HTTPS設定

DataSpiderServerと各種コンポーネントとの通信をHTTPSで行うには、サーバ証明書と通信データを暗号化/復号化するための公開鍵および秘密鍵が、DataSpiderServerが参照するキーストアにインポートされている必要があります。
本ページでは、Javaのkeytoolを使ってサーバ証明書および鍵を生成し、キーストアにインポートする手順について記述します。

keytoolとは、Javaで提供されている鍵と証明書を管理するためのユーティリティです。

keytoolについては、「keytool」(http://docs.oracle.com/javase/8/docs/technotes/tools/windows/keytool.html)を参照してください。

HTTPS設定を行うことで、DataSpiderServerはHTTPSサーバとして機能し、各種コンポーネントとの通信をHTTPSで行うことができます。

keytoolを使った鍵とサーバ証明書の生成
HTTPS通信の確認
トラブルシューティング

keytoolを使った鍵とサーバ証明書の生成

keytoolの実行ファイルの配置場所

Windows版
$DATASPIDER_HOME\jre\bin\keytool.exe
UNIX/Linux版
$DATASPIDER_HOME/jre/bin/keytool

鍵とサーバ証明書の生成

鍵とサーバ証明書の生成は、以下の手順で行います。

自己署名証明書のまま運用する場合は、「1.鍵の生成」の後に、「4.セキュリティの設定」の手順を行ってください。

鍵の生成
コマンドプロンプト(UNIX/Linux版の場合シェル)を起動します。鍵を生成するには、keytool -genkeypairコマンドを用います。このコマンドは、DataSpiderServer用の鍵のペア(公開鍵および関連する非公開鍵)を生成し、-keystoreオプションで指定したキーストアに格納します。公開鍵は自己署名証明書でラップされます。

HTTPS通信を有効にするためのキーストアの配置場所は以下の通りです。

$DATASPIDER_HOME\server\system\common\classes\.keystore

keytool -genkeypair -alias <エイリアス名> -keyalg RSA -keystore $DATASPIDER_HOME\server\system\common\classes\.keystore
キーストアのパスワードを入力してください:  changeit
姓名は何ですか。
  [Unknown]:  hostname
組織単位名は何ですか。
  [Unknown]:  CS
組織名は何ですか。
  [Unknown]:  companyname
都市名または地域名は何ですか。
  [Unknown]:  Minato-ku
都道府県名または州名は何ですか。
  [Unknown]:  Tokyo
この単位に該当する2文字の国コードは何ですか。
  [Unknown]:  JP
CN=hostname, OU=CS, O=companyname, L=Minato-ku, ST=Tokyo, C=JPでよろしいですか。
  [いいえ]:  はい

<エイリアス名>の鍵パスワードを入力してください
        (キーストアのパスワードと同じ場合はRETURNを押してください):                    ※キーストアのパスワードと同じにするのでEnterキーを打鍵します。

keytool -genkeypairコマンドを実行すると、姓名(CN)、組織単位名(OU)、組織名(O)、都市名または地域名(L)、都道府県名または州名(ST)、国コード(C)の項目の入力が求められます。

項目の説明

項目	指定する情報	注意点
姓名(CN)	DataSpiderServer稼働OSのホスト名を指定します。	CAによってはブラウザで指定するURLのドメイン名と一致させる必要があります。
組織単位名(OU)	部門・部署名など、任意の識別名称を指定します。	CAによっては英語名称で指定するなど、使用できる文字や文字数に制限があります。
組織名(O)	組織名を指定します。	CAによっては使用できる文字や文字数に制限があります。
都市名または地域名(L)	組織の所在地情報(市区町村名)を指定します。	CAによっては使用できる文字や文字数に制限があります。
都道府県名または州名(ST)	組織の所在地情報(都道府県名)を指定します。	CAによっては使用できる文字や文字数に制限があります。
国コード(C)	ISO規定の国コードを指定します。	日本は「JP」です。 ISO規定の国コードについては、「Online Browsing Platform (OBP)」(https://www.iso.org/obp/ui/#search)を参照してください。

生成される証明書の有効日数は90日です。それ以上の日数を設定する場合は、-validityオプションで証明書の有効日数を指定します。

例:証明書の有効日数を180日に指定する場合

keytool -genkeypair -alias <別名> -keyalg RSA -keystore $DATASPIDER_HOME\server\system\common\classes\.keystore -validity 180

証明書署名要求(CSR)の作成
自己署名証明書のまま運用する場合は、本手順は不要です。
keytool -certreqコマンドを用いて証明書署名要求(CSR)を作成し、csrファイルに格納します。

keytool -certreq -keystore $DATASPIDER_HOME\server\system\common\classes\.keystore -alias <別名> -file <CSRファイル名>.csr

