付録A.5 外部システム連携構成でHTTPSを使用する場合の環境構築
ここでは、外部システム連携構成でHTTPS接続を使用する場合の環境構築およびコマンドについて説明します。
- 〈この項の構成〉
(1) 環境構築の流れ
外部システム連携構成で、HTTPS接続を使用する場合に必要な手順について説明します。
管理用サーバのSSL通信用証明書の取得
管理用サーバのSSL通信用証明書(ルート証明書およびSSLサーバ証明書)は、証明書発行機関から取得します。
管理用サーバのSSL通信用証明書を取得する流れを次に示します。
-
Webサーバの秘密鍵を作成する。(openssl.bat genrsaコマンド)
-
証明書発行要求(CSR)を作成する。(openssl.bat reqコマンド)
-
証明書発行要求(CSR)の内容を表示する。(openssl.bat reqコマンド)
必要に応じて証明書発行要求(CSR)の内容を確認します。
-
証明書発行要求(CSR)を認証局(CA)に提出する。
-
認証局(CA)から署名済みの証明書を取得する。
- ヒント
-
取得した証明書の内容はopenssl.bat x509コマンドで確認できます。
- ヒント
-
取得した証明書の"-----BEGINCERTIFICATE-----"から、"-----END CERTIFICATE----"の部分をhttpsd.pemファイルに保存します。
関連リンク
管理用サーバのセットアップ
-
Administrator権限を持つユーザーでOSにログオンする。
-
管理用サーバのJP1/IT Desktop Management 2のサービスを停止する。
次のコマンドを実行します。
stopservice
コマンドの詳細は、マニュアル「JP1/IT Desktop Management 2 運用ガイド」を参照してください。
-
SSLサーバ証明書および秘密鍵を管理用サーバの次のフォルダに格納する。
JP1/IT Desktop Management 2 - Managerのインストールフォルダ\mgr\uCPSB\httpsd\conf\ssl\server
格納するファイルを次に示します。
-
SSLサーバ証明書ファイル:httpsd.pem
-
秘密鍵ファイル:httpsdkey.pem
- メモ
-
HTTPS接続の設定からHTTP接続の設定に変更する場合、格納したSSLサーバ証明書および秘密鍵を削除してください。
-
-
コンフィグレーションファイルに設定を追加する。
コンフィグレーションファイル(jdn_manager_config.conf)の格納先は次のとおりです。
JP1/IT Desktop Management 2 - Managerのインストールフォルダ\mgr\conf
コンフィグレーションファイルに「RestAPIProtocol=1」の行を追加してください。
- メモ
-
HTTPS接続の設定からHTTP接続の設定に変更する場合、コンフィグレーションファイルの「RestAPIProtocol=1」の行を「RestAPIProtocol=0」に変更してください。追加したRestAPIProtocolの行は削除しないでください。
-
Windowsの[スタート]メニューから[すべてのプログラム]−[JP1_IT Desktop Management 2 - Manager]−[ツール]−[セットアップ]を選択する。
-
セットアップ画面で[次へ]ボタンをクリックする。
-
[セットアップの選択]画面で、[設定変更]を選択して[次へ]ボタンをクリックする。
-
[APIの設定]画面が表示されるまで、[次へ]ボタンをクリックする。
-
[APIを使用する]をチェックする。
-
[次へ]ボタンをクリックする。
-
[セットアップの確認]画面が表示されるまで、[次へ]ボタンをクリックする。
-
[セットアップの確認]画面で設定内容を確認して、[次へ]ボタンをクリックする。
リモートインストールマネージャ、JP1/IT Desktop Management 2 - Asset Consoleの停止を確認するダイアログが表示されます。確認したあとに、[OK]ボタンをクリックしてください。クラスタシステム構成の場合は、ダイアログに表示されたサービスに関連づけされたクラスタリソースをオフラインにしたあとに、[OK]ボタンをクリックしてください。
-
[リモートインストールマネージャを使用した配布のセットアップ]画面で、[OK]ボタンをクリックする。
セットアップが開始され、処理中を示すダイアログが表示されます。セットアップが終了すると、[セットアップを終了します]画面が表示されます。
- 重要
-
手順13で「サービスの開始に失敗しました。サービス名=JP1_ITDM2_Web Server」のダイアログが表示された場合、[OK]ボタンをクリックしてダイアログを閉じ、セットアップを完了させてください。次に手順3のSSLサーバ証明書ファイルおよび秘密鍵ファイルを見直して、JP1_ITDM2_Web Serverのサービスを直接起動してください。また、「セットアップ中にエラーが発生しました。」のダイアログが表示される場合は、手順4のRestAPIProtocolの設定値が正しく設定されていることを確認してください。
-
[セットアップを終了します]画面で、[OK]ボタンをクリックする。
- メモ
-
クラスタシステムの場合は、現用系サーバおよび待機系サーバに設定してください。
(2) SSL通信用証明書の取得に使用するコマンド
SSL通信用証明書の取得に使用するコマンドについて説明します。
コマンドは次のフォルダに格納されています。
JP1/IT Desktop Management 2 - Managerのインストールフォルダ\mgr\uCPSB\httpsd\bin
(a) Webサーバの秘密鍵の作成(openssl.bat genrsa)
機能
Webサーバの秘密鍵を作成します。
形式
openssl.bat△genrsa△-rand△ファイル名[:ファイル名...]△-out△鍵ファイル△[512|1024|2048|4096]
オペランド
- -rand△ファイル名[:ファイル名...]
