HTTPS プロトコルは標準のセキュリティ テクノロジであり、Web サーバーと Web クライアント間で暗号化されたリンクを確立するために使用されます。HTTPS を使用すると、サーバーの識別および認証によるネットワーク通信のセキュリティ保護が容易に実現され、送信されるすべてのデータのプライバシーと整合性が確保されます。HTTPS はネットワーク上で送信される情報の傍受および改変を防ぐため、ログインや認証メカニズム、および通信に機密情報や独自情報が含まれるネットワークでは SSL を使用してください。
HTTPS を使用すると、ArcGIS Web Adaptor とサーバーとの間で送受信される名前、パスワード、およびその他の機密情報を解読不能にすることができます。HTTPS を使用する場合は、HTTP の代わりに HTTPS プロトコルを使用して Web ページやリソースに接続します。
HTTPS を使用するには、サーバー証明書を取得し、ArcGIS Web Adaptor をホストしている Web サイトに関連付ける必要があります。証明書を読み込み、Web サイトに関連付ける手順は Web サーバーごとに異なります。
また、HTTPS を通じてセキュアなサービスに正しくアクセスできるように、Web サーバーがクライアント証明書を無視するように設定されていることを確認します。
サーバー証明書の作成
ArcGIS Web Adaptor とサーバーの間で HTTPS 接続を作成できるようにするには、Web サーバーにサーバー証明書が必要です。証明書は、Web サーバーのアイデンティティに関する情報を含むデジタル ファイルです。SSL 証明書には、Web サーバーと ArcGIS Server 間のセキュリティで保護されたチャンネルを確立するときに使用される、暗号化の手法も含まれます。証明書は、Web サイトの所有者が作成してデジタル署名する必要があります。証明書には、CA 署名、ドメイン、自己署名の 3 種類があります。次に、それぞれの証明書について説明します。
CA 署名証明書
運用システムには、認証機関 (CA) が署名した証明書を使用します。特に、組織外のユーザーが ArcGIS Server にアクセスする場合は、その必要があります。たとえば、サーバーがファイアウォールの内側になく、インターネット経由でアクセスできる場合、CA 署名証明書を使用すると、組織外のクライアントに対して Web サイトのアイデンティティが確認済みであることを保証できます。
証明書は、Web サイトの所有者による署名に加えて、独立した CA で署名される場合があります。通常、CA は Web サイトの信頼性を証明できる信頼された第三者機関です。Web サイトが信頼できる場合、CA は独自のデジタル署名を Web サイトの自己署名証明書に追加します。これにより Web クライアントに対して、Web サイトのアイデンティティが確認済みであることを保証します。
よく知られた CA によって発行された証明書を使用する場合、サーバーと Web クライアント間のセキュリティで保護された通信は自動的に行われます。ユーザーが特別な操作を行う必要はありません。Web サイトは CA によって確認済みであるため、Web ブラウザーが予期しない動作を起こしたり、警告メッセージを表示したりすることはありません。
ドメイン証明書
サーバーがファイアウォールの内側にあり、CA 署名証明書を使用できない場合、ドメイン証明書が条件にあったソリューションです。ドメイン証明書は、組織の認証機関が署名した内部の証明書です。ドメイン証明書を使用すると、信頼された内部での使用のために組織内で簡単に作成できるため、証明書の発行コストを削減し、証明書の配置が容易になります。
Web サイトはドメイン証明書によって確認されているため、ドメイン内のユーザーは、自己署名証明書で通常発生する予期しない動作や警告メッセージを経験することはありません。ただし、ドメイン証明書は外部の CA によって整合チェックされていないため、ドメイン外部のサイトのユーザーには、証明書が本当に主張しているとおりの組織を表しているかを確認する方法がありません。外部ユーザーのブラウザーには、このサイトが信頼されていないことを示す警告が表示されます。このため、ユーザーが実際は悪意のある相手と通信していると考え、サイトから移動してしまう可能性があります。
ドメイン証明書の作成と HTTPS の有効化
ArcGIS Enterprise 構成ウィザードを正常に完了するには、基本配置がインストールされているコンピューター上の IIS で HTTPS を有効にしておく必要があります。
HTTPS が有効になっていないと、構成ウィザードが正常に完了せず、次のエラー メッセージが表示されます。
