SSL 暗号化のセットアップ

www.altova.com すべてを展開/折りたたむ このトピックを印刷 前のページ 1つ上のレベル 次のページ

ホーム >  MobileTogether Server のセットアップ >

SSL 暗号化のセットアップ

MobileTogether Server と MobileTogether Client デバイスの通信が暗号化された SSL プロトコールの使用を必要とする場合、以下の手順が必要です:

 

SSL 秘密キーを生成し、 SSL 公開キー証明書ファイルを作成する。
SSL 通信のため MobileTogether Server をセットアップする。

 

手順は以下に説明されています。

 

MobileTogether はオープンソースの OpenSSL toolkit を使用して、 SSL 暗号化を管理します。したがって、 OpenSSL が利用可能なコンピュータで以下のステップは実行される必要があります。 OpenSSL は通常、 Linux と macOS コンピューターでは既にインストールされています。また、 Windows で動作するコンピューターにインストールすることができます。バイナリのインストーラーのダウンロードのリンクに関しては OpenSSL Wiki を参照してください。

 

 

1.秘密キーの生成

SSL MobileTogether Server に秘密キーがインストールされることを必須とします。この秘密キーは、 MobileTogether Client アプリへ送信されるすべてのデータを暗号化するために使用されます。秘密キーを作成するには、以下の OpenSSL コマンドを使用します:

openssl genrsa -out private.key 2048

 

これにより private.key という、秘密キーを含むファイルが作成されます。ファイルの保存場所をメモしてください。秘密キーは以下で必要です  (i) 証明書署名要求 (CSR) の生成、および (ii) MobileTogether Server へインストールする際(以下ステップ 8 参照)。

 

 

2.証明書の署名要求 (CSR)

証明書署名要求 (CSR) は VeriSign または Thawte などの証明機関 (CA) に送信されます。 CSR は秘密キーに基づき、組織の情報を含みます。以下のOpenSSL コマンド(ステップ 1 でパラメータの 1 つとして作成された秘密キーファイル )の手順を踏んで CSR を作成します:

openssl req -new -nodes -key private.key -out my.csr

 

CSR の生成中、以下にリストされる所属組織の情報を提供する必要があります。この情報は企業のアイデンティティーを検証するために使用されます。

 

国名
地域 (ビジネスが位置する都市)
組織 (企業名)。 特殊文字を使用しないでください; 証明書が無効になります
共通名 (サーバーの DNS 名)。サーバーの公式名、つまりクライアントアプリがサーバーに接続する際使用する DNS 名、と一致する必要があります。
チャレンジ パスワード。 このエントリは空白にしてください !

 

 

3.SSL 証明書の購入

SSL 証明書は VeriSign または Thawte などの認識された証明機関 (CA) から購入してください。ここからの手順に関しては、 VeriSign 手順に従ってください。他の証明機関での手順も類似しています。

 

VeriSign Web サイトに移動します。
SSL 証明書の購入をクリックします。
異なる種類の SSL 証明書が使用可能です。 MobileTogether Server には Secure Site または Secure Site Pro 証明書で十分です。 拡張検証 (EV) は、ユーザーが閲覧できる「緑のアドレスバー」が存在しないため必要ありません。
署名手続きの手順に従い、注文に必要な情報を入力してください。
(ステップ 2 で作成された) CSR がプロンプトされた場合、 my.csr ファイルのコンテントを注文フォームにコピーして貼り付けてください。
クレジットカードで証明書の支払をしてください。

 

証明書の取得には時間がかかる場合があります

キー証明書を SSL 証明機関 (CA) から取得するには、通常 2~3営業日 かかります。 MobileTogether Serverセットアップの際この点に留意してください。

 

 

4.証明機関 からの再帰的公開キー

証明機関は 2 ~ 3 営業日で登録プロセスを完了します。この間、電子メールまたは電話で DNS ドメインで SSL 証明書をリクエストする許可があるかの認証が行われます。 このプロセスを完了するために関連機関に協力してください。

 

認証と登録プロセスが完了すると、SSL 証明書の公開キーを含む電子メールが送信されます。公開キーは書式なしテキストフォームまたは添付された.cer ファイル で送信されます。

 

5.公開キーをファイルに保存する

MobileTogether Server との使用の場合、公開キーは .cer ファイルで保存される必要があります。公開キーがテキストで提供された場合、以下の範囲の全てのラインをコピーして

 

--BEGIN CERTIFICATE--

 ...

