« ネットワークセキュリティ対応の概要   |   プロキシサーバ経由での接続のための設定 »

SSL 利用のための設定

システム構成の項 でご説明しているように、fusion_place は、Tomcat アプリケーションサーバ上で稼働します。、Tomcat は SSL に対応しているので、SSL サーバ証明書を用意し、Tomcat 設定ファイルを適切に修正することによって、fusion_place を SSL 通信に対応させることができます。

サーバ側の対応

1. fusion_place サーバにて SSL 対応する場合

この場合は、fusion_place が使用している Tomcat の設定を変更して SSL に対応します。

(1)SSL サーバ証明書の配備

SSL サーバ証明書を組み込んだ「キーストア」ファイルを作成し、サーバ機からアクセスできるドライブ上に置いて下さい。キーストアの作成方法については、Java および Tomcat 7 に関する文献をご参照ください。SSL サーバ証明書については、以下の点にご注意ください:

  • 証明書は、各クライアントの Windows の「インターネットオプション」および Java にて「信頼されたルート証明機関」として登録された証明機関(CA)による認証を、直接または間接に受けたものでなくてはなりません。

  • 証明書中の「コモンネーム(CN)」は、サーバのホスト名に合致しなくてはなりません。例えば、ホスト名が、fusionplace.xxxxx.com であれば、コモンネームもそれと同じでなければなりません。ただし「ワイルドカード証明書」を用いると、コモンネームの一部を * として、任意の文字列に合致させることができます。

(2)Tomcat 設定ファイルの修正

Tomcat の設定ファイル server.xml を、SSL に対応するよう修正して下さい。server.xml の所在は「 インストール時指定情報の記録場所 」をご参照ください。server.xml の内容は XML 形式の文書となっていますがその中の Connector 要素を SSL 向けに書き換えることにより、SSL に対応できます。修正内容については Tomcat 7 に関する文献をご参照ください。Connector 要素の修正例を以下に挙げます(下記記述は、インストール時に作成される server.xml 内に、コメントアウトされた形で含まれています):

…修正内容…

  <Connector

    protocol="org.apache.coyote.http11.Http11NioProtocol" server="fusion_place" executor="fpThreadPool"
    maxPostSize=" -1" enableLookups="false" acceptCount="100" connectionTimeout="600000"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="・・・" keystorePass="・・・" keyAlias="・・・"
    clientAuth="false" sslProtocol="TLS" port="・・・"/>

注) port にはポート番号を、keystoreFile には SSL 証明書を組み込んだキーストアファイルの名前(パス)、keystorePass にはそのパスワードを設定して下さい。
また、keyAlias には、当サーバに適用する証明書のアライアス(キーストア中での識別名)を指定して下さい。

2. fusion_place サーバの前方に Web サーバなどを置き、そのサーバにて SSL 対応する場合

この場合、Web サーバと fusion_place の Tomcat サーバの間は通常の HTTP 通信となりますので、基本的には fusion_place 側では SSL 通信自体のための設定は不要です。

ただし、このケースにおいて、fusion_place サーバからクライアントに送られる、jnlp ファイル(クライアントプログラム起動ファイル)中、fusion_place サーバの URL の先頭部分(URL スキーム)を、http: ではななく、https: とする必要があります。

そのためには、server.xml 中で、他の Environment 要素と並べて、下記の 1 行をお加えください。並び順は任意です。

  <Environment name="fusionplace/server_force_https" type="java.lang.Boolean" value="true" />

これにより、Web サーバ -> fusion_place の通信プロトコルが http であっても、fusion_place が返す jnlp ファイル中の URL スキームは、https となります。

クライアント側の対応

クライアント側 PC での SSL 対応は、アクセス先の URL を、SSL 用の「https:」 で始まるものに変更するだけです。アクセス先は以下の箇所で指定されている可能性があります:

  • fusion_place のメニューページの URL

  • fusion_place [マネージャ][ブラウザ] の起動などのためにショートカットを用いる場合には、そのショートカットの参照先 URL。

  • [Excel-Link] の「接続の設定」にて指定されているサーバ URL