SSL通信の設定手順
作成日:2016年12月29日 | 更新日:2021年3月1日
本ナレッジでは、ADSelfService PlusでSSL通信を有効化するための手順をご案内いたします。
※こちらの手順はビルド5813で行った手順になります。
設定の流れ
ステップ1:HTTPSを有効化する
ステップ2:CSRを作成する
ステップ3:署名を申請する
ステップ4:各証明書のタイプごとに、証明書をADSelfService Plusに適用する
補足:証明書のフォーマットを変換する方法
ステップ1:HTTPSを有効化する
※既にSSL証明書をお持ちの場合は、ステップ4へスキップしてください。
1. 管理者としてログイン後、[管理]タブ-->[製品設定]-->[接続]-->[SSL ポートの有効化[https]]にチェックを付けます。
2. [保存]をクリックします。
ステップ2:CSRを作成する
1. 管理者ポータルにログインし、[管理]タブ-->[製品設定]-->[接続]-->[SSL認証ツール]をクリックします。
2. 必要な項目を入力します。詳細はこちらをご参照ください。
項目名 | 入力する値 |
一般名 | ADSelfService Plusが稼働しているサーバー名 |
SAN名 | 関連付ける追加のホスト名など |
所属組織 | 証明書に含める部署名 |
組織 | 組織の正式名称 |
市区町村 | 組織所在地の市区町村 |
都道府県 | 組織所在地の都道府県 |
国番号 | 組織が属する国の2桁の番号(日本の場合:JP) |
パスワード | 最低6文字以上のパスワード(※証明書のインストール時に使用します) |
有効期限 | 証明書の有効期限を設定可能 (指定しない場合はデフォルトで90日に指定されます) |
公開鍵の長さ(ビット数) | 公開鍵の長さを指定可能 (デフォルトのサイズ:1024ビット、64の倍数ごとにのみサイズを増加可能) |
3. 必要な情報を入力後、[CSRを生成]を クリックします。
ステップ3:署名を申請する
ステップ2で作成したCSR(SelfService.csrファイル)を認証局に提出します。
※「CSRを生成」を クリックしますと、以下2つのファイルが作成されます。
作成されるファイル | 作成されるファイルの場所 |
SelfService.csr | C:\ManageEngine\ADSelfService Plus\webapps\adssp\certificates |
SelfService.keystore | C:\ManageEngine\ADSelfService Plus>\jre\bin |
ステップ4:各証明書のタイプごとに、証明書をADSelfService Plusに適用する
・シングルドメインの証明書をご利用の場合
・マルチドメインの証明書またはワイルドカード証明書をご利用の場合
<シングルドメインの証明書をご利用の場合>
前提条件:証明書がCER、CRT、PEM、またはその他の形式の場合は、P7B形式に変換してください。
(P7B形式への変換方法はこちら)
1. 次のバックアップを取得します。
・バックアップするファイル: server.keystore, SelfService.p12, server.xml, web.xml
・上記ファイルがある場所 <ADSelfService Plus_インストールディレクトリ>\conf
(デフォルトの場所 C:\ManageEngine\ADSelfService Plus\conf)
2. P7B証明書ファイル(例 cert.P7B)をコピーし、
<ADSelfService Plus_インストールディレクトリ>\jre\binへ貼り付けます。
(デフォルトの場所 C:\ManageEngine\ADSelfService Plus\jre\bin)
3. 管理者としてコマンドプロンプトを起動し、<ADSelfService Plus_インストールディレクトリ>\jre\binへ移動します。
4. 次のコマンドを実行します。※cert.p7bの部分に、P7B証明書ファイル名を入力してください。
keytool -import -alias tomcat -trustcacerts -file cert.p7b -keystore SelfService.keystore
5. SelfService.keystoreをコピーし、<ADSelfService Plus_インストールディレクトリ>\confへ貼り付けます。
6. テキストエディターで、confフォルダー内のserver.xmlファイルを開きます。
ファイルの最後の行までスクロールし、以下のconnectorタグがあることを確認します。
7. 以下のように、connectorタグ内の値を変更します。
7-1. 「keystoreFile」の値を./conf/SelfService.keystoreに置き換えます。
7-2. 「keystorePass」の値を、CSRの作成時に使用したパスワードに置き換えます。
7-3. keystoreType=PKCS12のプロパティを削除します。
※keystoreTypeプロパティは、ビルド5701以降にのみConnectorタグに表示されます。
ビルド5701より前のビルドをご利用の場合は、7-3の手順をスキップしてください。
----------------------------------------------------------------------------
例:
<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
connectionTimeout="20000" debug="0" disableUploadTimeout="true"
enableLookups="false" keystoreFile="./conf/SelfService.keystore"
keystorePass="********" maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" name="SSL" port="9251" scheme="https" secure="true"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>
----------------------------------------------------------------------------
8. ADSelfService Plusを再起動し、正常にADSelfService Plusへログイン可能であることをご確認ください。
<マルチドメインの証明書/ワイルドカード証明書をご利用の場合>
前提条件:
・CAから受け取った証明書バンドルがPFX形式でない場合は、証明書ファイルを秘密鍵とともにPFXファイルに変換してください。
・ADSelfService Plusを使用してCSRを生成した場合は、SelfService.keystoreファイルをコピーし、
C:\ManageEngine\ADSelfService Plus\confに貼り付けてください。
1. 次のバックアップを取得します。
・バックアップするファイル: server.keystore, SelfService.p12, server.xml, web.xml
・上記ファイルがある場所 <ADSelfService Plus_インストールディレクトリ>\conf
(デフォルトの場所 C:\ManageEngine\ADSelfService Plus\conf)
2. PFX証明書ファイル(例 cert.pfx)ファイルをコピーし、<ADSelfService Plus_インストールディレクトリ>\confへ貼り付けます。
3. テキストエディターで、confフォルダーにあるserver.xmlファイルを右クリック-->[編集]を選択します。
ファイルの最後の行までスクロールし、以下のconnectorタグがあることを確認します。
4. 以下のように、connectorタグ内の値を編集します。
4-1. 「keystoreFile」の値を./conf/cert.pfxに置き替えます。
4-2. 「keystorePass」の値を、CSRの作成時に使用したパスワードに置き換えます。
----------------------------------------------------------------------------
例:
<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
connectionTimeout="20000" debug="0" disableUploadTimeout="true"
enableLookups="false" keystoreFile="./conf/cert.pfx keystorePass="********"
keystoreType=PKCS12 maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" name="SSL" port="9251" scheme="https" secure="true"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>
----------------------------------------------------------------------------
5. ADSelfService Plusを再起動し、正常にADSelfService Plusへログイン可能であることをご確認ください。
補足:証明書のフォーマットを変換する方法
1. certificate.cerファイルをダブルクリックします。
2. [詳細]タブ-->[ファイルにコピー]をクリックします。
3. 証明書のエクスポートウィザードが開始されますので、[次へ]をクリックします。
4. エクスポートファイルの形式で、「Cryptographic Message Syntax Standard - PKCS # 証明書(.P7B)(C)」を選択し、
「証明のパスにある証明書を可能であればすべて含む(I)」にチェックを入れ、[次へ]をクリックします。
5. [参照]をクリックし、保存先とP7Bファイル名を指定します。
6. [完了]をクリックします。