自己署名証明書を使用した SSL の有効化
このチュートリアルでは、自己署名証明書を使用して ArcGIS Server で SSL を有効化する方法を説明します。自己署名証明書を使用して SSL を有効化する手順は、以下のとおりです。
新しい自己署名証明書の作成
- ArcGIS Server Administrator Directory にログインします。 http://gisserver.domain.com:6080/arcgis/admin.
- [machines] → [<コンピュータ名>] → [sslcertificates] の順に移動します。
- [generate] をクリックします。
-
このページのパラメータに値を入力します。
オプション
説明
Alias
証明書を簡単に識別できる一意の名前。
Key Algorithm
RSA(デフォルト)または DSA を使用します。
Key Size
証明書の作成に使用する暗号鍵を生成する際のサイズ(ビット単位)を指定します。鍵のサイズが大きいほど、暗号が破られにくくなりますが、暗号の解読にかかる時間も長くなります。DSA の場合、鍵のサイズは、512 から 1,024 の間で指定します。RSA の場合、推奨される鍵のサイズは、2,048 以上です。
Signature Algorithm
デフォルト(SHA1withRSA)を使用します。組織に特定のセキュリティ制限がある場合は、DSA に対して [SHA256withRSA]、[SHA384withRSA]、[SHA512withRSA]、[SHA1withDSA] のいずれかのアルゴリズムを使用できます。
Common Name
サーバの名前のドメイン名を共通名として使用します。
サーバに https://www.gisserver.com:6443/arcgis/ の URL を使用してインターネット経由でアクセスできる場合は、www.gisserver.com を共通名として使用します。
サーバに https://gisserver.domain.com:6443/arcgis の URL を使用して LAN(ローカル エリア ネットワーク)のみでアクセスできる場合は、gisserver を共通名として使用します。
Organizational Unit
組織単位の名前(たとえば、GIS 部門)。
Organization
組織の名前(たとえば、Esri)。
City or Locality
都市または地域の名前(たとえば、Redlands)。
State or Province
都道府県のフル ネーム(たとえば、California)。
Country Code
国の短縮コード(たとえば、US)。
Validity
この証明書が有効な日数(たとえば、365)。
Subject Alternative Name
Subject Alternative Name(SAN)は、オプションのパラメータで、SSL 証明書で指定された Common Name(CN)に対する別名を定義します。SAN が定義されていない場合、Web サイトは、URL に共有名を使用しないと(SSL 証明書エラーなしで)アクセスできません。SAN を使用すると、1 つのSSL 証明書でも異なる URL を使用して同じ Web サイトにアクセスすることができます。たとえば、SSL 証明書が次のパラメータ値を使用して作成されている場合、URL: https://www.esri.com、https://esri、および https://10.60.1.16 を使用して、同じサイトにアクセスすることができます。
CN=www.esri.com
SAN=DNS:esri, IP:10.60.1.16
- [Generate] をクリックして、証明書を生成します。
SSL 証明書を使用するための ArcGIS Server の構成
ArcGIS Server で使用する SSL 証明書を指定するには、以下の手順に従います。
- http://gisserver.domain.com:6080/arcgis/admin で ArcGIS Server Administrator Directory にログインします。
- [machines] → [<コンピュータ名>] の順に移動します。
- [edit] をクリックします。
- [Web server SSL Certificate] のボックスに、使用する SSL 証明書の名前を入力します。
- [Save Edits] をクリックして、変更内容を適用します。
- 現在のページの [Web server SSL Certificate] プロパティで、適切な SSL 証明書が SSL で使用されることを確認します。
配置内の各 GIS サーバの構成
ArcGIS Server を複数のコンピュータを使用して配置している場合は、サイトに参加している GIS サーバごとに新しい自己署名証明書を作成し、作成した証明書を使用するようにその GIS サーバを構成する必要があります。
サイトの SSL の有効化
- http://gisserver.domain.com:6080/arcgis/admin で ArcGIS Server Administrator Directory にログインします。
- [security] → [config] → [update] の順に移動します。
- [Protocol] パラメータで [HTTP and HTTPS] オプションを選択して、[Update] をクリックします。ArcGIS Server サイトが自動的に再起動します。
- サイトが再起動したら、URL https://gisserver.domain.com:6443/arcgis/admin にアクセスできることを確認します。この URL から応答がない場合、ArcGIS Server は指定された SSL 証明書を使用できなかったことになります。SSL 証明書をチェックし、新規または別個の SSL 証明書を使用するように ArcGIS Server を構成します。
- URL https://gisserver.domain.com:6443/arcgis/admin にアクセスできる場合、[security] → [config] → [update] の順に移動します。
- [Protocol] パラメータで [HTTPS Only] オプションを選択して、[Update] をクリックします。
注意:ArcGIS Web Adaptor がサイトの通信プロトコルの変更を認識するまで、1 分かかります。
レガシー:以前のバージョンでは、ArcGIS Server の通信プロトコルを更新したら、ArcGIS Web Adaptor を再構成する必要がありました。10.2.2 では、再構成は不要になっています。
SSL を使用したサイトへのアクセス
SSL の構成が完了すると、ArcGIS Server はポート 6443 で HTTPS リクエストを待機します。以下の URL を使用して、ArcGIS Server に安全にアクセスできます。
|
ArcGIS Server Manager |
https://gisserver.domain.com:6443/arcgis/manager |
|
ArcGIS Server Services Directory |
https://gisserver.domain.com:6443/arcgis/rest/services |
注意:SSL が有効になっているときに ArcGIS Server の名前を変更しても、SSL を使用して ArcGIS Server へのアクセスを継続できます。ただし、新しい SSL 証明書を生成して、ArcGIS Server がこの証明書を使用するように構成する必要があります。
OS 証明書ストアへの証明書のインポート
PrintingTools サービスなどの ArcGIS サービスを SSL が有効化された ArcGIS Server で使用するには、サーバの SSL 証明書を信頼された証明書としてインストールする必要があります。
- ArcGIS Server Administrator Directory にログインします。
- [machines] → [<コンピュータ名>] → [sslcertificates] の順に選択します。
- ArcGIS Server で使用されている SSL 証明書をクリックし、[エクスポート] をクリックします。ファイルをコンピュータ上の場所に保存します。
- [証明書マネージャー] を開きます。これを行うには、[スタート] ボタンを押し、検索ボックスに「certmgr.msc」と入力して、Enter キーを押します。
- [証明書マネージャー] ウィンドウで、[信頼されたルート認証機関] をクリックして、[証明書] をクリックします。
- トップ メニューで、[操作] をクリックし、[すべてのタスク] → [インポート] の順にクリックします。
- [証明書のインポート ウィザード] ダイアログ ボックスで、[次へ] をクリックし、ウィザードに表示される手順に従って、証明書をインポートします。
- サイトの GIS サーバごとにこの手順を繰り返します。