OnTimeサーバーにSSL証明書を設定する(OnTime ACS 及び OnTime Auth)

（Ver.3.7リリース時に補足）
以下の設定はOnTime ACS(ADFS連携によるSSO)やOnTime Auth(ドメインログオンによるブラウザSSO)を必要とするときのみ設定してください。推薦するワンタイムメールによるトークン発行の場合は下記作業は必要としません。「OnTimeサーバーにSSL証明書を設定する(Ver.3.7以降)」の作業だけ行ってください。

OnTimeサーバーへの接続をSSLによる暗号化(https)する場合は以下の手順で作業を行ってください。
作業は全てOnTimeが稼働するWindowsサーバーで行って下さい。

1. OnTimeサーバーをSSL化するには.pfx形式か.p12形式の証明書ファイルを先にご準備下さい。
2. Windows証明書マネージャを起動します。
   1. コマンドプロンプト(管理者)を管理者として実行します。
   2. コマンドプロンプトから”certlm”と入力実行し「Windows証明書マネージャ」を起動します。
3. 証明書ファイルをインポートします。
   1. 左ペインのツリーから個人を選択し、マウス右ボタンメニューから「すべてのタスク/インポート」をクリックします。
   2. 証明書のインポートウィザードが起動しますので「次へ」をクリックします。
      
   3. 先ほど準備した証明書ファイルを選択して「次へ」をクリックします。
      
   4. 証明書ファイルを作成した際に指定したパスワードを入力し「次へ」をクリックします。
      
   5. そのまま「次へ」をクリックします。
      
   6. 内容を確認してそのまま「完了」をクリックします。
      
   7. 「正しくインポートされました。」と表示されれば「OK」を押して閉じます。
      
   8. 「個人/証明書」を開き正しくインポートされているか確認します。
      
4. 証明書のサムプリント（拇印）を取得します。
   1. 先ほどの証明書を選択しマウス右ボタンメニューから「開く」をクリックします。
      
   2. 「詳細」タブに移動し、フィールドリストをスクロールして拇印をクリックします。
      
   3. ボックスから 16 進文字をコピーします。
5. SSL証明書をポート番号にバインドします。
   1. コピーした16 進文字をメモ帳などのテキストエディタで開き、16 進文字の間にある空白をすべて削除します。
      
   2. コマンドプロンプト(管理者)を管理者として実行します。
   3. Netsh.exeを使用してポート番号にSSL証明書をバインドします。
      コマンドは以下の通りです。例では3行に分かれていますが1行で1つのコマンドです。
      netsh http add sslcert ipport=0.0.0.0:443
      certhash=481dc59f7217kfvm2824004g888fk3573fdr2120
      appid={00112233-4455-6677-8899-AABBCCDDEEFF}
      • Ipportパラメーターは、IP アドレスとポートを指定します。例の通りで大丈夫です。
      • Certhashパラメーターは、準備した証明書のサムプリントを指定します。例はダミーです。
      • Appidパラメーターは所有しているアプリケーションの識別に使用できる GUID です。自由に指定できますが省略は出来ません。
      • 各パラメータの詳細についてはNetshツールのマニュアルを参照下さい。
   4. 正常に実行されると以下の様なメッセージが表示されます。
      
6. OnTime Desktopクライアントから接続して動作を確認します。
   URLは「https://HOSTNAME/ontimegcms/desktop」です。
   

補足）ポート番号からSSL証明書のバインドを削除するには以下のコマンドを実行します。

• netsh http delete sslcert ipport=0.0.0.0:443