Skip to main content

 

 

 

 
Language:

 

 

 

 
 
OutSystems

オンプレミス環境にクライアント側証明書をインストールする

はじめに

他のネットワーク(サーバー側)でホスティングされているSOAP/REST APIを使用してWebサービスへの証明書認証リクエストを行うには、Platform Server(クライアント側)で証明書を使用するように構成することで、クライアント側に証明書を送信できるようにする必要があります。

クライアント側証明書は、Webサービスを利用する環境の各フロントエンドで構成する必要があります。このドキュメントでは、そのプロセスについて説明します。

OutSystems Cloud環境の場合は、こちらのドキュメントをご覧ください。

クライアント側証明書をインストールする

この証明書は、Microsoft管理コンソール(MMC)の証明書スナップインからインストールする必要があります。

1.CNGキー分離サービスが実行されていることを確認します。実行されていない場合は、[Automatic]に変更して開始します。 1.個人用ストアに証明書をインストールします。 1.Microsoft管理コンソール([Start > MMC])を開きます。 1. [File > Add/Remove Snap-in]に移動します。 1. 左側のリストで、[Certificates]を選択して[Add]をクリックします。 1. 証明書スナップインウィンドウで、[Computer Account]を選択します。[Next]をクリックします。 1. [Local Computer]を選択します。[Finish]をクリックします。 1. [OK]をクリックします。 1. 左側のメニューで、[Certificates(Local Computer) > Personal > Certificates]を展開します。 1. 左側のフォルダで、[Personal]にあるCertificatesフォルダを選択します。 1. このフォルダを右クリックし、[All Tasks > Import...]を選択して証明書のインポートウィザードを開きます。 1. [Next]をクリックします。 1. [Browser]をクリックして証明書ファイルを参照します。 1. [Next]をクリックします。 1. [Automatically select the certificate store based on the type of certificate]が選択されていることを確認します。 1. [Next]をクリックします。 1. [Finish]をクリックします。
1. 証明書とCAが正しいストアにインストールされていること、またはルート認証局(CA)が信頼されていることを確認します。

  • 証明書ファイルがある場所([MMC > Certificates > Personal > Certificates])に戻ります。
  • 証明書を右クリックして[Open]を選択します。
  • Certification Path]タブで、証明書の検証に使用されるCAをすべて確認します。

    証明書の詳細

  • MMC > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates]で、ルートCA(証明書パスの最初の要素で、上記の例では「Root Client CA」)がリストに表示されることを確認します。表示される場合は、次の手順をスキップします。

1.このCAがTrusted Root Certification Authoritiesストアにない場合は、追加する必要があります。

1.その他のCAがある場合は、それら(上記の例では「First Intermediate Client CA」と「Second Intermediate Client CA」の2つがあります)のCAが[MMC > Certificates (Local Computer) > Intermediate Certification Authorities > Certificates]に表示されることを確認します。

不足しているものがある場合は、インポートできます(前の手順と同様ですが、**Intermediate Certification Authorities**ストアを選択します)。MMCで証明書をコピーして貼り付けるかドラッグして正しい場所に移動することもできます。

証明書の権限を構成する

この手順が必要になるのは、証明書がCERタイプの証明書ではない場合のみです。

CERタイプではない証明書の場合、以下のグループ/ユーザーに読み取り権限を付与するように証明書のセキュリティを構成します。

  • IIS_IUSRS(IISワーカープロセスのアカウントのグループ、アプリケーションプールが実行されるID)

  • NETWORK SERVICE(Windowsサービスコントロールマネージャーで使用されるローカルアカウント)

そのためには、以下の手順を実行します。

1.Microsoft管理コンソール([Start > MMC])を開きます。 1. [Certificates (Local Computer) > Personal > Certificates]を選択します。 1. 証明書を右クリックし、[All Tasks > Manage private keys > Add...]を選択します。 1. 以下のグループ/ユーザーを追加します。 * IIS_IUSRS * NETWORK SERVICE 1. 両方とも「読み取り」権限があることを確認します。 1. [Apply]を選択します。

証明書をエクスポートする

公開証明書をパスD:\Certificatesにエクスポートします。

新しいフロントエンドのインストールに伴って証明書を追加する場合は、証明書をエクスポートする際に、Service Centerや以前のマシンで構成されたものと同じ名前を必ず使用してください。

1.Microsoft管理コンソール([Start > MMC])を開きます。 1. [Certificates (Local Computer) > Personal > Certificates]を選択します。 1. 証明書を右クリックし、[All Tasks > Export]を選択します。 1. 秘密鍵なしで証明書をエクスポートするオプションを選択します。 1. DERエンコードバイナリX.509(CER)の形式を選択します。 1. ファイルをD:\Certificatesに保存します。

環境に複数のフロントエンドがある場合は、すべてのフロントエンドサーバーに対してこれらの手順を実行する必要があります。

クライアント側証明書のインストールのトラブルシューティング

クライアント側の認証を使用する際に問題が発生している場合は、アプリケーションでの証明書自体の使用方法をダブルチェックしてから、以下の点を確認します。

  • インストールした証明書に秘密鍵が含まれていることを確認します。含まれていない場合、クライアント認証を実行時に使用することはできません。

    1.証明書ファイルがある場所([MMC > Certificates > Personal > Certificates])に移動します。 1. 証明書を右クリックして[Open]を選択します。 1. [General]タブに「You have a private key that corresponds to this certificate」と表示されます。

    ![証明書の秘密鍵](images/install-client-side-cert-on-premise_1.png)
    
  • 秘密鍵に対する証明書の権限が正しく構成されていることを確認します。

  • CAや証明書が不足していないことを確認します。

    複数の証明書ファイルが存在する場合もあります。同じ証明書が異なるファイル形式で含まれている可能性や、それぞれの証明書/CAが分割されている可能性もあります。そうしたファイルは、証明書ストアに証明書パスを含めてインポートする必要があります。

    注記: 秘密鍵を含む証明書を再インポートすると、秘密鍵の権限はデフォルトにリセットされます。

  • Was this article helpful?