本章では、本製品で使用するHTTPS通信のセキュリティについて説明します。
本製品は、Webブラウザ(クライアント)と運用管理サーバ間でHTTPS通信を行っており、通信データの暗号化と相互認証のために証 明書を利用します。
製品のインストール時は、自己署名証明書が利用されるようになっています。
ファイアーウォールによって保護されたイントラネットなど、なりすましの危険がない通信相手を信頼できるネットワークでは、自己署名 証明書を利用しても問題ありませんが、Webブラウザでは、インターネットでの利用を想定した以下の警告が表示されます。
・ Webブラウザを起動したあと、最初に接続する際に、セキュリティ証明書に関する警告が表示される。
・ Internet Explorerでは、アドレスバーの背景が赤くなり、アドレスバーの右側に「証明書のエラー」と表示される。また、ステータスバー
にフィッシング詐欺検出機能の警告アイコンが表示される。
これらの警告が表示されないようにするには、URLに指定する運用管理サーバのIPアドレスまたはホスト名(FQDN)に対応した証明書 を作成し、Webブラウザにインポートする必要があります。
5.1 証明書の作成手順
製品インストール時は、「localhost」に対応した証明書が作成されています。
なお、運用管理サーバとWebブラウザ(クライアント)を動作させるサーバを兼用する場合は、証明書の作成は不要です。
運用管理サーバ以外の端末でWebブラウザ(クライアント)を利用する場合は、運用管理サーバにおいて、以下の手順で証明書を作成 してください。
Windows環境の場合
1.
以下のサービスを停止します。- ETERNUS SF Manager Apache Service
- ETERNUS SF Manager Tomcat Service
[コントロールパネル]-[管理ツール]-[サービス]で「サービス」画面を開き、該当するサービスを停止させてください。
2.
コマンドプロンプトを開き、<ETERNUS SF Managerのインストールディレクトリ>\Common\sys\apache\confフォルダに移動しま す。例
ETERNUS SF Managerを「C:\ETERNUS_SF」にインストールした場合
>cd "C:\ETERNUS_SF\Common\sys\apache\conf" <RETURN>
3.
オリジナルの定義ファイルを退避します。例
>copy server.crt server.crt.org <RETURN>
>copy server.key server.key.org <RETURN>
4.
opensslコマンドを実行し、証明書を作成します。例
運用管理サーバのIPアドレスが192.168.1.1、証明書の有効期間を約20年(-days 7300)に設定する場合
>..\bin\openssl.exe req sha256 new x509 nodes newkey rsa:2048 out server.crt keyout server.key days 7300 -config openssl.cnf <RETURN>
Loading 'screen' into random state - done Generating a 2048 bit RSA private key
...
...+++
...+++
writing new private key to 'server.key'
---You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank For some fields there will be a default value,
If you enter '.', the field will be left blank.
---Country Name (2 letter code) [JP]:<RETURN>
State or Province Name (full name) [KANAGAWA]:<RETURN>
Locality Name (eg, city) [Kawasaki-si]:<RETURN>
Organization Name (eg, company) [FUJITSU LIMITED]:<RETURN>
Organizational Unit Name (eg, section) []:<RETURN>
Common Name (eg, YOUR name) []:192.168.1.1<RETURN>
Email Address []:<RETURN>
オプション -days
証明書の有効期限(日数)を指定します。
コマンド実行日から数えて、有効期限が2038年1月19日を超えない範囲で、本製品の使用が予想される期間よりも十分 に長い日数を指定してください。
入力項目
入力項目 説明 デフォルト値
Country Name 2文字の国コード(ISO-3166) JP
State or Province Name 運用管理サーバの所在地の都道府県名を指定します。 KANAGAWA
Locality Name 運用管理サーバの所在地の市区町村名を指定します。 Kawasaki-si
Organization Name 組織、会社名を指定します。 FUJITSU
LIMITED
Organizational Unit Name 申請部署名を指定します。 なし(空欄)
Common Name Webブラウザに入力するIPアドレスまたはホスト名(FQDN)
を指定します。入力必須項目です。
以下は指定例です。
・ IPアドレス指定の場合 192.168.1.1
・ ホスト名指定の場合 myhost.company.com
なし(空欄)
Email Address 連絡用メールアドレス なし(空欄)
注: 何も入力せずに<RETURN>キーを押した場合は、デフォルト値が使用されます。
5.
以下のサービスを起動します。- ETERNUS SF Manager Apache Service
- ETERNUS SF Manager Tomcat Service
[コントロールパネル]-[管理ツール]-[サービス]で「サービス」画面を開き、該当するサービスを起動させてください。
Solaris環境またはLinux環境の場合
1.
運用管理サーバに、管理者権限でログインします。2.
以下のコマンドを実行して、Webサービスに関するデーモンを停止します。# /opt/FJSVesfcm/bin/stop-webservice.sh <RETURN>
3.
/etc/opt/FJSVesfcm/conf/apacheディレクトリに移動します。# cd /etc/opt/FJSVesfcm/conf/apache <RETURN>
4.
