Analytics Exchange 用 ACL コネクターのセキュリティ証明書のインストール

Analytics Exchange 用 ACL コネクターは、クライアント コンピューターと AX Server 間の接続でセキュア ソケット レイヤー(SSL)暗号化をサポートします。SSL が有効になると、コネクターは OpenSSL を使用して、クライアント コンピューターとサーバー間のネットワーク接続全体で転送されるすべてのデータを暗号化します。

証明書を使用して SSL を構成するには、サーバー コンピューターで SSL 証明書のセットを生成する必要があります。SSL 接続では次の証明書タイプのいずれかを生成できます。

はじめに

OpenSSL をダウンロードしてインストールし、openssl.exe 実行ファイルのパスを PATH 環境変数に追加します。

メモ

多くのオープン ソフトウェア プロジェクトのように、OpenSSL プロジェクトはバイナリ形式でコードを配布しません。代わりに、プロジェクト ソースコードをダウンロードし、バイナリを作成するか、サードパーティ ソースからオペレーティング システム用に配布されるバイナリを見つけます。

詳細については、OpenSSL のドキュメントを参照してください。

自己署名のための SSL 証明書の生成

OpenSSL を使用して、サーバー コンピューターで鍵ファイルおよび証明書ファイルを生成します。商業証明書を購入する必要がないときに、自己署名証明書は開発またはテスト中に便利です。

Closed方法の説明
  1. コマンド プロンプトを開き、C:\newcerts ディレクトリを作成します。
    md C:\newcerts
  2. 新しいディレクトリに変更し、サーバー鍵ファイルおよびサーバー証明書ファイルを生成します。
    cd C:\newcerts openssl req -x509 -newkey rsa:4096 -keyout server-key.pem -out server-cert.pem -days 365 -nodes

    国、都市、会社名など、証明書に取り込まれる情報が求められます。後からもう一度この情報が求められる場合があるため、この情報をメモしてください。

    メモ

    -nodes 引数は秘密鍵用にパスワード保護を削除するため、サーバーを再起動するときにパスワードを入力する必要はありません。

結果 自己署名証明書が作成されます。AX Server コンピューターでの Analytics Exchange 用 ACL コネクターのインストール中に server-key.pem および server-cert.pem が必要です。このオプションを使用するときに、クライアント ユーザーは証明書ファイルが必要ありません。

認証局(CA)を使用して SSL 証明書を生成する

自己署名証明書のように、認証局(CA)証明書は、サードパーティが簡単に接続にアクセスできないことを保証します。ただし、CA 証明書はさらなる信頼を提供します。独立した信頼できる認証局はサーバーの認証を検証するためです。

Closed方法の説明

サーバー秘密鍵の作成

  1. コマンド プロンプトを開き、C:\newcerts ディレクトリを作成します。
     md C:\newcerts
  2. 新しいディレクトリに変更し、新しい鍵を生成します。
    cd C:\newcerts openssl genrsa -out server-key-withPass.pem
  3. 証明書署名要求を生成します。
    openssl req -new -key server-key-withPass.pem -out signingReq.csr

    国、都市、会社名など、証明書に取り込まれる情報が求められます。後からもう一度この情報が求められる場合があるため、この情報をメモしてください。電子メール アドレスを要求されたら、有効な電子メール アドレスを入力し、認証局がこのアドレスから証明書を送信できるようにします。

  4. signingReq.csr ファイルで情報を検証してから、ファイルを要求として認証局に送信します。

結果 要求が成功した場合、認証局は、署名要求で指定された電子メール アドレスを使用して証明書を送信します。受信する電子メールには、暗号化された CA 証明書と、暗号化された CA 中間証明書へのリンクがあります。

両方の証明書を中間証明書が続く非中間証明書を含むテキスト ファイルにコピーしてから、ファイルを CA-cert.pem として保存します。次のセクションでこのファイルが必要です。

サーバー証明書の作成と署名

  1. 以前のセクションで生成された次のファイルを収集し、3 つのファイルを C:\newcerts にコピーします。
    • server-key-withPass.pem
    • signingReq.csr
    • CA-cert.pem
  2. コマンド プロンプトを開き、C:\newcerts:
    cd C:\newcerts
    に変更します
  3. サーバー証明書を作成します。
    openssl CA -in signingReq.csr -out server-cert.pem -keyfile server-key-withPass.pem -days 365 -cert CA-cert.pem
  4. server-key-withPass.pem からパスワードを削除し、サーバーを再起動するときにパスワードを入力する必要がないようにし、最終サーバー鍵ファイル(server-key.pem)を生成します。
    openssl rsa -in server-key-withPass.pem -out server-key.pem

    注意

    パスワードの要件を削除すると、証明書をコピーし、別の場所で使用できます。このため、パスワード要件を削除した後は、ファイルを保存するときに、適切な注意が必要です。権限が必要なユーザーにのみアクセスを許可するように設定されていることを確認してください。

結果 サーバー証明書が作成および署名されます。

SSL 証明書の配布

自己署名または CA 証明書を生成すると、配布できる SSL 証明書の完全なセットがあります。