SSL 認証を設定する方法

システム管理者は、SSL (Secure Socket Layer)プロトコルを使用して、特定の Web エンジンへの WebDirector 直接ログイン リクエストを設定できます。 SSL 認証を設定すると、ログインのセキュリティが強化されます。 xflow および CA Search Server に対して SSL を設定する方法の詳細については、「Secure Socket Layer (SSL)の有効化」を参照してください。
casm173
システム管理者は、SSL (Secure Socket Layer)プロトコルを使用して、特定の Web エンジンへの WebDirector 直接ログイン リクエストを設定できます。 SSL 認証を設定すると、ログインのセキュリティが強化されます。
xFlow インターフェース
および CA Search Server に対して SSL を設定する方法の詳細については、「Secure Socket Layer (SSL)の有効化」を参照してください。
この記事には、以下のトピックが含まれています。
前提条件の確認(SSL のセットアップ)
SSL 設定を行う前に、以下の前提条件を確認します。
  • SSL を実装するサーバに CA SDM がインストールおよび設定されている。
  • 少なくとも 2 つの Web エンジンが設定および割り当てられており、それらが WebDirector に対して設定および割り当てられている。 Web エンジンおよび webdirector の設定方法の詳細については、「CA SDM サーバのプロセスを設定する方法」を参照してください。
WebDirector パラメータでの Web エンジンの機能の設定
WebDirector を使用するように Web エンジンを設定した後、Web エンジンは Web クライアント リクエストを処理できます。 Web エンジンは、ログイン リクエスト(ログイン以外をいずれかの場所にリダイレクト)、またはログイン以外のリクエスト(ログインをいずれかの場所にリダイレクト)、またはその両方(汎用 Web エンジン)を処理できます。 <Host_Name>-web[#].cfg ファイル内の WebDirector パラメータにより、Web エンジンがどのようにログイン リクエストを処理できるかが決まります。
以下の表に、Web エンジンの役割と WebDirector パラメータ設定の関係を示します。
Web エンジンの機能
'<Host_Name>-web[#].cfg' 'WebDirector' パラメータ設定
ログイン リクエストのサービス
'UseDirector AfterLogin'; 'Willingness 0'
ログイン以外のアクティビティのサービス
'UseDirector BeforeLogin'; 'Willingness [1~10]'
汎用目的
'UseDirector Yes'; Willingness [1~10]'
SSL ログイン環境の選択
SSL/非 SSL 混在 Web 環境でターゲットの SSL ログインに対して WebDirector を使用して、特定の SSL Web エンジンへのすべての Web ログイン リクエストをリダイレクトできます。 その他のすべてのリクエストは、非 SSL Web エンジンにリダイレクトして処理できます。
以下の SSL ログイン環境から選択します。
基本的な負荷分散が行われる非SSL環境
基本的な負荷分散が行われる非 SSL 環境で WebDirector を使用することができます。 WebDirector は、各 Web エンジンの willingness 値に従って、すべての Web エンジン間で負荷を分散します。 各 Web エンジンは、ログイン リクエストとログイン以外のリクエストを処理することができます。 Web クライアントと Web サーバ間の通信には、HTTP プロトコルが使用されます。
WebDirector の制御下にある各 Web エンジンで、Web エンジンの
-web[#].c
fg ファイ
内の WebDirector パラメータを以下のように設定します。
  • UseDirector: Yes
  • WebDirectorSlumpName: (この値は変更しないでください)
  • WillingnessValue: [1~10]
  • RedirectingURL: (先頭のプロトコル値は指定しなくてもかまいません。または、http を指定します)
基本的な負荷分散が行われるグローバルSSL環境
基本的な負荷分散が行われるグローバル SSL 環境で WebDirector を使用することができます。 WebDirector は、各 Web エンジンの willingness 値に従って、すべての Web エンジン間で負荷を分散します。 各 Web エンジンは、ログイン リクエストとログイン以外のリクエストを処理することができます。 WebクライアントとWebサーバ間のすべての通信にHTTPSプロトコルを使用する必要があります。
