Israel +972 4 6308447         USA +1 619 831 0029             JAPAN +81 (0)50 5893 6263

OpenLM Server v5のSSL設定 – KB501

  • OpenLM Server v5のSSL設定 – KB501
  • このドキュメントはOpenLM Serverバージョン5と関係するコンポーネント用のSSL設定を説明します。証明書機関(CA)からのデジタル署名付き証明書が目標のマシンに既に存在する事を想定しています。

    Contents:

    1. OpenLM ServerのSSL設定

    オプションA – Windowsストア用証明書付きSSL

    オプションB – 特定証明書ファイル付きSSL

    2. SSL使用中OpenLM Serverへの接続

    OpenLM Broker

    OpenLM Agent

    OpenLM Applications Manager

    OpenLM Router

    OpenLM Reports Scheduler

    3. EasyAdminユーザー接続用SSLの使用

    4. SSL設定のアップグレードServer v4.xからv5

     

    1. OpenLM ServerのSSL設定

    1. アドミンアカウントでテキストエディターでC:\Program Files (x86)\OpenLM\OpenLM Server\bin\appsettings.jsonを開く。

    ファイルの最後で、次を検索して編集する:

    • “Url”変数 – httpsを指定
    • “Kestrel”ノード– 証明書ストアか証明書への特定パスの使用かによって下記a) か b)を参照。
    • (オプション) 必要なら、エイリアスとして行動するようにポートを追加できます。 (7016と7012参照)。 “ ”間の名前(例;“Broker”)は単純に説明でどの値でも構いません。

    オプション A – Windowsストアの証明書付きSSL

    証明書ノードを追加する:

    "Kestrel": {
        "Endpoints": {
          "Http": {
            "Url": "https://*:5015"
          },
          "Broker": {
            "Url": "https://*:7016"
          },
          "Agent": {
            "Url": "https://*:7012"
          }
        },
        "Certificates": {
          "Default": {
            "Subject": "SILV-PC",
            "Store": "Root",
            "Location": "LocalMachine",
            "AllowInvalid": "true"
          }
        }
      }
    
    • Subject(対象) – 誰に証明書が発行されたか。Windows Run → certmgr.msc → 証明書がある証明書ストアを選択 → ダブルクリック → 詳細タブをクリック → 対象を検索 (下記図参照)
    • Store(ストア) – 証明書ストア。“Personal”(個別)ストアは“My”(私の)で参照され、“Trusted Root Certification Authorities”(信頼ルート証明機関)は“Root”(ルート)として参照される。他の証明書ストアの名前については、こちらの記事を参照してください
    • Location(場所) – LocalMachineローカルマシンかCurrentUser現行ユーザーのどちらでも構いません。
    • AllowInvalid(無効許可) – 必要なら無効証明書の使用許可をTrueに設定してください(例; 自己署名証明書)

    証明書の対象を検索

     

    オプション B – 特定証明書ファイル付きSSL

    証明書ノードを追加する:

    "Kestrel": {
        "Endpoints": {
          "Http": {
            "Url": "https://*:5015"
          },
          "Broker": {
            "Url": "https://*:7016"
          },
          "Agent": {
            "Url": "https://*:7012"
          }
        },
        "Certificates": {
          "Default": {
            "Path": "C:\\Users\\borisi\\Desktop\\Cert\\OpenLM_Test.pfx",
            "Password": "ZXzx12!@"
          }
        }
      }
    
    • Path(パス) – 証明書ファイルへのパス。スラッシュの代わりに2重バックスラッシュを必ず使用してください。
    • Password(パスワード) – 証明書のプライベートキーのパスワード。

    注意: 必ず { }が適切にとじられているか確認してください。

    2. ファイルを保存する。

    3. アドミンアカウントでテキストエディターでC:\Program Files (x86)\OpenLM\OpenLM Server\WebApps\EasyAdmin2\params.jsファイルを開く。

    4.変数(SoapProxyPath, WebProxyPath, WebProxySaasPath, OpenLMServer, EasyadminRoot)を編集してURLをhttpsにする。ホスト名は必ずSSL証明書に記載されているものと正確に一致するようにする(例;ホスト名.com)。

    5. ファイルを保存する。

    6. “OpenLM Server”サービスをリスタートする。

     

    2. SSL使用中OpenLM Serverへの接続

    重要: サーバーに使用されており、サーバーにインストールされマシンの信頼証明書ストアに提供されている自己署名証明書は、OpenLM Serverに接続しているコンポーネント(例:Agent, Broker, Router)のマシンにも必要です。Linuxの場合、JAVAベースのコンポーネント(Broker、Applications Manager、Router、Reports Scheduler)では、自己署名証明書はローカルのJDKキーストンに追加しなければなりません。JAVA提供のkeytoolユーティリティを使用して実行してください。

    ServerにSSLが一旦設定された場合、httpSプロトコールを使用して接続している全てのコンポーネントのホスト名/IPを更新する必要があります。サーバーの自己署名証明書の設定どおり、ホストを指定する時は正確なFQDN名を使用するようにしましょう。

     

    OpenLM Broker

    1. OpenLM Brokerコンフィグツールを開始してください。
    (Windows Start(スタート) → OpenLM → OpenLM Broker設定ツール)

    2. 右側パネルでSSL接続を設定したサーバーを選択する。

    3. “OpenLM Server”フィールドはSSL証明書で記載されている完全に有効なドメイン名を入力してください。ポート番号を入力し、SSLボックスがチェックされているのを確認してください。

