SSL通信の設定手順(HTTPS通信の有効化)
作成日:2016年12月29日 | 更新日:2026年1月8日
本ナレッジでは、ADSelfService PlusでSSL通信を有効化するための手順をご案内いたします。
※こちらの手順はビルド6517をもとに解説します。
※本ナレッジは、本社ドキュメント(Installing SSL Certificates for ADSelfService Plus)をもとに作成した手順です。
設定の流れ
ステップ1:HTTPSを有効化する
- 管理者としてADSelfService Plusにログインします。
- [管理]タブ→[製品設定]→[接続]→[接続設定]に移動します。
- 「ADSelfService Plus ポート[https]」にチェックを付けます。
- 任意のポート番号を入力します。※デフォルトでは、「9251」です。
- [保存]をクリックします。
ステップ2:CSRを作成する
※既にSSL証明書をお持ちの場合は、ステップ4へスキップしてください。
- 管理者としてADSelfService Plusにログインし、[管理]タブ→[製品設定]→[接続]→[接続設定]に移動します。
- [SSL証明書の適用]をクリックします。
- 「証明書を生成」を選択します。
- 下記の表を参考に、CSRの生成に必要な内容を入力します。
項目名 入力する値 共通名 ADSelfService Plusが稼働しているサーバー名 SANの名前 関連付ける追加のホスト名など 組織ユニット 証明書に含める部署名 組織 組織の正式名称 市 組織所在地の市区町村 都道府県・州 組織所在地の都道府県 国番号 組織が属する国の2桁の番号(日本の場合:JP) パスワード 最低6文字以上のパスワード(※証明書の適用時に使用します) 有効期限(日) 証明書の有効期限を設定
(指定しない場合はデフォルトで90日に指定されます)公開鍵の長さ(ビット数) 公開鍵の長さを指定可能
(デフォルトのサイズ:1024ビット、64の倍数ごとにのみサイズを変更可能)
図:入力内容の例
- 必要な情報を入力後、[CSRを生成]を クリックします。
[CSRを生成]を クリックすると、以下のファイルがインストールディレクトリ内に作成されます。
作成されるファイル 作成されるファイルの場所 SelfService.csr C:\ManageEngine\ADSelfService Plus\webapps\adssp\certificates
ステップ3:署名を申請する
ステップ2で作成したCSR(SelfService.csrファイル)を任意の認証局に提出します。
ステップ4:SSL証明書をADSelfService Plusに適用する
証明書の適用方法は2通りあります。
ADSelfService Plus管理ポータルから適用する方法
- ADSelfService Plusに管理者としてログインし、[管理]タブ→[製品設定]→[接続]→[接続設定]に移動します。
- [SSL証明書の適用]をクリックします。
- 「証明書を適用」を選択します。
- 「証明書ファイルをアップロード」の[参照]をクリックし、ステップでCAに署名された証明書を選択します。
- ステップ2で入力したパスワードを「証明書のパスワード」に入力します。
- [適用]をクリックします。
手動で適用する方法
【前提条件】
- CAから受け取った証明書バンドルがPFX形式でない場合は、証明書ファイルを秘密鍵とともにPFXファイルに変換してください。
【適用手順】
- 次のバックアップを取得します。
- バックアップするファイル: server.keystore, SelfService.p12, server.xml, web.xml
ファイルのパス:<ADSelfService Plus_インストールディレクトリ>\conf
- バックアップするファイル: server.keystore, SelfService.p12, server.xml, web.xml
- PFX証明書ファイル(例 cert.pfx)ファイルをコピーし、<ADSelfService Plus_インストールディレクトリ>\confへ貼り付けます。
- テキストエディターで、confフォルダーにあるserver.xmlファイルを開きます。
- ファイルの最後の行までスクロールし、以下のconnectorタグがあることを確認します。
<Connector SSLEnabled="true" …… > - connectorタグ内の以下のキーを次の通り編集します。
- keystoreFileの値を./conf/cert.pfxに置き替えます。
- keystorePassの値を、ステップ2(CSRの作成時)に入力したパスワードに置き換えます。
-----------------------------------------------------------------------------------------------------------------
【例】
<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
connectionTimeout="20000" debug="0" disableUploadTimeout="true"
enableLookups="false" keystoreFile="./conf/「証明書の名前」.pfx
keystorePass="「ステップ2で入力したパスワード」"
keystoreType=PKCS12 maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" name="SSL" port="9251" scheme="https" secure="true"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>
-----------------------------------------------------------------------------------------------------------------
- ファイルを上書き保存します。
- ADSelfService Plusを再起動します。
補足
1.証明書のフォーマットを変換する方法
- certificate.cerファイルをダブルクリックし、証明書を開きます。
- 「詳細」タブ→[ファイルにコピー]をクリックします。
- 証明書のエクスポートウィザードが開始されるため、[次へ]をクリックします。
- エクスポートファイルの形式で、「Cryptographic Message Syntax Standard - PKCS # 証明書(.P7B)(C)」を選択し、
「証明のパスにある証明書を可能であればすべて含む(I)」にチェックを入れ、[次へ]をクリックします。
- [参照]をクリックし、保存先とP7Bファイル名を指定します。
- [完了]をクリックします。
MFAを保護する目的でSSL証明書をインストールする場合
マシン、VPN、OWA、およびクラウド アプリケーションのMFAを保護する目的でSSL証明書をインストールする場合、ADSelfService Plusの[アクセスURLを設定]に設定するプロトコルをHTTPSに設定する必要があります。
次の手順を参照ください。
- ADSelfService Plusに管理者としてログインし、[管理]タブ→[製品設定]→[接続]→[接続設定]に移動します。
- 画面右上にある[アクセスURLを設定]をクリック
- 「サーバー名」にADSelfService Plusがインストールされているサーバー名を入力します。
- 「プロトコル」で「HTTPS」を選択します。
- 「ポート」にステップ1で入力したポート番号と同じ値を入力します。
- [保存]をクリックします。
自己証明書の適用※非推奨
- ステップ2の手順4と同様に必要な項目を入力します。
- [自己証明書を適用して生成してください]をクリックします。
- [services.msc]にてADSelfService Plusを再起動します。
トラブルシューティング
■「予期しないエラーが発生しました」というエラーメッセージが表示される
このエラーは、証明書がAES方式で暗号化されたPFX形式であり、かつ証明書署名要求(CSR)がADSelfService Plus管理ポータルではなく、サードパーティのアプリケーションやWebサーバーによって生成された場合に発生します。
対処法
証明書をWindows証明書マネージャにインポートし、その後プライベートキーと一緒にエクスポートします。デフォルトでは、Windowsは証明書をTripleDES-SHA1暗号化で暗号化します。この形式はADSelfService Plusが正常に受け入れることができる形式です。