1.6.3 https接続を有効にする手順
httpsd.confファイル(Windowsの場合)またはuser_httpsd.confファイル(Linuxの場合)を設定し,秘密鍵ファイルおよびSSLサーバ証明書ファイルを指定したフォルダに格納して,Webサーバのhttps接続を有効にします。
事前作業
-
Administrators権限またはroot権限を持つユーザーでJP1/AOサーバにログインします。
-
JP1/AOのサービスを停止します。
- 非クラスタシステムの場合
-
hcmdssrvコマンドまたはhcmds64srvコマンドにstopオプションを指定して実行します。
- クラスタシステムの場合
-
クラスタソフトを使用してサービスをオフラインにします。
https接続を有効にする手順
-
httpsd.confファイルまたはuser_httpsd.confファイルをhttps接続を使用する設定に変更します。
httpsd.confファイルおよびuser_httpsd.confファイルは次のフォルダに格納されています。
-
httpsd.confファイル(Windowsの場合)
共通コンポーネントのインストール先フォルダ¥httpsd¥conf
-
user_httpsd.confファイル(Linuxの場合)
/opt/HiCommand/Base64/uCPSB/httpsd/conf
httpsd.confファイルまたはuser_httpsd.confファイルは,デフォルトではhttps接続を使用するためのディレクティブがコメントアウトされ,http接続を使用する設定になっています。そこで,https接続を有効にするには,次のように変更します。
-
https接続では不要なディレクティブをコメントアウトします。
-
https接続に必要なディレクティブを追加します。
-
https接続に必要で,デフォルトではコメントアウトされているディレクティブを有効にします。
- ポイント
-
httpsd.confファイルおよびuser_httpsd.confファイルでは行頭に「#」のある行はコメント行として扱われます。行頭の「#」を削除することでディレクティブとして機能します。
次にJP1/AOのインストール後(http接続を使用する場合)のhttpsd.confファイルの内容と,https接続を使用する場合の設定に変更したhttpsd.confファイルの内容を示します。OSがWindowsの場合に,http接続では「23015」,https接続では「23016」のデフォルトのポート番号を使用する場合の例です。
- http接続を使用する場合のhttpsd.confファイル(デフォルト)
Listen 23015 Listen [::]:23015 SSLDisable SSLSessionCacheSize 0 #Listen 23016 #Listen [::]:23016 #<VirtualHost *:23016> # ServerName JP1/AOサーバ名またはIPアドレス # SSLEnable # SSLProtocol SSLv3 TLSv1 # SSLRequiredCiphers AES256-SHA:AES128-SHA:DES-CBC3-SHA # SSLRequireSSL # SSLCertificateFile "共通コンポーネントのインストール先フォルダ/httpsd/conf/ssl/server/httpsd.pem" # SSLCertificateKeyFile "共通コンポーネントのインストール先フォルダ/httpsd/conf/ssl/server/httpsdkey.pem" # SSLCACertificateFile "共通コンポーネントのインストール先フォルダ/httpsd/conf/ssl/cacert/anycert.pem" # SSLSessionCacheTimeout 3600 #</VirtualHost>
- https接続を使用する場合のhttpsd.confファイル(変更後)
#Listen 23015※1 #Listen [::]:23015※1 Listen 127.0.0.1:23015※2 SSLDisable SSLSessionCacheSize 0 Listen 23016※3 Listen [::]:23016※3 <VirtualHost *:23016>※3 ServerName JP1/AOサーバ名またはIPアドレス※3 SSLEnable※3 SSLProtocol TLSv11 TLSv12※3※4 SSLRequiredCiphers AES256-SHA:AES128-SHA:DES-CBC3-SHA※3 SSLRequireSSL※3 SSLCertificateFile "共通コンポーネントのインストール先フォルダ/httpsd/conf/ssl/server/httpsd.pem"※3 SSLCertificateKeyFile "共通コンポーネントのインストール先フォルダ/httpsd/conf/ssl/server/httpsdkey.pem"※3 # SSLCACertificateFile "共通コンポーネントのインストール先フォルダ/httpsd/conf/ssl/cacert/anycert.pem"※5 SSLSessionCacheTimeout 3600※3 </VirtualHost>※3
- 注※1
-
https接続を使用する場合に不要なディレクティブです。行頭に「#」を追加してコメントアウトします。
- 注※2
-
https接続を使用する場合に必要なディレクティブです。行を追加します。
- 注※3
-
https接続を使用する場合に必要なディレクティブです。行頭の「#」を削除して有効にします。
- 注※4
-
SSLProtocolには,"TLSv11 TLSv12"を指定してください。TLS 1.1またはTLS 1.2での接続に限定できます。
- 注※5
-
https接続で,チェーンしたCAで発行されたSSLサーバ証明書を使用する場合に必要なディレクティブです。必要に応じて行頭の「#」を削除して有効にします。
- ポイント
-
共通コンポーネントのインストール先フォルダ以下のフォルダに限らず,httpsd.confファイルまたはuser_httpsd.confファイル内で格納先に指定した任意のフォルダに,SSLサーバ証明書ファイルおよび秘密鍵ファイルは格納できます。なお,指定するフォルダにはジャンクションやシンボリックリンクを含めないでください。
-
-
SSLCertificateFileディレクティブにはSSLサーバ証明書ファイルの格納先を絶対パスで指定します。
SSLサーバ証明書ファイルをhttpsd.confファイルまたはuser_httpsd.confファイルのSSLCertificateFileディレクティブで指定したパスに格納します。
-
SSLCertificateKeyFileディレクティブには秘密鍵ファイルの格納先を絶対パスで指定します。
秘密鍵ファイルをhttpsd.confファイルまたはuser_httpsd.confファイルのSSLCertificateKeyFiledディレクティブで指定したパスに格納します。
-
チェーンしたCAで発行されたSSLサーバ証明書ファイルを使用する場合,SSLCACertificateFileディレクティブにチェーンCAの証明書ファイルの格納先を絶対パスで指定します。
-
Windowsの場合,hcmdsfwcancelコマンドを実行して,ファイアウォールの例外登録をします。
Linuxの場合,OSで決められた手順に従って例外登録をします。手順の詳細については,OSのドキュメントを参照してください。
-
JP1/AOのサービスを開始します。
- 非クラスタシステムの場合
-
hcmdssrvコマンドまたはhcmds64srvコマンドにstartオプションを指定して実行します。
- クラスタシステムの場合
-
クラスタソフトを使用してサービスをオンラインにします。
-
WebブラウザーからJP1/AOサーバへ接続するURL情報を更新します。
hcmdschgurlコマンドまたはhcmds64chgurlコマンドを実行して,URL情報を更新します。
SSLサーバ証明書にホスト名を指定しているときはホスト名を,IPアドレスを指定しているときはIPアドレスをURLに指定します。
関連トピック
-
マニュアル「JP1/Base 運用ガイド」−「JP1/Baseを起動および終了する」のトピック
-
マニュアル「JP1/AO 運用ガイド」−「JP1/AO にログインする手順」のトピック
-
マニュアル「JP1/AO 運用ガイド」−「保守とメンテナンス」のトピック