WebDirector の制御下にある各 Web エンジンで、Web エンジンの
-web[#].c
fg ファイ
内の WebDirector パラメータを以下のように設定します。
  • UseDirector: Yes
  • WebDirectorSlumpName: (この値は変更しないでください)
  • WillingnessValue: [1~10]
  • RedirectingURL: (先頭のプロトコル値は「https」にする必要があります)
オプションの負荷分散が行われる、ログイン ターゲットが定められた非SSL環境
オプションの負荷分散が行われる、ログイン ターゲットが定められた非 SSL 環境で WebDirector を使用することができます。 ログイン専用の Web エンジンは、ログイン リクエストだけを処理します。 WebDirector の制御下にある残りの Web エンジンが、その他のすべてのリクエストを処理します。 この設定の場合、ログイン リクエストの処理に伴うすべての負荷が、指定したログイン専用の Web エンジンに課せられます。 WebクライアントとWebサーバ間の通信には、HTTPプロトコルが使用されます。
ログイン専用の Web エンジンで、Web エンジンの ‘<
Host_Name
>-web[
#
].cfg’ ファイル内の WebDirector パラメータを以下のように設定します。
  • UseDirector: AfterLogin
  • WebDirectorSlumpName: (この値は変更しないでください)
  • WillingnessValue: 0
  • RedirectingURL: (先頭のプロトコル値は指定しなくてもかまいません。または、http を指定します)
ログイン以外の Web エンジンで、Web エンジンの ‘<
Host_Name
>-web[
#
].cfg’ ファイル内の WebDirector パラメータを以下のように設定します。
  • UseDirector: Before Login
  • WebDirectorSlumpName: (この値は変更しないでください)
  • WillingnessValue: [1~10]
  • RedirectingURL: (先頭のプロトコル値は指定しなくてもかまいません。または、http を指定します)
オプションの負荷分散が行われる、SSL ログイン ターゲットが定められた混合環境
オプションの負荷分散が行われる、SSL ログイン ターゲットが定められた SSL/非 SSL 混在 Web 環境で WebDirector を使用することができます。 すべての Web ログイン リクエストが SSL Web エンジンにリダイレクトされて処理され、その他のリクエストが非 SSL Web エンジンによって処理されます。 WebクライアントとSSL Webエンジン間のすべての通信でHTTPSプロトコルを使用する必要があります。
SSL ログイン環境のセットアップ
SSL をセットアップすることで、Web トランザクションを暗号化して、パスワードなどの重要なデータのセキュリティ保護を最大限に高めることができます。 設定タイプに応じて、設定された CA SDM サーバ上で SSL ログイン環境を実装できます。
以下の手順に従います。
  1. CA SDM の設定に応じて、以下のサーバにログインします。
    • 高可用性: アプリケーション サーバ
    • 標準: プライマリまたはセカンダリ サーバ
  2. サーバが SSL 証明書を正常にインポートできたことを確認します。
  3. $NX_ROOT/bopcfg/www/wwwroot ディレクトリ(サブディレクトリを含む)のコピーを作成し、以下の名前を付けます。
    $NX_ROOT/bopcfg/www/wwwrootsec
  4. Web サーバ用の新しい仮想ディレクトリ CAisdsec を追加します。
  5. この仮想ディレクトリが以下の物理ディレクトリをポイントするようにします。
    $NX_ROOT/bopcfg/www/wwwrootsec
  6. スクリプトを実行するための CAisdsec 仮想ディレクトリの許可が、CAisd 仮想ディレクトリの許可と一致していることを確認します。 CAisdsec 仮想ディレクトリに SSL を適用します。
    この例では、CAisdsec という名前はユーザが定義したもので、変更が可能です。
  7. 変更を保存します。
    Webdirector では、「<Host_Name>-web[#].cfg」ファイルは使用されません。 ただし、Web エンジンは一意な ‘<Host_Name>-web[#].cfg’ ファイルを必要とします。 サンプル web.cfg ファイルは、設定を実行する間に自動的に生成されます。 元の web.cfg を、使用するテンプレート ファイルとして指定することで、元の web.cfg の変更内容を新しい Web 環境設定ファイルにインポートすることができます。