--END CERTIFICATE--

 

mycertificate.cer と呼ばれるテキストファイルに貼り付けてください。

 

 

6.CA の中間証明書をファイルに保存する

SSL 証明書を完了するには、追加証明書が必要になります: プライマリセカンダリ中間証明書。証明機関 (CA) は Web サイトに中間証明書をリストしています。

 

 

両方の(プライマリとセカンダリ)中間証明書をコピーして貼り付け、使用するコンピュータに個別のテキストファイルとして保存します。

 

7.1 つの公開キー証明書ファイルに証明書をまとめる

3 つの証明書ファイル:

 

公開キー (mycertificate.cer)
セカンダリ中間証明書
プライマリ中間証明書

 

各証明書は以下のような括弧のついたラインのテキストブロックを含みます:

--BEGIN CERTIFICATE--

 ...

--END CERTIFICATE--

 

3 つすべての証明書を 1 つのファイルに順番にコピーして貼り付けます。シーケンスの順番は重要です: (i) 公開キー、 (ii) セカンダリ中間証明書、 (iii) プライマリ中間証明書。証明書同士の間にラインが無いよう注意してください。

--BEGIN CERTIFICATE--

公開キー from mycertificate.cer (ステップ 5 参照)

--END CERTIFICATE--

--BEGIN CERTIFICATE--

セカンダリ中間証明書 (ステップ 6 参照)

--END CERTIFICATE--

--BEGIN CERTIFICATE--

プライマリ中間証明書 (ステップ 6 参照)

--END CERTIFICATE--

 

結合された証明書テキストに publickey.cer というファイル名を与えます。これが SSL 証明書の公開キー証明書ファイルです。このファイルは、CA により証明書を証明する際に使用された公開キー証明書と中間証明書の書式の完全な信頼チェーンを含みます。公開キーファイルは秘密キーと共に MobileTogether Server にインストールされます。 (ステップ 8 参照)。

 

 

8.MobileTogether Serverに SSL 証明書をインストールする

SSL 証明書は、以下のファイルに保存された証明書のセットです:

 

private.key: 秘密キー証明書を含みます
publickey.cer: 公開キー証明書および証明機関の (プライマリとセカンダリ) 証明書を含みます。

 

 

MobileTogether Server に SSL 証明書をインストールするには、以下の手順に従います:

 

MobileTogether Server UI にログインします(デフォルトではサーバーのポート 8085 )。
設定タブに移動します。
SSL 証明書 (下部スクリーンショット参照) から 2 つの証明書ファイルをアップロードします。

MTSSetSSL

ο秘密キーには(ステップ 1 で作成済み ) private.key  を選択します。
ο証明書には(ステップ 7 で作成済み) publickey.cer を選択します。

 

一般設定セクション下部にある 「保存」 をクリックして変更を保存します。

 

 

9.サーバーの HTTPS ポートを設定する

SSL 証明書をインストールした後、 SSL クライアント通信のサーバーポートを指定することができます。以下の手順を踏みます:

 

MobileTogether Server UI にログインします(デフォルトでは、サーバーのポート 8085 使用)。
設定タブに移動します。
モバイル クライアント ポート(下部スクリーンショット参照) で HTTPS ポートが指定できます。

MTSSetClientPorts

HTTPS から MobileTogether Server ヘアクセスできるようにファイアウォールの設定を許可してください。

 

 

10. SSL 通信のテスト

SSL テストツールを使用して、 HTTPS を介したサーバーからの安全な通信が作動しているかテストしてください。例えば、ブラウザーを使用する場合、以下の SSL テストサイトを使用することができます: https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

 

これにより以下が把握できます: (i) 公開キーファイルが適切にステップ 7 の中間信頼チェーンと共に構築されているか、 および (ii) サーバーが適切にファイアウォールを介して接続できるか。

 

11.MobileTogether Clientの SSL の使用を有効化する

SSL-有効化された MobileTogether Server と通信する MobileTogether Client アプリでは、SSL 暗号化 チェックボックスをチェックすることで SSL 通信が有効となります。 このチェックボックスを検索するには、 MobileTogether Client ドキュメンテーションを参照してください。

 

 

 


(C) 2019 Altova GmbH