ここで生成されたファイル(*.csr)は、VeriSignなどのCAに提出します。CAは要求者を(通常はオフラインで)認証し、要求者の公開鍵を認証した署名付きの証明書を送り返します。場合によっては、CAが証明書の連鎖を返すこともあります。証明書の連鎖では、各証明書が連鎖内のその前の署名者の公開鍵を認証します。

証明書のインポート
自己署名証明書のまま運用する場合は、本手順は不要です。
keytool -importcertコマンドを用いてCAから署名された証明書(または証明連鎖)をインポートします。このとき、CAの証明書(中間CAよりサーバ証明書を取得した際には、そのルートCAまでの証明書も含む)が、信頼するCAの証明書としてキーストアにインポートされている必要があります。
- CAの証明書のインポート
  必要に応じて、以下のコマンドでCAの証明書のインポートを行ってください。
  
  keytool -importcert -keystore $DATASPIDER_HOME\server\system\common\classes\.keystore -alias <認証の名称> -trustcacerts -file <認証のCERTファイル名>
- サーバ証明書のインポート
  
  keytool -importcert -keystore $DATASPIDER_HOME\server\system\common\classes\.keystore -alias <別名> -file <CAから署名された証明書(または証明連鎖)>

セキュリティの設定
コントロールパネルの[DataSpiderServerの設定]-[セキュリティ]タブで[HTTPSを有効にする]にチェックを入れ、HTTPS通信時のポート番号とキーストアパスワードを設定します。

HTTPS通信の確認

DataSpiderServerを起動し、HTTPSでアクセスできるかを確認します。確認手順は以下の通りです。

ウェブブラウザから「https://<DataSpiderServer稼働OSのホスト名またはIPアドレス>:<DataSpiderServerのSSLポート番号>/」を入力しDataSpiderServerにアクセスします。

画面に「DataSpider WebContainer」と表示されます。ここで、URLのURIスキームが「https」になっていること、錠前のマークが表示されることを確認してください。
(Internet Explorerの場合、画面右下に表示されます。)

錠前マークをダブルクリックすると証明書を確認することができます。

以下の点を確認してください。
- 発行先:アクセスしたURLと、ホスト名(ドメイン名)が一致していること。
- 発行者:信頼できる認証局が記載されていること。(自己署名証明書の場合は、発行先と同じになります。)
- 有効期間:期限切れになっていないこと。(keytool -genkeypairで-validityオプションを指定しなかった場合、有効日数は90日です。)

URLのURIスキームが「https」になっていること、錠前のマークが表示されることが確認でき、証明書の内容に問題がなければ、「HTTPS通信をしている」ということになります。

ブラウザからアクセスしたらセキュリティの警告メッセージが表示される

「このセキュリティ証明書は、信頼する会社から発行されていません。証明書を表示してこの証明機関を信頼するかどうか決定してください。」
サーバ証明書が自己署名証明書の場合、たとえば次のような警告メッセージが表示されます。警告メッセージを表示させたくない場合は、前述の2.～3.の作業を行うか、この自己署名証明書をインストールしてください。

「セキュリティ証明書は有効期限が切れたか、まだ有効になっていません。」
サーバ証明書の有効期限が切れている場合、たとえば次の警告メッセージが表示されます。keytool -genkeypairコマンド実行時に、-validityオプションを指定することで、任意の有効日数を設定してサーバ証明書を生成することができます。

「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません。」
指定したURLのホスト名(ドメイン名)と、サーバ証明書の姓名(CN)が一致していない場合、たとえば次の警告メッセージが表示されます。サーバ証明書の姓名(CN)を確認して、アクセスし直すか、サーバ証明書を生成し直してください。

DataSpiderServerにアクセスできない

以下の点を確認してください。

URLで指定したホスト名のマシンで、DataSpiderServerが起動しているかどうか。
コントロールパネルの[DataSpiderServerの設定]-[セキュリティ]タブで、[HTTPSを有効にする]にチェックが入っているかどうか。
URLで指定したポート番号と、コントロールパネルの[DataSpiderServerの設定]-[セキュリティ]タブで指定しているポート番号が一致しているかどうか。

DataSpider Studio for Webが起動できない

Studio for Web起動時、「接続が切断されました: SSL/TLSのセキュリティで保護されているチャネルに対する信頼関係を確立できませんでした。」というエラーダイアログが表示される。

自己署名証明書や信頼されていないCAが発行した証明書など、信頼されていない証明書をサーバ証明書として使用している場合に表示されます。
エラーを解消するには、Studio for Web稼働環境の証明書ストアに信頼される証明書としてインポートしてください。

仕様制限

DataSpiderServerで扱えるキーストアタイプはJKSのみです。