PTC HTTP Server および Windchill の HTTPS の設定
Windchill Services によって HTTPS 設定の実行に必要な site.xconf ファイルが提供されるので、これらの手順を実行する前に、Windchill Services をインストールしておく必要があります。
定義済みの Windchill が HTTP 用に設定されますが、Windchill は最小限の手順で HTTPS を実装できるようになっています。このセクションで説明する手順では HTTP Server (Windchill にパッケージされているデフォルトの Web サーバー) を使用した HTTPS のみをサポートします。その他の Web サーバーの HTTPS の手順は、製品のベンダーから入手する必要があります。
Windchill で、ほかの Web サーバーについて HTTPS をサポートできるようにするには、以下の作業を行います。
• xconfmanager を使用して、HTTPS を使用するように wt.properties の wt.server.codebase property を設定します。これは HTTP Server について実行する手順と同じです。
• Web サーバー、サーブレットエンジン、および Windchill を再起動して、変更を有効にします。
HTTPS の設定には商用の権限証明書が必要です。権限証明書はサードパーティベンダーによって配布されます。一部の設定方法は権限証明書を使用して実行できます。ここで説明する手順では、使用するインストールに HTTPS を実装するために多少の作業が必要です。
1. 権限証明書を入手します。
最初のステップは権限証明書の入手です。証明書はサードパーティベンダーによって配布されます。Windchill では、Java によって信頼されている証明書が必要です。Java によって信頼されていない証明書を使用する場合は、この証明書を Java で信頼されるように設定する必要があります。たとえば、Verisign および Thawte から提供されている証明書は、Java が信頼している権限証明書です。
Web サーバーの権限証明書が Java によって信頼されていない場合は、権限証明書を jssecacerts キーストアに追加する必要があります。次のコマンドを実行する前に、デフォルトの JDK cacerts ファイルをコピーして jssecacerts というファイル名にする必要があります。cacerts ファイルは <JAVA_HOME>/lib/security ディレクトリにあります。
keytool -import -alias <何らかのエイリアス名>
-file <certificateAuthority.cert へのパス> -storetype jks -keystore /<JAVA_HOME>/lib/security/jssecacerts
これは、サーブレットエンジンと Windchill サーバー、Web サーバーにアクセスするほかの Java アプリケーションが使用する JDK について設定する必要があります。
ご使用の JDK によって信頼されているデフォルトの権限証明書を表示するには、以下のコマンドを実行します。
keytool -list -v -keystore /<JAVA_HOME>/lib/security/cacerts
Java セキュリティに関する補足情報については、以下の URL を参照してください。
http://java.sun.com/products/jsse
2. 権限証明書が認識されるように HTTP Server を設定します。
証明書ファイルとプライベートキーが HTTP Server に追加されます。デフォルトでは、特にセキュリティアクセスの設定用として 2 つのファイルが参照用に提供されています。
For PTC HTTP Server
a. 証明書ファイル server.crt を <Apache>/conf/ ディレクトリにインストールします。
b. 秘密キー server.key を <Apache>/conf/ ディレクトリにインストールします。
3. PTC HTTP Server 2.4 では、HTTPSERVER_HOME の次のコマンドが SSL を有効にします。
ant -DHTTPS_ENABLED=true -f config.xml reconfigure
4. URL を HTTPS に変更して Windchill を HTTPS 用に設定します。
xconfmanager を使用して、次の 2 つのプロパティを適切な値に変更します。
a. wt.webserver.port=<HTTPS 用ポート> プロトコルのデフォルトポートは 443 です。
b. wt.webserver.protocol=https
5. HTTP Server を再起動します。
HTTP Server 起動コマンドは SSL サーバーと非 SSL サーバーで同じになります。
◦ Windows:
<httpserver_home>\bin\httpd.exe
◦ Unix:
<httpserver_home>/bin/apachectl
6. Embedded Servlet Engine を再起動します。
7. Windchill を再起動します。
Workgroup Manager などのほかの Windchill 製品で HTTPS がサポートされる場合もあるので、その他の設定を HTTPS に変更する必要があります。この手順については、Workgroup Manager のドキュメンテーションを参照してください。
HTTP Strict-Transport-Security (HSTS) コンフィギュレーション
HSTS はプロトコルダウングレード攻撃と cookie ハイジャックから Web サイトを保護するのに役立ちます。Windchill 12.0.1.0 から、HTTPS が設定されている Windchill サーバーでは既成で HSTS コンフィギュレーションが設定されます。安全な展開を行うためには、サイトで必ず HTTPS が設定されている必要があります。
• コンフィギュレーション保持オプションを使用した HTTP Server の展開については、Windchill Installation and Configuration Guide - Update Existing Installation の「更新後の操作」ヘルプトピックセクションで「HTTP サーバーコンフィギュレーションファイルの更新」のセクションを参照してください
• コンフィギュレーション保持オプションを使用した HTTP Server の展開については、
「更新後の操作」ヘルプトピックで「HTTP サーバーコンフィギュレーションファイルの更新」のセクションを参照してください。
|
Windchill インストールで HTTP Strict-Transport-Security (HSTS) を設定することを強くお勧めします。
|
IIS で HSTS を有効にするには、以下の手順に従います。
1. IIS で HTTPS を設定します。
2. IIS マネージャの左側の表示枠で、<ComputerName/Site> ノードを選択します。
3. 中央の表示枠で、「HTTP 応答ヘッダー」をクリックします。
4. 「操作」パネルで「追加...」をクリックします。
5. 「カスタム HTTP 応答ヘッダーの追加」ダイアログボックスで以下の値を入力します。
◦ 名前: Strict-Transport-Security
◦ 値: max-age=10368000; includeSubDomains;
6. サイトを再起動します。