セキュリティで保護された接続をサポートする方法について説明します。

HTTPSやクライアント認証に利用する証明書をCA署名付き証明書に置き換える必要があります。置き換え済みかの判断として、「keystore」内の証明書を確認し、CA署名付き証明書に置き換わっていることを確認してください。

セットアップ時に「HTTPSを使用」または「HTTPSクライアント認証を使用」を指定すると、証明書を保存するための新しいサブディレクトリ「keystore」がWebAdmin Tomcatのインストールディレクトリに追加されます。

例:WebAdminが/opt/fsepv<x>webadminにインストールされている場合

Tomcatインストールディレクトリ (/opt/fsepv<x>webadmin/tomcat/)
├── bin
├── Building.txt
├── conf
├── CONTRIBUTING.md
├── keystore
│   ├── keystore.p12             → HTTPSの場合
│   ├── clientbrowser.p12        → クライアント認証の場合
│   ├── clientkeystore.p12       → クライアント認証の場合
│   ├── truststore.p12           → クライアント認証の場合
│   ├── clientkeystore.conf      → クライアント認証の場合
├── …

証明書は以下の手順で設定してください。

1. CA署名付き証明書の準備

証明書	概要
keystore.p12 (秘密鍵と公開鍵を含む)	HTTPS用のサーバ証明書を1つ準備します。 データの暗号化で使用されます。
clientbrowser.p12 (秘密鍵を含む)	ブラウザとサーバの間でブラウザを認証するためのクライアント証明書を準備します。 ユーザーのブラウザに登録されます。 証明書は、WebAdminにアクセスするクライアント(ブラウザ)の数だけ準備してください。
clientkeystore.p12 (秘密鍵を含む)	サーバ間の認証用のクライアント証明書を１つ準備します。 WebAdminが内部的に使用します。
truststore.p12 (clientbrowser.p12およびclientkeystore.p12)	すべてのクライアント証明書の公開鍵がインポートされたものです。

2. 証明書をkeystoreディレクトリに配置

シングルサーバ構成

1. keystore.p12、truststore.p12、および、clientkeystore.p12ファイルを「keystore」ディレクトリに配置します。

2. clientbrowser.p12をブラウザにインポートします。
   複数のクライアント(ブラウザ)を使用する場合は、各ブラウザに証明書をインポートしてください。

マルチサーバ構成

1. keystore.p12、truststore.p12、および、clientkeystore.p12ファイルを「keystore」ディレクトリに配置します。

2. clientbrowser.p12をブラウザにインポートします。
   複数のクライアント(ブラウザ)を使用する場合は、各ブラウザに証明書をインポートしてください。

3. clientkeystore.p12に含まれる秘密鍵に対応する公開鍵を、接続する他のサーバのtruststore.p12にインポートします。

3. server.xmlおよびclientkeystore.confファイル内の証明書情報の更新

• keystore.p12およびtruststore.p12

  keystore.p12およびtruststore.p12の情報をserver.xmlに反映します。

  server.xmlは、/opt/fsepv<x>webadmin/tomcat/conf配下に格納されています。

  HTTPSの場合

  keystorePassおよびkeyAlias属性に、keystore.p12に対するパスワードとエイリアスを設定します。

  server.xml (/opt/fsepv<x>webadmin/tomcat/conf)

  <Connector port="27515" sslProtocol="TLS"
      protocol="org.apache.coyote.http11.Http11NioProtocol"
      maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
      clientAuth="false" keystoreType="PKCS12"
      keystoreFile="/opt/fsepv<x>webadmin/tomcat/keystore/keystore.p12"
      keystorePass="password" keyAlias="alias" />

  HTTPSおよびクライアント認証の場合

  keystorePassおよびkeyAlias属性に、keystore.p12に対するパスワードとエイリアスを設定します。

  truststorePass属性に、truststore.p12に対するパスワードを設定します。

  server.xml (/opt/fsepv<x>webadmin/tomcat/conf)

  <Connector port="27515" sslProtocol="TLS"
      protocol="org.apache.coyote.http11.Http11NioProtocol"
      maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
      clientAuth="true" keystoreType="PKCS12"
      keystoreFile="/opt/fsepv<x>webadmin/tomcat/keystore/keystore.p12"
      keystorePass="password" keyAlias="alias" 
      truststoreType="PKCS12"
      truststoreFile="/opt/fsepv<x>webadmin/tomcat/keystore/truststore.p12"
      truststorePass="password" />

• clientkeystore.p12

  clientkeystore.p12の情報をclientkeystore.confに反映します。

  clientkeystore.confファイルはWebAdminによって生成され、ファイル名は変更できません。

  HTTPSおよびクライアント認証の場合

  サーバの認証用のクライアント証明書の情報を設定します。

  clientkeystore.p12にインポートした秘密鍵に対するパスワードとclientkeystore.p12に対するパスワードおよびエイリアスを設定します。

  clientkeystore.conf (/opt/fsepv<x>webadmin/tomcat/keystore/)

  clientkeystore.key.pass=password
  clientkeystore.store.pass=password
  clientkeystore.alias=alias

4. バックアップ

証明書およびserver.xmlファイルをバックアップします。

ポイント

WebAdminをアンインストールすると、「keystore」ディレクトリ配下のすべての証明書が削除されます。また、WebAdminを再セットアップすると、server.xmlファイルがデフォルトの設定で上書きされます。誤って操作してしまった場合に備えて、バックアップを行ってください。

5. WebAdminの再起動

WebAdminを停止し、再度起動します。

詳細な手順は“B.1.4 WebAdminのWebサーバ機能の停止”および“B.1.3 WebAdminのWebサーバ機能の起動”を参照してください。

ポイント

証明書または接続エラーが発生した場合は、Tomcatログディレクトリ(/opt/fsepv<x>webadmin/tomcat/logs/)で詳細なエラーメッセージを参照してください。