  8. 以下のファイルをコピーおよび保存します。これらのファイルのバックアップは、元の環境を復元する必要が生じたときに役立ちます。
    • $NX_ROOT/pdmconf/pdm_startup.tpl
    • $NX_ROOT/pdmconf/pdm_startup
    • $NX_ROOT/bopcfg/www/web.cfgファイル
    • 既存のあらゆるprimary-web[#].cfgファイル
    • $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xmlおよびweb.xml.tpl
    • セカンダリ サーバ設定では、既存のすべての $NX_ROOT/bopcfg/www/web.cfg ファイルまたは <Secondary_Server_Host_Name>-web[#].cfg ファイルおよび $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml* のバックアップ コピーを保存します
  9. WebDirector に割り当てられている各 Web エンジンで、ファイルをテキスト エディタで表示し、Web エンジンのパラメータ(<Host_Name>-web[#].cfg 'webdirector')が正しく設定されていることを確認します。 必要に応じて、Web エンジンのロールを反映するように WebDirector パラメータの値を変更します。 次に、$NX_ROOT/bopcfg/www ディレクトリにそれらをコピーします。
  10. すべての$NX_ROOT/samples/pdmconf/primary-web[#].cfgファイルを$NX_ROOT/bopcfg/wwwディレクトリに移動します。
    セカンダリ サーバ設定では、すべての $NX_ROOT/samples/pdmconf/’secondary_server_name-web[#].cfg’ をプライマリ サーバからセカンダリ サーバの $NX_ROOT/bopcfg/www ディレクトリに移動します。
  11. Tomcat などのサーブレット サーバについては、CA SDM は、Web エンジンをホストする各サーバ上の web.xml ファイルを置き換えることが可能な web.xml ファイルを作成します。 これらのファイルの名前は、primary-web.xml です。 ファイルの名前を変更し、それらを $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF ディレクトリにコピーします。
    IIS または Apache などの HTTP サーバの場合は、pdmweb.exe ファイルのコピーを $NX_ROOT/bopcfg/www/wwwroot ディレクトリに作成し、pdmweb[#].exe ファイルを各 Web エンジンに作成し、pdmweb_d[#].exe ファイルを設定した各 WebDirector に作成します。 pdmweb[#].exe と pdmweb_d[#].exe の名前が、正しい CGI I/F 値に従っていることを確認します(例: pdmweb1.exe、pdmweb2.exe、pdmweb_d1.exe など)。
  12. IIS を使用していて、各 CGI インターフェースのサーバ拡張機能を追加する必要がある場合は、primary-site.dat ファイルを $NX_ROOT/bopcfg/www ディレクトリに site.dat としてコピーします。システムが再設定されたときに、これらのサイトが IIS に追加されます。 システムが再構成されると、これらのサイトが IIS に追加されます。
  13. データベースを再初期化せずにプライマリ サーバを再設定し、サービスを開始します。
  14. 再構成後、現在の設定が有効であることを確認します。 CA SDM デーモンを起動します。 stdlogファイルにエラーがないことを確認します。 デーモンとそのステータスを表示するには、pdm_statusを使用します。 http://localhost:8080/CAisd/pdmweb.exe を使用してシステムにアクセスします。
  15. CA SDM 統合へのナレッジ マネジメントでは、SSL を CA SDM に適用した場合、CA SDM URL プロトコル値を変更する必要があります。
    1. Knowledge Management Tool で、[設定マネージャ]-[全般]-[インテグレーション]を選択し、CA SDM の URL プロトコル値を http から https に変更します。
    2. 保存して終了します。
  16. Web ブラウザを開いて CA SDM のログイン ページを表示し、ユーザがログインできることと、リダイレクト/ログイン動作が予期したとおりであることを確認します。