オリジナルの定義ファイルを退避します。例
# cp server.crt server.crt.org <RETURN>
# cp server.key server.key.org <RETURN>
5.
opensslコマンドを実行し、証明書を作成します。例
運用管理サーバのIPアドレスが192.168.1.1、証明書の有効期間を約20年(-days 7300)に設定する場合
# /opt/FJSVesfcm/SSL/bin/openssl req -sha256 -new -x509 -nodes -newkey rsa:2048 -out server.crt -keyout server.key -days 7300 -config openssl.cnf <RETURN>
Loading 'screen' into random state - done Generating a 2048 bit RSA private key
...
...+++
...+++
writing new private key to 'server.key'
---You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank For some fields there will be a default value,
If you enter '.', the field will be left blank.
---Country Name (2 letter code) [JP]:<RETURN>
State or Province Name (full name) [KANAGAWA]:<RETURN>
Locality Name (eg, city) [Kawasaki-si]:<RETURN>
Organization Name (eg, company) [FUJITSU LIMITED]:<RETURN>
Organizational Unit Name (eg, section) []:<RETURN>
Common Name (eg, YOUR name) []:192.168.1.1<RETURN>
Email Address []:<RETURN>
オプション -days
証明書の有効期限(日数)を指定します。
コマンド実行日から数えて、有効期限が2038年1月19日を超えない範囲で、本製品の使用が予想される期間よりも十分 に長い日数を指定してください。
入力項目
入力項目 説明 デフォルト値
Country Name 2文字の国コード(ISO-3166) JP
入力項目 説明 デフォルト値
State or Province Name 運用管理サーバの所在地の都道府県名を指定します。 KANAGAWA
Locality Name 運用管理サーバの所在地の市区町村名を指定します。 Kawasaki-si
Organization Name 組織、会社名を指定します。 FUJITSU
LIMITED
Organizational Unit Name 申請部署名を指定します。 なし(空欄)
Common Name Webブラウザに入力するIPアドレスまたはホスト名(FQDN)
を指定します。
入力必須項目です。
以下は指定例です。
・ IPアドレス指定の場合
192.168.1.1
・ ホスト名指定の場合 myhost.company.com
なし(空欄)
Email Address 連絡用メールアドレス なし(空欄)
注: 何も入力せずに<RETURN>キーを押した場合は、デフォルト値が使用されます。
6.
以下のコマンドを実行して、Webサービスに関するデーモンを再起動します。# /opt/FJSVesfcm/bin/start-webservice.sh <RETURN>
5.2 証明書のインポート手順
以下の手順に従って、Webブラウザに証明書をインポートしてください。
注意
Webブラウザに指定するURLには、証明書の作成時に「Common Name」に指定したIPアドレスまたはホスト名(FQDN)を入力してくだ さい。例えば、以下のように証明書と異なるURLを入力した場合は、証明書の警告が表示されます。
・ ホスト名(FQDN)で作成した証明書に対して、IPアドレスを指定したURLでアクセスした場合
・ 運用管理サーバに複数のIPアドレスが存在し、証明書に指定したものと異なるIPアドレスを指定したURLでアクセスした場合
Internet Explorer 8、Internet Explorer 9の場合
1.
Webブラウザのアドレスバーに、証明書作成時に「Common Name」に指定したIPアドレスまたはホスト名(FQDN)を入力します。なお、運用管理サーバとWebブラウザ(クライアント)を動作させるサーバを兼用している場合は、「localhost」を入力します。
例
- IPアドレス(192.168.1.1)を入力する場合
https://192.168.1.1:9855/
- 「localhost」を入力する場合 https://localhost:9855/
2.
「このWebサイトのセキュリティ証明書には問題があります。」の画面が表示されるため、「このサイトの閲覧を続行する(推奨され ません)。」をクリックしてください。3.
アドレスバーの右端の「証明書のエラー」をクリックします。4.
吹き出し下部の「証明書の表示」をクリックします。5.
[証明書]ダイアログで、「証明書のインストール」をクリックします。6.
[証明書のインポートウィザード]ダイアログで、[次へ]ボタンをクリックします。7.
「証明書をすべて次のストアに配置する」を選択し、[参照]ボタンをクリックします。8.
[証明書ストアの選択]画面で、「信頼されたルート証明機関」を選択し、[OK]ボタンをクリックします。9.
「証明書ストア:」欄に「信頼されたルート証明機関」が表示されているのを確認して、[次へ]ボタンをクリックします。10.
「ユーザが選択した証明書ストア」に「信頼されたルート証明機関」が指定されていることを確認して、[完了]ボタンをクリックしま す。11.
[セキュリティ警告]ポップアップで、[はい]ボタンをクリックします。12.
Webブラウザを再起動して、アドレスバーに運用管理サーバのURLを入力します。Firefox 3.6の場合
1.
Webブラウザのアドレスバーに、証明書作成時に「Common Name」に指定したIPアドレスまたはホスト名(FQDN)を入力します。なお、運用管理サーバとWebブラウザ(クライアント)を動作させるサーバを兼用している場合は、「localhost」を入力します。
例
- IPアドレス(192.168.1.1)を入力する場合
https://192.168.1.1:9855/
- 「localhost」を入力する場合
https://localhost:9855/