Web Adaptor の URL https://mymachine.mydomain.com/server にアクセスできません。Web サーバーで HTTPS が有効になっていることを確認してください。HTTPS を有効化する手順については、次のように移動してヘルプ トピックをご参照ください。ArcGIS Enterprise の概要 → ArcGIS Enterprise Builder → 基本配置の計画。
メモ:
ほとんどの場合、IT 管理者が証明書を提供し、HTTPS ポート 443 にバインドします。
2017 年に、Chrome は Subject Alternative Name (SAN) パラメーターを含む証明書のみを信頼するようになりました。このパラメーターは、IIS Manager アプリケーションで証明書を作成する場合は構成できません。
IIS を使用していてドメイン証明書を作成する必要がある場合は、「ドメイン証明書の作成」をご参照ください。この中に、適切な証明書を作成して HTTPS ポート 443 にバインドする、コンピューター上で実行するためのスクリプトがあります。
自己署名証明書
Web サイトの所有者のみが署名している証明書を、自己署名証明書と呼びます。一般的に自己署名証明書は、組織の内部 (LAN) ネットワークのユーザーだけが利用する Web サイトで使用されます。自社のネットワークの外部にある、自己署名証明書を使用している Web サイトと通信する場合、証明書を発行しているサイトが本当に主張しているとおりの組織であるかを確認する方法はありません。実際、悪意のある相手と通信して、情報を危険にさらす可能性があります。
自己署名証明書を使用している場合、信頼されないサイトに関する Web ブラウザーと ArcGIS Desktop の警告メッセージが表示されます。Web ブラウザーは、自己署名証明書を検出すると、通常は警告を表示し、そのサイトに移動するか確認します。多くのブラウザーは、自己署名証明書を使用した場合、アドレス バーに警告アイコンや赤色を表示します。
IIS での自己署名証明書の作成
自己署名証明書を作成するには、IIS マネージャーで次の手順を実行します。
- [接続] パネルのツリー ビューでサーバーを選択し、[サーバー証明書] をダブルクリックします。
- [操作] パネルで、[自己署名入り証明書の作成] をクリックします。
- 新しい証明書にわかりやすい名前を入力して、[OK] をクリックします。
最後に、自己署名証明書を HTTPS ポート 443 に関連付けます。手順については、「証明書と Web サイトの関連付け」をご参照ください。
証明書と Web サイトの関連付け
ArcGIS Web Adaptor をホストしている Web サイトにまだ関連付けられていない証明書を取得した場合、続行する前に関連付ける必要があります。関連付けとは、Web サイトのポート 443 を使用するように証明書を構成するプロセスのことを指します。
メモ:
「ドメイン証明書の作成」トピックにあるスクリプトを使用すると、証明書を関連付けることができます。
証明書を Web サイトに関連付ける手順は、プラットフォームと Web サーバーのバージョンによって異なります。手順については、システム管理者にお問い合わせいただくか、Web サーバーのマニュアルをご参照ください。たとえば、IIS で証明書を関連付ける手順を以下に示します。
IIS での証明書とポート 443 の関連付け
IIS マネージャーで証明書と HTTPS ポート 443 を関連付けるには、次の手順を実行します。
- ツリー ビューでサイトを選択し、[操作] パネルで [バインド] をクリックします。
- [バインド] リストでポート 443 が使用できない場合は、[追加] をクリックします。[種類] ドロップダウン リストから [https] を選択します。ポートは 443 のままにしておきます。
- ポート 443 がリストされている場合は、リストからポートを選択して [編集] をクリックします。
- [証明書] ドロップダウン リストから、証明書の名前を選択して [OK] をクリックします。
サイトのテスト
サイトと Web サイトを関連付けたら、ArcGIS Web Adaptor をサーバーで使用できるように構成できます。HTTPS URL (https://webadaptorhost.domain.com/webadaptorname/webadaptor など) を使用して ArcGIS Web Adaptor の構成ページにアクセスする必要があります。
ArcGIS Web Adaptor を構成したら、ArcGIS Server Manager への HTTPS リクエスト (例: https://webadaptorhost.domain.com/webadaptorname/manager) を作成して、HTTPS が正しく動作していることをテストする必要があります。