Title: HTTPS X.509 クライアント認証の有効化

ここでは X.509 クライアント認証を有効にする手順について解説します。X.509 クライアント認証についての概要は、HTTPS X.509 クライアント認証の動作概説 をご覧ください。



基本的な操作手順



設定作業は、次の4つのステップになります。

1. ブラウザに証明書がインストール済みであることを確認する。

2. CA (認証局) の署名入りクライアント証明書を保存する。

3. 保存した証明書を TeamPage にインストールする。

4. TeamPage を「HTTPS クライアント認証」モードに変更する。

注意: 以下に述べる手順に従って、ブラウザに証明書がインストール済みであることを確認し、その証明書の CA を必ず TeamPage にインポートしてください。これらの作業を行わないまま TeamPage の動作モードを変更すると、TeamPage へのログインができなくなります。



注意: 誰もログインできなくなるような事態を避けるため、作業前に必ずジャーナルのバックアップを取ってください。使用中のジャーナルの確認方法については FAQ221: 使用中のジャーナルがどこにあるのかを調べるには を参照してください。



証明書がブラウザにインストールされているか確認する



ここでは Internet Explorer 9 を使って解説します。その他のブラウザでもおおよそ似たような方法になります。詳しくは、各ブラウザーのヘルプを参照してください。

[ツール] メニューの [インターネット オプション] を選択します。

インターネット オプション

[コンテンツ] タブの [証明書] ボタンをクリックします。

証明書ボタンをクリック

[個人] タブに1つ以上の証明書が表示されれば、作業を進められます。証明書が1つも表示されない場合は、この先の設定を完了させられませんので、作業を中止してください。

個人タブのプライベート証明書

CAの署名入りクライアント証明書をエクスポートする



次の手順に従って、あなたの証明書に署名を入れた CA (認証局) の証明書を TeamPage インポートする必要があります。CA の証明書ではなくあなたの証明書を TeamPage にインポートしてもログインできませんので注意してください。



上図の一覧に表示された証明書の中から、TeamPageに信用させたいものをダブルクリックしてください。下図のような、証明書の詳細が表示されます。

証明書を選択してダブルクリック

[証明のパス] タブをクリックし、CA の証明書を選択します。この CA はブラウザによって信頼されている必要はありません(信頼されていない場合は赤い×アイコンが表示されます)。しかし、TeamPage にログインするためには、この証明書を TeamPage に信頼させる必要があります。

パス

CA の証明書を選択し、[証明書の表示] ボタンをクリックします。

証明書の表示

[詳細] タブの [ファイルにコピー] ボタンをクリックします。

ファイルにエクスポート

証明書のエクスポート ウィザードが表示されます。[次へ] ボタンをクリックします。

エクスポートのウィザードを開始

[Base 64 encoded X.509 (CER)] オプションを選択し、[次へ] ボタンをクリックします。

Base64 CER

保存するファイル名を入力し、[次へ] ボタンをクリックします。

ファイル名の指定

エクスポートされたファイルのパスや形式などが表示されます。ウィザードを終了するには [完了] をクリックします。

エクスポートされたファイル

ファイルが保存され、「正しくエクスポートされました。」というメッセージが表示されます。このファイルは、TeamPageにインポートした後は削除して構いません。ファイルの保存が完了したら、下図のメッセージやインターネットオプションを閉じてください。

エクスポート完了

CA証明書をTeamPageにインストールする



[サーバーセットアップ] > [ネットワーク タブ] > [HTTP サーバー] を開き、[セキュリティレベル] ドロップダウンメニューから [TLS (Client X.509 必須)] を選択します。この時点ではまだ [適用] ボタンを押さないでください。

セキュリティレベルを変更

ドロップダウンリストの下に表示された、[信頼された認証の編集はここをクリックしてください。] リンクをクリックします。

ここをクリックして設定を行う

初回は下図のような「セキュリティ パスワード」画面が表示されますので、必ず任意のパスワードを設定してください。

パスワードの設定

「TLS マネージャ」画面が表示されます。「信頼された証明書の追加」欄の「証明書 (PEM形式)」欄で、ブラウザからエクスポート保存した証明書ファイルを指定します。「エイリアス」欄は、他の Java ツール(例えば keytool )のキーストアとアクセスする場合に指定します。必要に応じて記入してください。

証明書ファイルをインポート

[追加] ボタンをクリックすると、ファイルが TeamPage にアップロードされ、証明書の詳細が「選択されたエントリー」欄に表示されます。

証明書インポート完了

以上で証明書のインポートは完了しました。[閉じる] ボタンをクリックして「TLSマネージャ」画面を閉じてください。

TeamPageを「HTTPSクライアント認証」モードに変更する



「セキュリティ レベル」のドロップダウンリストで [TLS (Client X.509 必須)] が選択されていることを再確認し、[適用] ボタンをクリックしてください。「HTTPSクライアント認証」モードに切り替わります。

設定を適用

注意: 「A server private key is required to enable TLS Encryption」というエラーメッセージが表示された場合は、TeamPage の SSL/TLS 設定が完了していません。HTTPS 設定 を参照して、設定を完了させてください。

エラーメッセージ



メモ: TeamPage の動作モードが切り替わったことは、ログファイル (traction.log) に「Server ready on ~ TLS w/ Required Client X.509」と記録されます。また、TeamPageをアプリケーションとして起動している場合は、下図のように、コンソール画面にも表示されます。

TractionApplication



TeamPage にアクセスすると、ブラウザは証明書の選択画面を表示します。TeamPage が信用するように設定した証明書を選択し、[OK] ボタンをクリックします。

証明書の確認

下図のような画面が表示されることがあります。[OK] ボタンをクリックします。TeamPage の認証が行われ、フロントページやスタートページが表示されます。証明書がインストールされていないブラウザは、認証要求に応えることができないため、TeamPage へのアクセスが拒否されます。

秘密交換キー

以上で、「HTTPS X.509 クライアント認証の有効化」の設定は完了です。この手順を繰り返すことで、いくつもの証明書をインポートできます。



Attachments:
settings_01.png
settings_02.png
settings_02a.png
settings_03.png
settings_04.png
settings_05.png
settings_06.png
settings_07.png
settings_08.png
settings_09.png
settings_10.png
settings_11.png
tp-settings-01.png
tp-settings-02.png
tp-settings-03.png
tp-settings-04.png
tp-settings-05.png
tp-settings-06.png
tp-settings-07.png
traction-console.png
confirm-cert.png
関連記事
Article: DocJp104 (permalink)
Date: 2009/09/15; 13時50分01秒 JST

Author Name: TeamPage サポート
Author ID: jpbo