その他のコンフィギュレーション > ThingWorx Navigate の SSL/TLS を有効にするための必要条件
  
ThingWorx Navigate の SSL/TLS を有効にするための必要条件
このトピックの情報は、ThingWorx Navigate のインストールと設定に必要な KeyStore および TrustStore ファイルを準備するために役立ちます。インストールを開始する前にこのトピックに目を通し、インストールプロセスの実行中に必要に応じて参照してください。
SSL の設定の概要
本番環境には Secure Sockets Layer (SSL) プロトコルを使用することを PTC は推奨しています。ThingWorx Navigate は、SSL を使用してサーバーを相互に認証するとともに、通信自体を保護することもできます。
HTTPS の設定には権限証明書が必要です。ThingWorx Navigate では、Java によって信頼されている証明書が必要です。Java によって信頼されていない証明書を使用する場合は、この証明書を Java で信頼されるように設定する必要があります。たとえば Verisign や Thawte などのサードパーティベンダーから提供される証明書は、Java によって信頼されている権限証明書です。
SSL コンフィギュレーションは環境によって大きく異なり、ここでは SSL コンフィギュレーションで使用できるすべてのオプションについては説明しません。ここで説明する手順では、使用するインストールに HTTPS を実装するために多少の作業が必要です。
ThingWorx Navigate は、さまざまなコンフィギュレーションと認証方法をサポートしています。このため、「ThingWorx Navigate Setup」インストールツールと「ThingWorx Navigate Configuration」ツールを使用する前に、さまざまな証明書、KeyStore、TrustStore ファイルを作成し、準備しておく必要があります。
以下のセクションでは、Java の keytool ユーティリティを使用して KeyStore および TrustStore ファイルを生成するための汎用的な手順を示します。インストールおよびコンフィギュレーション手順には、手順ごとに必要な正確な KeyStore または TrustStore ファイルの情報が含まれています。ファイルの生成に関する一般的な手順については、このトピックを参照してください。
* 
TrustStore および KeyStore ファイルのパスワードを設定するときには、文字と数字のみを含むようにします。特殊文字はサポートされていません。
これらのファイルをセキュアな方法で生成するには、市場で提供されているさまざまなオプションを調査してください。PTC は、ユーザーが生成する証明書、KeyStore および TrustStore ファイルのセキュリティに対する責任を負いません。
自己署名証明書を使用して SSL ベースの接続を受け入れるには、KeyStore ファイルを生成します。
開始する前に、使用するパス内に Java keytool ユーティリティが存在することを確認してください。次に、以下の手順に従って、公開/秘密キーペアを内部に含む新しい KeyStore ファイルを作成します。
* 
次の手順では、管理者としてコマンドプロンプトを実行してください。そうでない場合、次のエラーが発生することがあります。
keytool error: java.io.FileNotFoundException: tomcat.keystore (Access is denied)
1. KeyStore のディレクトリを選択して、そのディレクトリに保存します。たとえば、D:\Certificates です。
2. コマンドプロンプトを開き、このコマンドを使用して Java インストールフォルダに移動します。
cd %JAVA_HOME%/bin
3. 次のコマンドを実行して、証明書の秘密キーを含む KeyStore を生成します。
keytool -genkey -alias testKeyStore -keyalg rsa -dname "CN=<transport cert, application cert, or client authentication>" -keystore KeyStore.jks -storetype JKS
KeyStore ファイルのパスワードと秘密キーのパスワードを作成するよう求められます。両方の場所に同じパスワードを使用します。
* 
使用する環境に応じて、-dname 引数の値を変更します。
使用する証明書のタイプに応じて、CN の値を指定します。
トランスポートレイヤー - 完全修飾ホスト名を入力します。たとえば、<hostname.domain.com> です。
アプリケーションレイヤーまたはクライアント認証 - 適切な (任意の) 名前を指定します。たとえば、ThingWorx です。
4. 次のコマンドを使用して、キーに対する自己署名証明書を作成します。KeyStore のパスワードのメッセージが表示されたら、手順 3 で作成したパスワードを入力します。
keytool -selfcert -alias testKeyStore -validity 1825 -keystore KeyStore.jks -storetype JKS
5. 次のコマンドを使用して、新しい証明書の公開キーをエクスポートします。
keytool -export -alias testKeyStore -file testKeyStore.cer -rfc -keystore KeyStore.jks -storetype JKS
生成した KeyStore ファイルには、秘密キーが関連付けられています。
TrustStore ファイルの生成
次のコマンドを使用して、新しい TrustStore を作成し、サーバー証明書をそこにインポートします。
keytool -import -alias testtrustStore -file server.cer -keystore TrustStore.jks -storetype JKS
証明書を信頼するかどうか尋ねられたら、yes と入力します。
詳細については、このテクニカルサポートのアーティクルも SSL/TLS 1.2 for Windows の設定に役立ちます。