SSLログイン環境の実装
セットアップした SSL ログインを実装するには、WebDirector パラメータ値を変更します。
以下の手順に従います。
  1. セキュリティ保護されたログイン Web エンジンの場合は、<Host_Name>-web[#].cfg を以下のように編集します。
    1. CAisd パラメータ値を /CAisd から /CAisdsec に変更します。
    2. WebDirector がパススルー認証を使用する場合は、UseDirector パラメータ値を Yes から AfterLogin に変更します。
    3. Willingnessパラメータ値を5から0に変更します。
    4. RedirectingURL 値のプロトコルが https になっていることを確認します。
    5. RedirectingURL <cgi directory> 値を CAisd から CAisdsec に変更します。
    6. 変更を保存します。
  2. その他のすべてのアクティビティを処理するセキュリティ保護されていない Web エンジンについては、<Host_Name>-web[#].cfg ファイルを以下のように編集します。
    1. CAisd パラメータ値が /CAisd になっていることを確認します。
    2. UseDirector パラメータ値を Yes から BeforeLogin に変更します。
    3. Willingness値を5のままにしておくか、必要な負荷重み付けに応じて1~10の整数を設定します。
    4. RedirectingURL 値のプロトコルが http になっていることを確認します。
    5. RedirectingURL <cgi directory> 値が CAisd になっていることを確認します。
    6. 変更を保存します。
      設定の後、Service Desk を再起動します。 サービスの再起動後、HTTP を使用して 非 SSL Web エンジンにアクセスすることにより、ログインをテストします。 ログインのために、HTTPS でセキュリティ保護された Web エンジンに自動的にリダイレクトされることを確認します。 ログインすると、通常の Service Desk アクティビティでは、非 SSL HTTP Web エンジンに自動的にリダイレクトされます。
SSL ログイン環境の確認
Web エンジンの SSL ログイン環境を確認できます。
以下の手順に従います。
  • セキュリティ保護されたログイン Web エンジンは、SSL が適用された仮想ディレクトリにマップされている物理ディレクトリ内にある必要があります(この例では CAisdsec)。
    セキュリティ保護されたログイン Web エンジンの場合は、pdmweb.exe のインスタンスを $NX_ROOT/bopcfg/www/wwwrootsec ディレクトリに pdmweb[#].exe という名前で作成します。 実行可能ファイルの名前は、各セキュリティ保護されたログイン Web エンジンの CGI I/F 値に一致する必要があります。
    例: セキュリティ保護されたログイン Web エンジンに CGI I/F 値 pdmweb2 を割り当てた場合は、pdmweb.exe の物理コピーを作成し、名前を pdmweb2.exe に変更します。
  • セキュリティ保護されていない Web エンジンと WebDirector は、SSL が適用されていない仮想ディレクトリ CAisd にマップされている物理ディレクトリ内にある必要があります。
    セキュリティ保護されていない Web エンジンと WebDirector の場合は、pdmweb.exe の新しいインスタンスを $NX_ROOT/bopcfg/www/wwwroot ディレクトリに作成します。 設定されたセキュリティ保護されていない Web エンジンと WebDirector ごとに pdmweb.exe のコピーが存在している必要があります。 実行可能ファイルの新しい名前が、Web エンジンと WebDirector 用に定義されている CGI I/F 値に一致するようにコピーの名前を変更します。
    例: セキュリティ保護されていない Web エンジンに CGI I/F 値 pdmweb3 を割り当てていて、WebDirector に値 pdmweb_d1 を割り当てている場合は、pdmweb.exe のコピーを 2 つ作成します。 最初のコピーの名前を pdmweb3.exe に変更し、2 番目のコピーの名前を pdmweb_d1.exe に変更します。
Tomcat サーバ用の SSL のセットアップ
CA SDM 環境の Tomcat サーバで SSL を設定します。
以下の手順に従います。
  1. SSL 証明書を必要とする各 CA SDM サーバでキー ストアを作成するには、以下の手順に従います。
