PTC HTTP Server および Windchill の HTTPS の設定
Windchill Services によって HTTPS 設定の実行に必要な site.xconf ファイルが提供されるので、これらの手順を実行する前に、Windchill Services をインストールしておく必要があります。
定義済みの Windchill が HTTP 用に設定されますが、Windchill は最小限の手順で HTTPS を実装できるようになっています。このセクションで説明する手順では PTC HTTP Server (Windchill にパッケージされているデフォルトの Web サーバー) を使用した HTTPS のみをサポートします。その他の Web サーバーの HTTPS の手順は、製品のベンダーから入手する必要があります。
Windchill で、ほかの Web サーバーについて HTTPS をサポートできるようにするには、以下の作業を行います。
• xconfmanager を使用して、HTTPS を使用するように wt.properties の wt.server.codebase プロパティを設定します。これは PTC HTTP Server について実行する手順と同じです。
• Web サーバー、サーブレットエンジン、および Windchill を再起動して、変更を有効にします。
HTTPS の設定には商用の権限証明書が必要です。権限証明書はサードパーティベンダーによって配布されます。一部の設定方法は権限証明書を使用して実行できます。ここで説明する手順では、使用するインストールに HTTPS を実装するために多少の作業が必要です。
1. 権限証明書を入手します。
最初のステップは権限証明書の入手です。証明書はサードパーティベンダーによって配布されます。Windchill では、Java によって信頼されている証明書が必要です。Java によって信頼されていない証明書を使用する場合は、この証明書を Java で信頼されるように設定する必要があります。たとえば、Verisign および Thawte から提供されている証明書は、Java が信頼している権限証明書です。
Web サーバーの権限証明書が Java によって信頼されていない場合は、権限証明書を jssecacerts キーストアに追加する必要があります。次のコマンドを実行する前に、デフォルトの JDK cacerts ファイルをコピーして jssecacerts というファイル名にする必要があります。cacerts ファイルは <JRE>/lib/security ディレクトリにあります。
keytool -import -alias <なんらかのエイリアス名>
-file <certificateAuthority.cert へのパス> -storetype jks-keystore /<JRE>/lib/security/jssecacerts
これは、サーブレットエンジンと Windchill サーバー、Web サーバーにアクセスするほかの Java アプリケーションが使用する JRE について設定する必要があります。
ご使用の JRE によって信頼されているデフォルトの権限証明書を表示するには、以下のコマンドを実行します。
keytool -list -v -keystore /<JRE>/lib/security/cacerts
Java セキュリティに関する補足情報については、以下の URL を参照してください。
http://java.sun.com/products/jsse
2. 権限証明書が認識されるように PTC HTTP Server を設定します。
証明書ファイルとプライベートキーが PTC HTTP Server に追加されます。デフォルトでは、特にセキュリティアクセスの設定用として 2 つのファイルが参照用に提供されています。
For PTC HTTP Server
a. 証明書ファイル (server.crt) を <Apache>/conf/ ディレクトリにインストールします。
b. プライベートキー (server.key) を <Apache>/conf/ ディレクトリにインストールします。
3. PTC HTTP Server 2.4 では、HTTPSERVER_HOME の次のコマンドが SSL を有効にします。
ant -DHTTPS_ENABLED=true -f config.xml reconfigure
4. URL を HTTPS に変更して Windchill を HTTPS 用に設定します。
xconfmanager を使用して、次の 2 つのプロパティを適切な値に変更します。
a. wt.webserver.port=<HTTPS 用ポート> プロトコルのデフォルトポートは 443 です。
b. wt.webserver.protocol=https
5. PTC HTTP Server を再起動します。
HTTPS PTC HTTP Server 起動コマンドは SSL と非 SSL サーバーで同じになります。
PTC HTTP Server 2.4
Windows
<HTTP サーバーホーム>\bin\httpd.exe
UNIX
<HTTP サーバーホーム>/bin/apachectl
6. Embedded Servlet Engine を再起動します。
7. Windchill を再起動します。
Workgroup Manager などのほかの Windchill 製品で HTTPS がサポートされる場合もあるので、その他の設定を HTTPS に変更する必要があります。この手順については、Workgroup Manager のドキュメンテーションを参照してください。
HTTPS に関する補足情報については、以下の URL を参照してください。
Solaris 10 with SSL
システムで最新のオペレーティングシステムとパッチが使用されていないため、システムが最新の状態ではない場合に、HTTPS 経由で Windchill にアクセスしようとすると、「見つかりません」というエラーが返されます。これは、Solaris インタフェースのバインドおよび Apache ホストのコンフィギュレーションに関する問題に起因しています。デフォルトのブロードキャストチャンネル (255.255.255.255) が OS によってバイナリ形式に誤って変換されるので、チャンネルと一致する正しい仮想ホストが <Apache ホーム>/conf/extra/httpd-ssl.conf ファイルで見つからず、エラーが発生します。この問題は以下の 2 とおりの方法で回避できます。
1. <Apache_ホーム>/conf/extra/httpd-ssl.conf を編集し、<仮想ホスト_デフォルト: ポート> をそのマシン上の IP アドレスに変更します。たとえば、<仮想ホスト 132.253.10.34:443> などに変更できます。これにより、Apache はその IP で SSL リクエストを受信するようになります。複数のインタフェースで受信するには、<仮想ホスト> タグセクション全体をコピーして、IP を受信に使用する 2 番目の IP に変更する必要があります。
または
2. 適切なネットワークファイルを編集します。/etc/nsswitch.conf を編集して、hosts セクションに dns を追加します。たとえば、hosts 行は "hosts: dns nis files" のようになります。これが終わったら、name-service-cache デーモンを無効にする必要があります。ルートアクセス権を使用して、「svcadm disable system/name-service-cache:default」と入力します。これによって、サービスが無効になり、Apache がデフォルトの仮想ホストと連動するようになります。テストが完了した後でデーモンを再び有効にするには、「svcadm enable system/name-service-cache:default」と入力します。