SSL はデフォルトで有効化されています。安全な暗号化された通信をブラウザーと DTP の間で保証するために、SSL の有効化を推奨します。Concerto (バージョン 4.x) から移行している場合は SSL を手動で有効化しなければならないことがあります。DTP バージョン 5.1.3 以降には Java が同梱されており、デフォルトで SSLv3 を無効化します (詳細については 「SSL」を参照してください)。
このセクションの内容:
Enterprise Pack アプリケーションの SSL
Extension Designer を使用している場合、システム全体が同じプロトコル (HTTP または HTTPS) を使用するよう、 Enterprise Pack アプリケーションの SSL を有効化するか、DTP で SSL を無効化する必要があります。「DTP Enterprise Pack のための SSL の有効化」を参照してください。
DTP での SSL の有効化
以下の操作手順に進む前に Parasoft サービスを停止してください。詳細については「DTP サービスの停止」を参照してください。
キーストアの生成と証明書
SSL を有効化するには、署名された証明書がある .keystore が必要です。DTP には <DTP_INSTALL>/tomcat/conf ディレクトリに .keystore ファイルが同梱されています。デフォルトの .keystore ファイルには自己署名証明書が格納されています。デフォルトの .keystore ファイルを組織の独自の .keystore ファイルで置き換えることができます。ただし、この独自の .keystore ファイルには署名された証明書を格納しなければなりません。
キーストアがまだない場合、次のコマンドを使ってキーストアを生成します。
keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -keysize 2048
このコマンドは秘密鍵と自己署名証明書を格納したキーストアを作成します。作成されるキーストアの名前は keystore.jks であり、パスワードは password
です。-keysize
の指定は任意です。デフォルトは 1024
です。
組織の情報を入力するよう促されます。姓と名の入力を求められた場合、通常はアクセスするサーバーのドメイン名を入力します。商用署名証明書を使用する予定である場合、これは特に重要です。自己署名証明書の場合、姓と名には何でも入力できます (実際の姓と名すら入力できます)。生成される鍵のパスワードも求められます。キーストアで使用するパスワードと同じパスワードにすることができます。この場合、秘密鍵のエイリアスは selfsigned
です。
商用署名証明書の取得
認証局に 証明書署名要求 (CSR) を発行することで、認証局 (たとえば verisign.com や thawte.com など) から商用署名証明書を取得できます。
次のコマンドを使って CSR を作成します。
keytool -certreq -alias selfsigned -keystore keystore.jks -file cer- treq.csr
キーストアのパスワードを入力するよう促されます。CSR ファイル certreq.csr が
selfsigned
というエイリアスで鍵のために作成されます。認証局はルート証明書またはチェイン証明書、および新規に署名された証明書を返します。どちらの証明書もキーストアにインポートしなければなりません。次のコマンドを使ってルート証明書をインポートします。
keytool -import -alias root -keystore keystore.jks -trustcacerts - file <filename_of_the_chain_certificate>
次のコマンドを使って新規証明書をインポートします。
keytool -import -alias dtp -keystore keystore.jks -file <your_certificate_filename>
Tomcat の構成
<DTP_INSTALL>/tomcat/conf/ ディレクトリにある server.xml ファイルを開き、次の変更を行います。<Service name="PST">
の <Connector port="80 or 8080" . . .>
ノードを探します。このノードの後に次のコードを追加します。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/.keystore" keystorePass="$PASSWORD" keyAlias="$ALIAS"/>
「キーストアの生成と証明書」で説明されている keystore.jks ファイルを tomcat/conf ディレクトリにコピーし、ファイルの名前を .keystore
に変更します。 $PASSWORD
はキーストアを作成したときに指定したユーザー パスワードです。$ALIAS
は、キーストアの目的の証明書に付ける別名です。
ほとんどの場合、上記のコードはすでに server.xml に存在します。その場合、コメントアウトして keystoreFile
と keystorePass
を追加してください。
また server.xml で、DTP がすでに実行しているポートを指定するコネクターを探してください。たとえば、DTP がポート 80 で実行している場合、コネクターは次のような形式です。
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
必ず前に指定した SSL コネクターを redirectPort
がポイントするようにしてください。DTP は、リバース プロキシ環境で実行するように構成することもできます。それには、さらに Tomcat の構成が必要な場合があります。「リバース プロキシのサポート」を参照してください。