Service Desk ManagerのTomcatでSSLを設定する方法

Document created by Kosei_Oshita Employee on Jun 16, 2015Last modified by Kosei_Oshita Employee on Jun 16, 2015
Version 2Show Document
  • View in full screen mode
文書番号JTEC000440
製品名Service Desk Manager
バージョン12.7
OSWindows

 


 

◆ Question

ベンダーによって発行された証明書を使用してCA Service Desk ManagerのTomcatでSSLを設定するための概要と必要な手順について。 (自己署名証明書ではありません。)

 

◆ Answer

最初に、SSL設定に使用できる証明書として、どのような証明書が有効なSSL証明書とされているか把握しておく必要があります。

SSL証明書を入手するには、VerisignやGoDaddy、DigiCertなどのベンダーから証明書を入手することをはじめ、自分で自己 署名証明書を生成して使用するなど、多くの方法があります。 (この自己署名証明書の使用は、安全性が低く、Tomcatで正常に動作しないことが多いため、殆ど使用されません。)

 

「有効な」 SSL証明書とは。
「有効」な証明書であるには、証明書は認定されたベンダーにより発行されたもので、個々のサーバーに特化した情報、つまり証明書署名要求 (Certificate Request) の情報を元に生成されたものでなければなりません。
この証明書署名要求 (Certificate Request)は、ベンダーに送られ、作成されたサーバーの証明書を作成するために使用されます。

 

つまり、TomcatにSSLを実装する最初の手順は、どのサーバーが証明書を必要としているかを判断することです。 殆どの場合、Service Deskがインストールされているサーバーはどれでもあてはまる可能性があります。

 

次に、Keystoreと呼ばれるものを作成します (この手順はService Desk管理者ガイドにも記載されています)。 このKeystoreは証明書の保管庫または収納庫となるもので、証明書がインポートされており、TomcatはこのKeystoreとSSL接続のため の証明書を参照するよう設定されます。

 

Keystoreを作成するには、SSL証明書が必要とされる各サーバー上で、以下の手順に従ってください。

 

1)

Cドライブ (またはその他のローカルドライブ) 配下に certificatesというディレクトリを作成します。

2)

コマンドプロンプトを開き、JRE¥bin ディレクトリに移動します。 (通常、Service DeskによってインストールされるJREは、...¥SC¥JRE です。)

3)

以下のコマンドを実行します。
   keytool -genkey -alias tomcat -keyalg RSA -keystore C:¥certificates¥keystore.jks

 

4)

画面に従って、各フィールドに適切な値を入力します (これらの情報が後から必要となる場合がありますので、必ず入力した値を覚えておいてください)。

5)

C:¥certificates配下にkeystore.jksが作成されたことを確認します。

6)

次に、各サーバーに対し、証明書署名要求 (Certificate Request) を作成します。

7)

コマンドプロンプトを開き、JRE¥bin ディレクトリに移動します(通常、Service DeskによってインストールされるJREは、...¥SC¥JRE です)。

8)

以下のコマンドを実行します。
   keytool -certreq -alias tomcat -keystore c:/certificates/keystore.jks -file servername-certreq.csr

 

9)

上記の操作を実行後、証明書署名要求 (Certificate Request) を作成した各サーバーのC:¥certificatesディレクトリ配下に、.csr ファイルが作成されたことを確認します。

10)

次に、.csrファイルをお客様が選択されたベンダーに送ります。 その後、証明書署名要求 (Certificate Request) を元に証明書がベンダーによって作成され、それぞれのサーバーに対する証明書がベンダーより送られてきます。

 

 

次の項目では、間違えやすい個所とその理由について説明します。

 

ベンダーごとに、証明書の発行の仕方は異なります。 いくつかのベンダーはルート証明書、中間証明書、認証機関(認証局)を含んだ複数の証明書を送ります。

 

Keystoreに証明書をインポートする手順は、各ベンダーによって異なります。 そのため、ここでの重要なポイントは、証明書を作成したベンダーにTomcat Keystoreへ証明書をインポートするための手順を確認することです。

 

ベンダーから手順を入手後、その手順にしたがって適切な証明書をそれぞれのサーバーのKeystoreにインポートします。

インポートの終了後、証明書をインポートしたKeystoreを参照するよう、以下の手順でService DeskのTomcatの設定を行うことができます。

 

1)

$NX_ROOT¥bopcfg¥www¥CATALINA_BASE¥conf¥server.xmlファイルをテキストエディタで開きます。

以下の記述を探します。

 

<!--

   <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS" />
-->

 

2)

以下のように変更します。

[注意] TomcatのHTTPS/SSL Connector設定をコメントアウトしている のタグは必ず削除し、前の手順で作成したKeystoreの適切なパスとパスワードを設定してください。

 

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS"
              keystoreFile="C:¥certs¥keystore.jks"
              keystorePass="password"/>

3)

server.xml ファイルを保存します。

4)

以下のコマンドを実行し、Tomcatサービスを再起動します。

[注意] もしService Desk Managerのサービスを再起動が可能であれば、Service Desk Managerのサービスを再起動してください(Tomcatのサービス再起動がより確実に行われます)。 それができない場合、Tomcatのサービスのみ、以下のコマンドで再起動してください。


    pdm_tomcat_nxd -c stop
    pdm_tomcat_nxd -c start

 

すべての設定終了後、Tomcat SSL 接続の動作確認を行います。 ブラウザを開き、Service DeskのHTTPSプロトコルとTomcatポートを使用したURLを入力します。
   例) https://servername:8443/CAisd/pdmweb.exe
上記のアドレスにアクセスすると、Service Desk のログインスクリーンが表示されます。

 

以上がService DeskのTomcat SSL設定に必要な手順です。

 

手順を要約すると、重要なポイントは、ベンダーの選択、証明書を必要とする各サーバー上での証明書署名要求 (Certificate Request) の作成、証明書署名要求 (Certificate Request) のベンダーへの送信、Tomcat Keystoreにインポートするための手順をベンダーから入手、Tomcatが適切なKeystoreを指し示すようserver.xmlを設定 となります。

 

 


このドキュメントはCA Support Onlineに掲載されているナレッジベース TEC587823 を翻訳し加筆したものです。

Title: Configuring SSL for Tomcat with CA Service Desk Manager

Attachments

    Outcomes