Title: HTTPS X.509 クライアント認証の有効化
ここでは X.509 クライアント認証を有効にする手順について解説します。X.509 クライアント認証についての概要は、HTTPS X.509 クライアント認証の動作概説 をご覧ください。
基本的な操作手順
設定作業は、次の4つのステップになります。
1. ブラウザに証明書がインストール済みであることを確認する。
2. CA (認証局) の署名入りクライアント証明書を保存する。
3. 保存した証明書を TeamPage にインストールする。
4. TeamPage を「HTTPS クライアント認証」モードに変更する。
注意: 以下に述べる手順に従って、ブラウザに証明書がインストール済みであることを確認し、その証明書の CA を必ず TeamPage にインポートしてください。これらの作業を行わないまま TeamPage の動作モードを変更すると、TeamPage へのログインができなくなります。
注意: 誰もログインできなくなるような事態を避けるため、作業前に必ずジャーナルのバックアップを取ってください。使用中のジャーナルの確認方法については FAQ221: 使用中のジャーナルがどこにあるのかを調べるには を参照してください。
証明書がブラウザにインストールされているか確認する
ここでは Internet Explorer 9 を使って解説します。その他のブラウザでもおおよそ似たような方法になります。詳しくは、各ブラウザーのヘルプを参照してください。
[ツール] メニューの [インターネット オプション] を選択します。
[コンテンツ] タブの [証明書] ボタンをクリックします。
[個人] タブに1つ以上の証明書が表示されれば、作業を進められます。証明書が1つも表示されない場合は、この先の設定を完了させられませんので、作業を中止してください。
CAの署名入りクライアント証明書をエクスポートする
次の手順に従って、あなたの証明書に署名を入れた CA (認証局) の証明書を TeamPage インポートする必要があります。CA の証明書ではなくあなたの証明書を TeamPage にインポートしてもログインできませんので注意してください。
上図の一覧に表示された証明書の中から、TeamPageに信用させたいものをダブルクリックしてください。下図のような、証明書の詳細が表示されます。
[証明のパス] タブをクリックし、CA の証明書を選択します。この CA はブラウザによって信頼されている必要はありません(信頼されていない場合は赤い×アイコンが表示されます)。しかし、TeamPage にログインするためには、この証明書を TeamPage に信頼させる必要があります。
CA の証明書を選択し、[証明書の表示] ボタンをクリックします。
[詳細] タブの [ファイルにコピー] ボタンをクリックします。
証明書のエクスポート ウィザードが表示されます。[次へ] ボタンをクリックします。
[Base 64 encoded X.509 (CER)] オプションを選択し、[次へ] ボタンをクリックします。
保存するファイル名を入力し、[次へ] ボタンをクリックします。
エクスポートされたファイルのパスや形式などが表示されます。ウィザードを終了するには [完了] をクリックします。
ファイルが保存され、「正しくエクスポートされました。」というメッセージが表示されます。このファイルは、TeamPageにインポートした後は削除して構いません。ファイルの保存が完了したら、下図のメッセージやインターネットオプションを閉じてください。
CA証明書をTeamPageにインストールする
[サーバーセットアップ] > [ネットワーク タブ] > [HTTP サーバー] を開き、[セキュリティレベル] ドロップダウンメニューから [TLS (Client X.509 必須)] を選択します。この時点ではまだ [適用] ボタンを押さないでください。
ドロップダウンリストの下に表示された、[信頼された認証の編集はここをクリックしてください。] リンクをクリックします。
初回は下図のような「セキュリティ パスワード」画面が表示されますので、必ず任意のパスワードを設定してください。
「TLS マネージャ」画面が表示されます。「信頼された証明書の追加」欄の「証明書 (PEM形式)」欄で、ブラウザからエクスポート保存した証明書ファイルを指定します。「エイリアス」欄は、他の Java ツール(例えば keytool )のキーストアとアクセスする場合に指定します。必要に応じて記入してください。
[追加] ボタンをクリックすると、ファイルが TeamPage にアップロードされ、証明書の詳細が「選択されたエントリー」欄に表示されます。
以上で証明書のインポートは完了しました。[閉じる] ボタンをクリックして「TLSマネージャ」画面を閉じてください。
TeamPageを「HTTPSクライアント認証」モードに変更する
「セキュリティ レベル」のドロップダウンリストで [TLS (Client X.509 必須)] が選択されていることを再確認し、[適用] ボタンをクリックしてください。「HTTPSクライアント認証」モードに切り替わります。
注意: 「A server private key is required to enable TLS Encryption」というエラーメッセージが表示された場合は、TeamPage の SSL/TLS 設定が完了していません。HTTPS 設定 を参照して、設定を完了させてください。
メモ: TeamPage の動作モードが切り替わったことは、ログファイル (traction.log) に「Server ready on ~ TLS w/ Required Client X.509」と記録されます。また、TeamPageをアプリケーションとして起動している場合は、下図のように、コンソール画面にも表示されます。
TeamPage にアクセスすると、ブラウザは証明書の選択画面を表示します。TeamPage が信用するように設定した証明書を選択し、[OK] ボタンをクリックします。
下図のような画面が表示されることがあります。[OK] ボタンをクリックします。TeamPage の認証が行われ、フロントページやスタートページが表示されます。証明書がインストールされていないブラウザは、認証要求に応えることができないため、TeamPage へのアクセスが拒否されます。
以上で、「HTTPS X.509 クライアント認証の有効化」の設定は完了です。この手順を繰り返すことで、いくつもの証明書をインポートできます。