    キーストアは、証明書用のストアまたはストレージ ユニットであり、証明書がインポートされた後、Tomcat では、そのキーストアおよび SSL 用の証明書を指定して使用します。
    1. C: ドライブ(またはローカル ドライブ)に、certificates という名前のディレクトリを作成します。
    2. コマンド ラインを使用して、JRE bin ディレクトリ(Service Desk でインストールされた JRE では通常 /SC/JRE)に移動します
    3. コマンド「keytool -genkey -alias tomcat -keyalg RSA -keystore c:/certificates/.keystore」を実行します。
    4. 必要に応じて、フィールドに入力します(後でこの情報が必要になる場合があるため、各フィールドに入力した内容を確実に記録してください)。
      C:\certificates\ ディレクトリに .keystore ファイルが作成されます。
  2. 各サーバの証明書リクエストを生成します。 証明書リクエストを生成するには、以下の手順に従います。
    1. コマンド ラインを使用して、JRE bin ディレクトリ(Service Desk でインストールされた JRE では通常 /SC/JRE)に移動します
    2. コマンド「keytool -certreq -alias tomcat -keystore c:/certificates/keystore.jks -file servername-certreq.csr」を実行します
      証明書リクエストを生成した各サーバ上の c:/certificates ディレクトリに、.csr ファイルが作成されます。
    3. 各サーバに関して、選択したベンダーに .csr ファイルを送信します。その後、そのベンダーが、証明書リクエストに基づいて必要とする適切な証明書を生成します。
      各サーバから受信する証明書は異なります。 一部のベンダーは、ルート証明書、中間証明書、および認証局証明書などを含む複数の証明書を送信します。 ベンダーによって、提供された証明書をキーストアにインポートするための手順は異なります。 したがって、証明書の生成に使用した特定のベンダーに対して、Tomcat キーストアへの証明書のインポート方法に関する特定の手順を問い合わせることが重要です。
      ベンダーから特定の手順を受け取ったら、それに従って、各サーバ上のキーストアに適切な証明書をインポートすることができます。 その手順が完了したら、証明書がインポートされたキーストアを指すように、Service Desk 側の事柄に対して Tomcat を設定できます。
  3. テキスト エディタを使用して \bopcfg\www\CATALINA_BASE\conf\server.xml ファイルを開き、以下を見つけます。
    <!--<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>
    </Connector>-->
  4. これらのコードを以下のように変更します。
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true"
    keystoreFile="C:\certs\keystore.jks" keystorePass="password">
    <!--<SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>-->
    </Connector>
    現在 Tomcat の HTTPS/SSL コネクタをコメント化している <-- タグと --> タグを必ず削除し、最初に生成したキーストアに適切なパスおよびパスワードを設定していることを確認してください。
  5. server.xml ファイルを保存します。
  6. 以下のコマンドを使用して Tomcat を再起動します。
    pdm_tomcat_nxd - c stop pdm_tomcat_nxd - c start
    Tomcat が確実に再起動されるように、すべての CA SDM サーバを再起動することをお勧めします。
  7. HTTPS プロトコルおよび Tomcat ポートを使用して、ブラウザを開いて Service Desk の URL に移動することにより、Tomcat の SSL 接続をテストします。 たとえば、以下の URL を使用します。
    https://servername:8443/CAisd/pdmweb.exe
    Service Desk ログイン画面が開きます。 Tomcat で SSL が正常に設定されています。
IIS 上の SSL のセットアップ
IIS 上で認証をセットアップする方法の詳細については、Microsoft のドキュメントを参照してください。