OnTimeサーバーにSSL証明書を設定する(OnTime Auth)
(Ver.3.7リリース時に補足)
以下の設定はOnTime ACS(ADFS連携によるSSO)やOnTime Auth(ドメインログオンによるブラウザSSO)を必要とするときのみ設定してください。推薦するワンタイムメールによるトークン発行の場合は下記作業は必要としません。「OnTimeサーバーにTLS(SSL)証明書を設定する(Ver.3.7以降)」の作業だけ行ってください。
(Ver.4.1.8リリース時に補足)
Ver.4.1.8よりOnTimeMS ACSは内部実装に切り替わっております。別途サービスとしてインストールされなくなりました。
また実装方法が変更されたことで利用ポートなど変更されております。ontime.ms.acs.iniは修正するようお願いいたします。
OnTimeサーバーへの接続をSSLによる暗号化(https)する場合は以下の手順で作業を行ってください。
作業は全てOnTimeが稼働するWindowsサーバーで行って下さい。
Ver.4.1.8以降はOnTime管理センターのユーザーの認証方法の選択肢で「HTTPS Domain(SSO)」を選択した場合のみこのFAQページの実装も行って下さい。「HTTPS Domain(SSO)」はいわゆるWindows統合認証のことです。それ以外のユーザー認証方法をご利用になる場合は以下の手順は必要ありません。
- OnTimeサーバーをSSL化するには.pfx形式か.p12形式の証明書ファイルを先にご準備下さい。
- Windows証明書マネージャを起動します。
- コマンドプロンプト(管理者)を管理者として実行します。
- コマンドプロンプトから”certlm”と入力実行し「Windows証明書マネージャ」を起動します。
- 証明書ファイルをインポートします。
- 証明書のサムプリント(拇印)を取得します。
- 先ほどの証明書を選択しマウス右ボタンメニューから「開く」をクリックします。
- 「詳細」タブに移動し、フィールドリストをスクロールして拇印をクリックします。
- ボックスから 16 進文字をコピーします。
- 先ほどの証明書を選択しマウス右ボタンメニューから「開く」をクリックします。
- SSL証明書をポート番号にバインドします。
- コピーした16 進文字をメモ帳などのテキストエディタで開き、16 進文字の間にある空白をすべて削除します。
- コマンドプロンプト(管理者)を管理者として実行します。
- Netsh.exeを使用してポート番号にSSL証明書をバインドします。
コマンドは以下の通りです。例では3行に分かれていますが1行で1つのコマンドです。
netsh http add sslcert ipport=0.0.0.0:443
certhash=481dc59f7217kfvm2824004g888fk3573fdr2120
appid={00112233-4455-6677-8899-AABBCCDDEEFF}- Ipportパラメーターは、IP アドレスとポートを指定します。例の通りで大丈夫です。
- Certhashパラメーターは、準備した証明書のサムプリントを指定します。例はダミーです。
- Appidパラメーターは所有しているアプリケーションの識別に使用できる GUID です。自由に指定できますが省略は出来ません。
- 各パラメータの詳細についてはNetshツールのマニュアルを参照下さい。
- 正常に実行されると以下の様なメッセージが表示されます。
- Ver.3.7以降はApache本体とは9443ポートを使用するのでもう一つの登録を行います。
コマンドは以下の通りです。例では3行に分かれていますが1行で1つのコマンドです。
netsh http add sslcert ipport=0.0.0.0:9443
certhash=481dc59f7217kfvm2824004g888fk3573fdr2120
appid={00112233-4455-6677-8899-AABBCCDDEEFF}
- コピーした16 進文字をメモ帳などのテキストエディタで開き、16 進文字の間にある空白をすべて削除します。
- OnTime Desktopクライアントから接続して動作を確認します。
URLは「https://HOSTNAME/ontimegcms/desktop」です。
補足)ポート番号からSSL証明書のバインドを削除するには以下のコマンドを実行します。
- netsh http delete sslcert ipport=0.0.0.0:443