-
乱数生成に利用する任意のファイルを指定します。
- -out△鍵ファイル
-
Webサーバの秘密鍵を出力するファイルを指定します。
- 512|1024|2048|4096
-
作成するWebサーバの秘密鍵のビット長を指定します。このオペランドを省略した場合、「2048」が仮定されます。
注意事項
3文字以下のパスワードを入力した場合、4文字以上1,023文字以下の入力を促すメッセージが出力されますが、このバージョンでは4文字以上64文字以下でパスワードを入力してください。なお、パスワード入力時に65文字以上入力した場合でもエラーになりません。
使用例
Webサーバの秘密鍵httpsdkey.pemを作成する場合の使用例を次に示します。
openssl.bat genrsa -rand C:\WINNT\NOTEPAD.EXE -out httpsdkey.pem 2048
関連リンク
(b) 証明書発行要求(CSR)の作成(openssl.bat req)
機能
証明書発行要求(CSR)を作成します。ここで作成したCSRファイルを認証局(CA)に提出して、署名済みの証明書を発行してもらいます。CSRは、PKCS#10に準拠した形式で作成されます。
形式
openssl.bat△req△-new△-sha256△-key△鍵ファイル△-out△CSRファイル
オペランド
- -sha256
-
CSR作成時の署名アルゴリズムとして、sha256WithRSAEncryptionを使用することを指定します。
- -key△鍵ファイル
-
Webサーバの秘密鍵のファイルを指定します。
- -out△CSRファイル
-
作成したCSRを出力するファイルを指定します。
使用例
Webサーバの秘密鍵httpsdkey.pemを使用して証明書発行要求(CSR)を作成する場合の使用例を次に示します。
openssl.bat req -new -sha256 -key httpsdkey.pem -out httpsd.csr
Webサーバの秘密鍵作成時にパスワードを設定した場合は、パスワードの入力要求があります。また、設定する項目については証明書発行要求(CSR)を提出する認証局(CA)の指示に従ってください。
(c) 証明書発行要求(CSR)の内容表示(openssl.bat req)
機能
証明書発行要求(CSR)の内容を表示します。
形式
openssl.bat△req△-in△CSRファイル△-text
オペランド
- -in△CSRファイル
-
表示するCSRファイルを指定します。
使用例
証明書発行要求httpsd.csrを表示する場合の使用例を次に示します。
openssl.bat req -in httpsd.csr -text
(d) 証明書の内容表示(openssl.bat x509)
機能
証明書ファイルの内容を表示します。"-----BEGIN CERTIFICATE-----"から、"-----END CERTIFICATE----"の証明書ファイルの内容を表示します。
形式
openssl.bat△x509△-in△証明書ファイル△-text
オペランド
- -in△証明書ファイル
-
表示する証明書ファイルを指定します。
使用例
証明書httpsd.pemを表示する場合の使用例を次に示します。
openssl.bat x509 -in httpsd.pem -text
(e) 証明書の形式変換(openssl.bat x509)
機能
証明書の形式を変換します。必要に応じて使用します。
形式
openssl.bat△x509△-inform△入力形式△-outform△出力形式△-in△入力ファイル△-out△出力ファイル
オペランド
- -inform△入力形式
-
変換前の証明書ファイルの入力形式を指定します。指定できる入力形式は次のとおりです。
-
DER
-
PEM
-
- -outform△出力形式
-
変換後の証明書ファイルの出力形式を指定します。指定できる出力形式は次のとおりです。
-
DER
-
PEM
-
- -in△入力ファイル
-
変換前の証明書ファイルを指定します。
- -out△出力ファイル
-
変換後の証明書ファイルを指定します。