以下の図を元に、①~④のSSL通信の利用が必要であるかを確認してください。
① SSL利用は選択可能(SSL通信を利用しない方法は、注意を参照してください。)
②
SSL必須(impshputtruststoreコマンドで-entrustオプションを指定)
③
SSL必須(impshputtruststoreコマンドで-geotrustオプションを指定)
④
SSL必須(impshputtruststoreコマンドで-impushtrustオプションを指定)
①でSSLを選択するとログ回収、アプリ管理、認証、プロパティ管理、プッシュ通知において、端末とIMAPSサーバとの間、および業務サーバとIMAPSサーバとの間の通信がSSLとなります。
①のSSL通信設定は、「1.
上記の図の①でSSL通信を利用する場合には、証明書の作成および登録を行ってください。」の作業により設定されます。
②~④のSSL通信設定は、「5. プッシュ通知機能を使用する場合は、impshputtruststoreコマンドの実行が必須です
。」の作業により設定されます。
-
上記の図の①でSSL通信を利用する場合には、証明書の作成および登録を行ってください。
SSL 環境でWebサーバのプロセスを設定するユーザーをOS提供のコマンドで 作成します。
IMAPSの証明書環境には、以下の2種類があります。用途によって、どちらかを作成してください。
- テスト用サイト証明書による証明書環境の作成
- 以下を実行して証明書環境の作成を行います。
imstopservice
imcreatetestenv
imstartservice
参考
imcreatetestenvコマンドを実行することにより、IMAPSクライアントで利用できる自己署名証明書が生成されます。詳細は
"運用ガイド"の
"コマンドリファレンス"を参照してください。
- 運用向け証明書環境の作成
- 証明書/鍵管理環境の作成をします。
作成例は、C.2 証明書、秘密鍵の作成を参照してください。
- 秘密鍵の作成と証明書を取得します。
作成例は、C.2 証明書、秘密鍵の作成を参照してください。
- 証明書とCRLを登録します。
作成例は、C.2 証明書、秘密鍵の作成を参照してください。
- WebサーバにSSL環境のセットアップを行います。
- ユーザー PINをユーザーPIN管理ファイルに登録します。
以下、登録例を示します。
ユーザーPIN(対話入力)を暗号化し、ユーザーPIN管理ファイル(d:\sslenv\upinfile)に登録する場合
imihsregistupin -f d:\sslenv\upinfile -d d:\sslenv\slot
注意
セキュリティ対策のため、
エクスプローラのファイルプロパティを使用して、以下の手順でユーザーPIN管理ファイルのアクセス権限を変更することを推奨します。
- エクスプローラを起動します。
- ユーザーPIN管理ファイルを選択して右クリックします。
-
[プロパティ]をクリックします。
-
[セキュリティ]タブをクリックします。
-
プロパティの[セキュリティ]画面で、以下のグループ以外の[アクセス許可]設定に[拒否]を選択し、[OK]ボタンをクリックします。
- 環境定義ファイル(httpd.conf)を設定します。
以下のような設定でSSL運用を行う場合
| サーバ管理者のEmailアドレス
|
webmaster@main.example.com
|
| サーバのホスト名
|
main.example.com
|
| 証明書/鍵管理環境ディレクトリ
|
d:\sslenv
|
| トークンラベル
|
Token01
|
| ユーザーPIN管理ファイル
|
d:\sslenv\upinfile
|
| サイト証明書のニックネーム
|
SiteCert
|
| クライアントCA証明書のニックネーム
|
なし
|
以下、設定例を示します。
imstopservice
imcreatesslenv -token Token01 -userpin d:\sslenv\upinfile -envdir d:\sslenv -nns SiteCert
imstartservice
-
初期設定では、IMAPS
DB(製品同梱のデータベース)を使用した認証のセットアップが行われます。初期設定からカスタマイズする場合、またはIMAPS
DB(製品同梱のデータベース)以外の認証方法を利用する場合は、"運用ガイド"の"ユーザー認証機能
"を参照してください。
ポイント
セットアップされた値は、imadmin auth
showコマンドで確認できます。imadmin auth
showについては、
"運用ガイド"の
"コマンドリファレンス"を参照してください。
-
IMAPSサーバアプリケーションでのアプリケーションの運用開始については、
"運用ガイド"の"IMAPSサーバアプリの運用開始"を参照してください。
-
セキュリティ対策として以下を実施してください。
-
プッシュ通知機能を使用する場合は、impshputtruststoreコマンドの実行が必須です。
GCM(Google Cloud Messaging for Android), APNs(Apple Push
Notification Service)を利用する場合、以下の認証局から証明書ファイルを取得します。
(※1) 2014/07/01 現在のファイル名であり、変更される可能性があります。
IMAPSサーバ機能を停止し、以下のコマンドを実行後、再度、IMAPSサーバ機能を起動します。
証明書がC:\tmp\geotrust.cer、C:\tmp\entrust.cer にある場合
imstopapplication
impshputtruststore -geotrust C:\tmp\geotrust.cer -entrust C:\tmp\entrust.cer -impushtrust
imstartapplication
コマンド実行後、アプリケーションの再起動を行ってください。
注意
開発環境などでSSL環境を使用しない場合は、以下の設定をしてください。
- 以下のサンプルを参考に、cookie-secureの値を変更した認証定義ファイルを作成します。
<製品インストールフォルダー>\bin\conf\sample\db\authdef.properties
- 以下のコマンドを実行します。
imadmin auth set -file <認証定義ファイル>
- IMAPSサーバ機能を再起動します。
imstopapplication
imstartapplication
- 本番環境やSSL環境に戻すときには、忘れずに認証定義ファイルの値を変更してください。
