SSL はデフォルトで有効化されています。安全な暗号化された通信をブラウザーと DTP の間で保証するために、SSL の有効化を推奨します。Concerto (バージョン 4.x) から移行している場合は SSL を手動で有効化しなければならないことがあります。DTP バージョン 5.1.3 以降には、Java 1.8.0_102-b14 が同梱されています。これはデフォルトで SSLv3 を無効化します (詳細については 「DTP Server の設定」を参照してください)。
このセクションの内容:
Enterprise Pack アプリケーションの SSL
Extension Designer と Policy Center をインストールしている場合、システム全体が同じプロトコル (HTTP または HTTPS) を使用するよう、 Enterprise Pack アプリケーションの SSL を有効化するか、DTP で SSL を無効化する必要があります。SSL を有効化する方法については「DTP Enterprise Pack の概要」を参照してください。
DTP での SSL の有効化
以下の操作手順に進む前に Parasoft サービスを停止してください。詳細については「DTP サービスの停止」を参照してください。
ステップ 1: キーストアの生成と証明書
SSL を有効化するには、署名された証明書がある .keystore が必要です。DTP には $DTP_HOME/tomcat/conf ディレクトリに .keystore ファイルが同梱されています。デフォルトの .keystore ファイルには自己署名証明書が格納されています。デフォルトの .keystore ファイルを組織の独自の .keystore ファイルで置き換えることができます。ただし、この独自の .keystore ファイルには署名された証明書を格納しなければなりません。
キーストアがまだない場合、次のコマンドを使ってキーストアを生成します。
keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -keysize 2048
このコマンドは秘密鍵と自己署名証明書を格納したキーストアを作成します。作成されるキーストアの名前は keystore.jks であり、パスワードは password です。-keysize の指定は任意です。デフォルトは 1024です。
組織の情報を入力するよう促されます。姓と名の入力を求められた場合、通常はアクセスするサーバーのドメイン名を入力します。商用署名証明書を使用する予定である場合、これは特に重要です。自己署名証明書の場合、姓と名には何でも入力できます (実際の姓と名すら入力できます)。生成される鍵のパスワードも求められます。キーストアで使用するパスワードと同じパスワードにすることができます。この場合、秘密鍵のエイリアスは selfsigned です。
商用署名証明書の取得
認証局に 証明書署名要求 (CSR) を発行することで、認証局 (たとえば verisign.com や thawte.com など) から商用署名証明書を取得できます。
次のコマンドを使って CSR を作成します。
keytool -certreq -alias selfsigned -keystore keystore.jks -file cer- treq.csr
キーストアのパスワードを入力するよう促されます。CSR ファイル certreq.csr が
selfsignedというエイリアスで鍵のために作成されます。認証局はルート証明書またはチェイン証明書、および新規に署名された証明書を返します。どちらの証明書もキーストアにインポートしなければなりません。次のコマンドを使ってルート証明書をインポートします。
keytool -import -alias root -keystore keystore.jks -trustcacerts - file <filename_of_the_chain_certificate>
次のコマンドを使って新規証明書をインポートします。
keytool -import -alias dtp -keystore keystore.jks -file <your_certificate_filename>
ステップ 2: Tomcat の構成
$DTP_HOME/tomcat/conf/ ディレクトリにある server.xml ファイルを開き、次の変更を行います。<Service name="PST"> の <Connector port="80 or 8080" . . .> ノードを探します。このノードの後に次のコードを追加します。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="$KEYSTORE_HOME/keystore.jks" keystorePass="$PASSWORD" keyAlias="$ALIAS"/>
この例では、$KEYSTORE_HOME は「キーストアの生成と証明書」のキーストアのディレクトリです。keystore.jks はファイル名です。$PASSWORD はキーストアを作成したときに指定したユーザー パスワードです。$ALIAS は、キーストアの目的の証明書に付ける別名です。
ほとんどの場合、上記のコードはすでに server.xml に存在します。その場合、コメントアウトして keystoreFile と keystorePass を追加してください。
また server.xml で、DTP がすでに実行しているポートを指定するコネクターを探してください。たとえば、DTP がポート 80 で実行している場合、コネクターは次のような形式です。
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
必ず前に指定した SSL コネクターを redirectPort がポイントするようにしてください。DTP は、リバース プロキシ環境で実行するように構成することもできます。それには、さらに Tomcat の構成が必要な場合があります。詳細については「リバース プロキシのサポート」を参照してください。
ステップ 3: DTP の構成 (オプション)
DTP を SSL でのみデプロイしたい場合 (つまり HTTP ポートをオープンしない場合)、このステップを行います 。
$DTP_HOME/tomcat/webapps/grs/WEB-INF/ ($DTP_HOME は DTP のインストール ディレクトリ) にある web.xml というファイルを開きます。次のコード行のコメントを外します。
<security-constraint> <display-name>Security Constraint</display-name> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
このコードが存在しない場合は、web-app ノードの下に手動で追加してください。
最後に、$DTP_HOME/conf ($DTP_HOME は DTP のインストール ディレクトリ) にある PSTRootConfig.xml ファイルを開き、<ssl-enabled>false</ ssl-enabled> を <ssl-enabled>true</ ssl-enabled> に変更します。
