="portal.secret" keyAlias="portalcert"
  7. 編集したファイルを保存して閉じます。
  8. 変更を有効にするために、Portal for ArcGIS を再起動します。この手順については、「ポータルの停止と起動」をご参照ください。

既存の証明書のインポート

以下の手順に従って、既存の証明書をポータルにインポートできます。HTTPS は、プライベート キーとパブリック キーという 2 つの暗号キーを使用して、暗号化を実行します。パブリック キーは、情報を暗号化できるようにするために証明書に含まれ、すべてのユーザに共有されます。暗号を解除するにはプライベート キーが必要になるため、このプライベート キーをポータルに提供する必要があります。

プライベート キーと公開証明書は、*.p12 ファイルまたは *.pfx ファイルのいずれかに格納されて送付されます。これらのファイルは、多くの場合パスワードによって保護されています。手順を開始する前に、*.p12 ファイルまたは *.pfx ファイルが存在し、パスワードがわかっていることを確認してください。

手順:
  1. *.p12 ファイルまたは *.pfx ファイルを <Portal for ArcGIS installation location>\etc\ssl ディレクトリに配置します。残りの手順では、例として cert.p12 を使用します。
  2. [管理者として実行] オプションを使用して、コマンド プロンプト ウィンドウを開きます。
  3. コマンド ラインから、<Portal for ArcGIS installation location>\etc\ssl ディレクトリを参照します。
  4. 次を実行して、インポートしようとしている証明書のエイリアスを検索します。

    keytool -list -keystore cert.p12 -storetype PKCS12

    keystore のパスワードの入力を要求されたら、*.p12 ファイルまたは *.pfx ファイルのパスワードを入力します。次のようなメッセージがコマンド プロンプトに表示されます。

    Keystore type: PKCS12
Keystore provider: SunJSSE

Your keystore contains 1 entry
la-620dfedf-681b-4fe0-af13-2d09b1c5515e, Dec 21, 2013, PrivateKeyEntry,
Certificate fingerprint (SHA1): 28:BB:ED:55:7C:5B:0F:F1:79:54:BF:FE:CC:14:82:20:E5:8F:BF:3D

    Your keystore contains 1 entry」というテキストに続く文字列と数字は、証明書のエイリアスです。

  5. 次を実行して、エイリアスを定義して証明書をインポートし、証明書のエイリアスを portalcert に変更します。

    keytool -importkeystore -srckeystore cert.p12 -destkeystore portal.ks -srcstoretype PKCS12 -deststoretype JKS -alias la-620dfedf-681b-4fe0-af13-2d09b1c5515e -destalias portalcert

    インポート先の keystore のパスワードの入力を要求されたら、「portal.secret」と入力します。パスワードの入力を要求されたら、*.p12 ファイルまたは *.pfx ファイルのパスワードを入力します。これによって証明書がインポートされ、証明書のエイリアスが portalcert に変更されます。

    注意注意:

    -destalias パラメータには、独自のテキストを入力できます。例では、「portalcert」を指定しています。

  6. 次を実行して、証明書が正しくインポートされたことを確認します。

    keytool -list -keystore portal.ks

    インポート先の keystore のパスワードの入力を要求されたら、「portal.secret」と入力します。keystore エントリのリストに、portalcert というエイリアスが表示されているのを確認します。

  7. 次を実行して、インポートした証明書のパスワードを、ポータルの keystore のパスワードと一致するように変更します。

    keytool -keypasswd -keystore portal.ks -alias portalcert -keypass passwordofp12orpfxfile -new portal.secret

    インポート先の keystore のパスワードの入力を要求されたら、「portal.secret」と入力します。これで、インポートした証明書のパスワードはポータルの keystore のパスワードと同じになりました。

  8. テキスト エディタで <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml ファイルを開きます。
  9. keystorePass="portal.secret" プロパティを見つけて、そのプロパティの末尾に keyAlias="portalcert" を追加します。以下に例を示します。 
    keystorePass="portal.secret" keyAlias="portalcert"
  10. 編集したファイルを保存して閉じます。
  11. 変更を有効にするために、Portal for ArcGIS を再起動します。この手順については、「ポータルの停止と起動」をご参照ください。
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014