SSL はデフォルトで有効化されています。安全な暗号化された通信をブラウザーと DTP の間で保証するために、SSL の有効化を推奨します。

このセクションの内容:

Enterprise Pack アプリケーションの SSL

Extension Designer を使用している場合、システム全体が同じプロトコル (HTTP または HTTPS) を使用するよう、 Enterprise Pack アプリケーションの SSL を有効化するか、DTP で SSL を無効化する必要があります。「DTP Enterprise Pack のための SSL の有効化」を参照してください。 

DTP での SSL の有効化

以下の操作手順に進む前に Parasoft サービスを停止してください。詳細については「DTP サービスの停止」を参照してください。

キーストアの生成と証明書

SSL を有効化するには、署名された証明書がある .keystore が必要です。DTP には <DTP_INSTALL>/tomcat/conf ディレクトリに .keystore ファイルが同梱されています。デフォルトの .keystore ファイルには自己署名証明書が格納されています。デフォルトの .keystore ファイルを組織の独自の .keystore ファイルで置き換えることができます。ただし、この独自の .keystore ファイルには署名された証明書を格納しなければなりません。

キーストアがまだない場合、次のコマンドを使ってキーストアを生成します。

keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -keysize 2048

このコマンドは秘密鍵と自己署名証明書を格納したキーストアを作成します。作成されるキーストアの名前は keystore.jks であり、パスワードは password です。-keysize の指定は任意です。デフォルトは 1024 です。

組織の情報を入力するよう促されます。姓と名の入力を求められた場合、通常はアクセスするサーバーのドメイン名を入力します。商用署名証明書を使用する予定である場合、これは特に重要です。自己署名証明書の場合、姓と名には何でも入力できます (実際の姓と名すら入力できます)。生成される鍵のパスワードも求められます。キーストアで使用するパスワードと同じパスワードにすることができます。この場合、秘密鍵のエイリアスは selfsigned です。

商用署名証明書の取得

認証局に 証明書署名要求 (CSR) を発行することで、認証局 (たとえば verisign.com や thawte.com など) から商用署名証明書を取得できます。

  1. 次のコマンドを使って CSR を作成します。  

    keytool -certreq -alias selfsigned -keystore keystore.jks -file cer- treq.csr

    キーストアのパスワードを入力するよう促されます。CSR ファイル certreq.csr が selfsigned というエイリアスで鍵のために作成されます。

  2. 認証局はルート証明書またはチェイン証明書、および新規に署名された証明書を返します。どちらの証明書もキーストアにインポートしなければなりません。次のコマンドを使ってルート証明書をインポートします。 

    keytool -import -alias root -keystore keystore.jks -trustcacerts - file <filename_of_the_chain_certificate>
  3. 次のコマンドを使って新規証明書をインポートします。

    keytool -import -alias dtp -keystore keystore.jks -file <your_certificate_filename>

Tomcat の構成

<DTP_INSTALL>/tomcat/conf/ ディレクトリにある server.xml ファイルを開き、次の変更を行います。<Service name="PST"><Connector port="80 or 8080" . . .> ノードを探します。このノードの後に次のコードを追加します。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/.keystore" keystorePass="$PASSWORD" keyAlias="$ALIAS"/>

キーストアの生成と証明書」で説明されている keystore.jks ファイルを tomcat/conf ディレクトリにコピーし、ファイルの名前を .keystore に変更します。  $PASSWORD はキーストアを作成したときに指定したユーザー パスワードです。$ALIAS は、キーストアの目的の証明書に付ける別名です。

ほとんどの場合、上記のコードはすでに server.xml に存在します。その場合、コメントアウトして keystoreFilekeystorePass を追加してください。

また server.xml で、DTP がすでに実行しているポートを指定するコネクターを探してください。たとえば、DTP がポート 80 で実行している場合、コネクターは次のような形式です。

<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />

必ず前に指定した SSL コネクターを redirectPort がポイントするようにしてください。DTP は、リバース プロキシ環境で実行するように構成することもできます。それには、さらに Tomcat の構成が必要な場合があります。「リバース プロキシのサポート」を参照してください。

  • No labels