    4. “Check Connectivity to OpenLM Server”(OpenLM Serverへの接続をチェック)をクリックしてください。SSLの設定に成功している場合、成功ダイアログがポップアップします。

    5. “Apply”(適用)をクリックし、新しい設定を保存し、“Restart Broker”(リスタート)をクリックしてください。

     

    OpenLM Agent

    1. Agentトレイアイコンを右クリックし、“OpenLM Agent Configuration”(Agentコンフィグ)をクリックしてください。

    OpenLM Agent tray menu

    2. OpenLM ServerフィールドにSSL証明書で記載された完全に有効なドメイン名を入力してください。“Use SSL”(SSL使用)ボックスをチェックし、ポートのフィールドがOpenLM Serverのappsettings.jsonで設定されたメインポートである事を確認してください。 (例: 5015)

    3. “Check connectivity to OpenLM Server”(OpenLM Serverへの接続チェック)をクリックし、接続が確立されているか確認してください。

    4. “Apply”(適用)をクリックして設定を保存し、Agentコンフィグウインドウを閉じてください。

     

    OpenLM Applications Manager

    次のステップでは、OpenLM Applications ManagerがSSL有効のOpenLM Serverへの接続設定の仕方を学びます。OpenLM Applications Manager自体をSSL通信にするには (例; Agentsへ)、代わりにこの文書を参考にしてください

    1. Applications Managerフォルダーを探し、openlm-app-manager.propertiesファイルをテキストエディターで開いてください。(デフォルト;C:\Program Files\OpenLM\OpenLM App Manager)

    2. 次の変数を変更してください;

    openlm.server.protocol = https

    openlm.server.host =

    openlm.server.port = <デフォルトのポートを変更した場合はここでも変更>

    3. ファイルの変更を保存する。

    4. Windows Servicesを開き、“OpenLM App Manager”サービスをリスタートする。

     

    OpenLM Router

    Windowsの場合

    1. “OpenLM Software Router.exe” を実行する (デフォルト; C:\Program Files\OpenLM\OpenLM Software Router\bin)

    2. Routerプロパティツールが開きます。“Startup”(スタートアップ)タブをクリックしてください。

    3. SSL証明書で記載されたOpenLM Serverのアドレスをアーギュメントに反映するように編集してください。例:

    -log https://windows2019dev2.openlm.com:5015/OpenLM.Server.Services/RouterAPI

    4. “Apply”(適用)をクリックしOKでツールを閉じてください。

    5. Windowsサービスを開き“OpenLM Software Router”サービスをリスタート。

     

    Linux/Unixの場合

    1. OpenLM Routerをインストールしたフォルダーでrouter.sh sスクリプトを編集してください。

    2. SSL証明書で記載されたOpenLM Serverのアドレスを-logの後のアーギュメントに反映するように編集してください。例:

    #!/usr/bin/env bash
    
    java -Dlog4j.configuration=file:log4j.properties -Djava.net.preferIPv4Stack=true -jar openlm-router-2.0.20.jar -log https://windows2019dev2.openlm.com:5015/OpenLM.Server.Services/RouterAPI

    3. OpenLM Routerサービスをリスタートしてください。

     

    OpenLM Reports Scheduler

    1. OpenLM Report Schedulerフォルダーに行きreport_scheduler.propertiesファイルをテキストエディターで開く(デフォルトC:\Program Files (x86)\OpenLM\OpenLM Report Scheduler)

    2. 次の変数を変更:

    openlm.protocol=https

    openlm.host=

    openlm.soap.port=<デフォルト5015を変更した場合に変更>

    3. 変更を保存する

    4. Windowsサービスを開き“OpenLM Report Scheduler”サービスをリスタート

     

    3. EasyAdminユーザー接続にSSLを有効化

    EasyAdminをIISで運用している場合、EasyAdmin<->ユーザー接続でSSL通信を有効化できます。EasyAdminをSSLで設定する事は、セクション1に頼らないです。 OpenLM Server ポート(5015)でSSLが有効化されているかどうかに依らず有効化できます。有効化のステップは単純に以下の通りです。

    1. IISマネジャーを開く

    2. Sites(サイト)に移動し → Default Web Site(デフォルトウェブサイト)

    3. 右のパネルで、Bindings(バインディング)をクリックしデフォルトの443 HTTPSポートを追加し、SSL証明書を指定します。

    4. ウインドウを閉じ、ウェブサイトをリスタートします。

    5. 次のURLでEasyAdminを開けるかどうか検証。
    https:///EasyAdmin2/index.html

     

    4. SSL有効のOpenLM Serverバージョン4.xから5.xにアップグレード

    IISを通してOpenLMバージョン4.xポートでSSLを以前設定していた場合、最初にappsettings.json で指定されたポートとコンフリクトするIISバインディングを取り除かなければ、OpenLM Serverのプロセスは開始に失敗します。SSLを使用するには手動の変更が必要です。

    1. IISマネジャー → Sites(サイト) → Default Web Site(デフォルトウェブサイト) (EasyAdminをホストするように設定したサイト)

    2. 右パネルで、Bindings(バインディング)をクリックし、EasyAdminに使用するポート以外の以前設定した全てのSSL設定ポートを取り除く  (7012, 7016, 7014等)

    3. Default Web Site(デフォルトウェブサイト)をリスタート。

    4. 本書のセクション1のSSL設定手順に従ってください。

    Skip to content