SSL はデフォルトで有効化されています。安全な暗号化された通信をブラウザーと DTP の間で保証するために、SSL の有効化を推奨します。
このセクションの内容:
Enterprise Pack アプリケーションの SSL
Extension Designer を使用している場合、システム全体が同じプロトコル (HTTP または HTTPS) を使用するよう、 Enterprise Pack アプリケーションの SSL を有効化するか、DTP で SSL を無効化する必要があります。「DTP Enterprise Pack のための SSL の有効化」を参照してください。
DTP での SSL の有効化
以下の操作手順に進む前に Parasoft サービスを停止してください。詳細については「DTP サービスの停止」を参照してください。
キーストアの生成と証明書
SSL を有効化するには、署名された証明書がある .keystore が必要です。DTP には <DTP_INSTALL>/tomcat/conf ディレクトリに .keystore ファイルが同梱されています。デフォルトの .keystore ファイルには自己署名証明書が格納されています。デフォルトの .keystore ファイルを組織の独自の .keystore ファイルで置き換えることができます。ただし、この独自の .keystore ファイルには署名された証明書を格納しなければなりません。
キーストアがまだない場合、次のコマンドを使ってキーストアを生成します。
keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -keysize 2048
このコマンドは秘密鍵と自己署名証明書を格納したキーストアを作成します。作成されるキーストアの名前は keystore.jks であり、パスワードは password です。-keysize の指定は任意です。デフォルトは 1024 です。
組織の情報を入力するよう促されます。姓と名の入力を求められた場合、通常はアクセスするサーバーのドメイン名を入力します。商用署名証明書を使用する予定である場合、これは特に重要です。自己署名証明書の場合、姓と名には何でも入力できます (実際の姓と名すら入力できます)。生成される鍵のパスワードも求められます。キーストアで使用するパスワードと同じパスワードにすることができます。この場合、秘密鍵のエイリアスは selfsigned です。
商用署名証明書の取得
認証局に 証明書署名要求 (CSR) を発行することで、認証局 (たとえば verisign.com や thawte.com など) から商用署名証明書を取得できます。
次のコマンドを使って CSR を作成します。
keytool -certreq -alias selfsigned -keystore keystore.jks -file cer- treq.csr
キーストアのパスワードを入力するよう促されます。CSR ファイル certreq.csr が
selfsignedというエイリアスで鍵のために作成されます。認証局はルート証明書またはチェイン証明書、および新規に署名された証明書を返します。どちらの証明書もキーストアにインポートしなければなりません。次のコマンドを使ってルート証明書をインポートします。
keytool -import -alias root -keystore keystore.jks -trustcacerts - file <filename_of_the_chain_certificate>
次のコマンドを使って新規証明書をインポートします。
keytool -import -alias dtp -keystore keystore.jks -file <your_certificate_filename>
Tomcat の構成
<DTP_INSTALL>/tomcat/conf/ ディレクトリにある server.xml ファイルを開き、次の変更を行います。PST サービス (<Service name="PST">) の <Connector port="80 or 8080" . . .> ノードを探します。このノードの後に次のコードを追加します。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true">
<SSLHostConfig sslProtocol="TLS" >
<Certificate certificateKeystoreFile="conf/.keystore" certificateKeyAlias="$ALIAS" certificateKeystorePassword="$PASSWORD" />
<Cipher ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"/>
</SSLHostConfig>
</Connector>
「キーストアの生成と証明書」で説明されている keystore.jks ファイルを tomcat/conf ディレクトリにコピーし、ファイルの名前を .keystore に変更します。 $PASSWORD はキーストアを作成したときに指定したユーザー パスワードです。$ALIAS は、キーストアの目的の証明書に付ける別名です。
server.xml にポート 8443 のコネクタ構成がすでに含まれている場合は、新しい構成が有効になるようにコメントアウトします。<Connector ...> タグの前に <!-- を入力し、関連する </Connector> タグの後に --> を入力すると、簡単にコメントアウトすることができます。
また server.xml で、DTP がすでに実行しているポートを指定するコネクターを探してください。たとえば、DTP がポート 80 で実行している場合、コネクターは次のような形式です。
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
必ず前に指定した SSL コネクターを redirectPort がポイントするようにしてください。DTP は、リバース プロキシ環境で実行するように構成することもできます。それには、さらに Tomcat の構成が必要な場合があります。「リバース プロキシのサポート」を参照してください。
