Web サーバ上での SSL の有効化

SSL プロトコルは標準のセキュリティ テクノロジであり、Web サーバと Web クライアント間で暗号化されたリンクを確立するために使用されます。SSL を使用すると、サーバの識別および認証によるネットワーク通信のセキュリティ保護が容易に実現され、送信されるすべてのデータのプライバシーと整合性が維持されます。SSL はネットワーク上で送信される情報の傍受および改変を防ぐため、ログインや認証メカニズム、および通信に機密情報や独自情報が含まれるネットワークでは SSL を使用してください。

ArcGIS Web Adaptor と Portal for ArcGIS の間の通信を暗号化するには、ポート 443 で SSL(Secure Sockets Layer)を使用する必要があります。他のポートは使用できません。SSL を使用することにより、ArcGIS Web Adaptor とポータル間で送受信される名前、パスワード、およびその他の機密情報を解読不能にすることができます。SSL を使用するときは、HTTP プロトコルの代わりに HTTPS を使用して Web ページやリソースに接続します。

SSL 証明書を取得し、ArcGIS Web Adaptor をホストしている Web サイトに関連付ける必要があります。証明書を読み込み、Web サイトに関連付ける手順は Web サーバごとに異なります。

SSL 証明書の作成

ArcGIS Web Adaptor とポータルの間で SSL 接続を作成できるようにするには、Web サーバに SSL 証明書が必要です。SSL 証明書は、Web サーバのアイデンティティに関する情報を含むデジタル ファイルです。SSL 証明書には、Web サーバとポータル間のセキュリティで保護されたチャネルを確立するときに使用される、暗号化の手法も含まれます。SSL 証明書は、Web サイトの所有者が作成してデジタル署名する必要があります。証明書には、CA 署名、ドメイン、自己署名の 3 種類があります。次に、それぞれの証明書について説明します。

CA 署名証明書

運用システムには、認証機関(CA)が署名した証明書を使用します。特に、組織外のユーザが Portal for ArcGIS にアクセスする場合は、その必要があります。たとえば、ポータルがファイアウォールの内側になく、インターネット経由でアクセスできる場合、CA 署名証明書を使用すると、組織外のクライアントに対して Web サイトのアイデンティティが確認済みであることを保証できます。

SSL 証明書は、Web サイトの所有者による署名に加えて、独立した CA で署名される場合があります。通常、CA は Web サイトの信頼性を証明できる信頼された第三者機関です。Web サイトが信頼できる場合、CA は独自のデジタル署名を Web サイトの自己署名 SSL 証明書に追加します。これにより Web クライアントに対して、Web サイトのアイデンティティが確認済みであることを保証します。

よく知られた CA によって発行された SSL 証明書を使用する場合、サーバと Web クライアント間のセキュリティで保護された通信は自動的に行われます。ユーザが特別な操作を行う必要はありません。Web サイトは CA によって確認済みであるため、Web ブラウザが予期しない動作を起こしたり、警告メッセージを表示したりすることはありません。

ドメイン証明書

ポータルがファイアウォールの内側にあり、CA 署名証明書を使用できない場合、ドメイン証明書が条件にあったソリューションです。ドメイン証明書は、組織の認証機関が署名した内部の証明書です。ドメイン証明書を使用すると、信頼された内部での使用のために組織内で簡単に作成できるため、証明書の発行コストを削減し、証明書の配置が容易になります。

Web サイトはドメイン証明書によって確認されているため、ドメイン内のユーザは、自己署名証明書で通常発生する予期しない動作や警告メッセージを経験することはありません。ただし、ドメイン証明書は外部の CA によって整合チェックされていないため、ドメイン外部のサイトのユーザには、証明書が本当に主張しているとおりの組織を表しているかを確認する方法がありません。外部ユーザのブラウザには、このサイトが信頼されていないことを示す警告が表示されます。このため、ユーザが実際は悪意のある相手と通信していると考え、サイトから移動してしまう可能性があります。

自己署名証明書

自己署名証明書は、ポータルのすべてのユーザに対して予期しない結果やパフォーマンスの低下を引き起こす可能性があるので、運用環境に有効なオプションと考えるべきではありません。

Web サイトの所有者のみが署名している SSL 証明書を、自己署名証明書と呼びます。一般的に自己署名証明書は、組織の内部(LAN)ネットワークのユーザだけが利用する Web サイトで使用されます。自社のネットワークの外部にある、自己署名証明書を使用している Web サイトと通信する場合、証明書を発行しているサイトが本当に主張しているとおりの組織であるかを確認する方法はありません。実際、悪意のある相手と通信して、情報を危険にさらす可能性があります。

ポータルを最初に設定するときは、構成が正しいことを簡単に確認する初期テストを実行するために、自己署名証明書を使用することがあります。ただし、自己署名証明書を使用する場合は、テスト中に以下の状況が生じます。

  • 信頼されないサイトに関する Web ブラウザと ArcGIS for Desktop の警告メッセージが表示されます。Web ブラウザは、自己署名証明書を検出すると、通常は警告を表示し、そのサイトに移動するか確認します。多くのブラウザは、自己署名証明書を使用した場合、アドレス バーに警告アイコンや赤色を表示します。ポータルで自己署名証明書を使用して構成している場合、この種の警告が表示されると考えるべきです。
  • フェデレートされたサービスをポータル マップ ビューアで開くこと、セキュリティ保護されたサービス アイテムをポータルに追加すること、フェデレートされたサーバ上で ArcGIS Server Manager にログインすること、および Esri Maps for Officeからポータルに接続することはできません。
  • ホストされたサービスを印刷するとき、およびクライアント アプリケーションからポータルにアクセスするときに、予期しない動作が発生します。
  • 自己署名証明書が Esri Maps for Office を実行しているコンピュータ上にある [信頼されたルート証明機関] 証明書ストアにインストールされていない限り、Esri Maps for Office からポータルにサイン インできません。
注意注意:

自己署名証明書を使用したときに発生する上記の問題は、すべてを網羅していません。ドメイン証明書または CA 署名証明を使用してポータルを完全にテストしてから配置することをお勧めします。

証明書と Web サイトの関連付け

SSL 証明書を作成したら、ArcGIS Web Adaptor をホストしている Web サイトにそれを関連付ける必要があります。関連付けとは、Web サイトのポート 443 を使用するように SSL 証明書を構成するプロセスのことを指します。証明書を Web サイトに関連付ける手順は、プラットフォームと Web サーバのバージョンによって異なります。手順については、システム管理者にお問い合わせいただくか、Web サーバのマニュアルをご参照ください。

サイトのテスト

サイトと Web サイトを関連付けたら、ArcGIS Web Adaptor をポータルで使用できるように構成できます。HTTPS URL(https://webadaptor.domain.com/arcgis/webadaptor など)を使用して ArcGIS Web Adaptor の構成ページにアクセスする必要があります。

ArcGIS Web Adaptor を構成したら、ポータル Web サイトへの HTTPS リクエスト(例: https://webadaptor.domain.com/arcgis/home)を作成して、SSL が正しく動作することをテストする必要があります。自己署名証明書を使用してテストする場合、信頼できない接続を知らせるブラウザの警告を閉じます。このため、通常は、自己署名証明書を使用しているサイトと通信できるように、ブラウザに例外を追加します。

ポータルでの SSL の使用の詳細については、「セキュリティのベスト プラクティス」をご参照ください。

5/10/2014