[KB7856] ESET PROTECT On-Prem(Windows)のHTTPS/SSL接続を設定する

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

問題

詳細


クリックして展開

手動でインストールした ESET PROTECT On-Prem Web Consoleは、デフォルトで HTTP を使用します。セキュリティ上の理由から、HTTPS を使用するように ESET PROTECT On-Prem を設定することをお勧めします。

HTTPSを使用するには、All-in-oneインストーラを使用してESET PROTECT On-Prem Web Consoleを再インストールするか、HTTPS接続を使用するようにApache Tomcatを設定します。


解決方法

関連ソリューションLinux ユーザ

ESET PROTECT On-Prem Web Console を All-in-one インストーラを使用して再インストールし、自動生成された証明書を使用する。

All-in-one インストーラを使用して ESET PROTECT On-Prem Web Console を再インストールし、安全な接続 (HTTPS) 証明書を自動生成します。

  1. Apache Tomcat が ESET PROTECT On-Prem Web Console でのみ使用されていることを確認します。

  2. Apache Tomcat をアンインストールします。これにより、ESET PROTECT On-Prem Web Console もアンインストールされます。

  3. ESET PROTECT On-Prem All-in-one インストーラをダウンロードします。ESET PROTECT On-Prem Serverと同じバージョンを使用します。Eセットプロテクトオンプレムと関連コンポーネントのバージョンを確認する.

  4. ESET PROTECT On-Prem All-in-one インストーラを実行します。言語を選択し、[次へ] をクリックします。

  5. インストール] を選択し、[次へ] をクリックします。

  6. 利用規約を確認し、[利用規約に同意します]にチェックを入れて [次へ] をクリックします。

  7. ESET PROTECT Webconsoleの横にあるチェックボックスを選択し、[次へ] をクリックします。

  8. Java インストールを選択し、[インストール] をクリックします。

  9. インストール中に HTTPS 証明書が自動的に生成されます。インストールに成功すると、安全な接続を使用して ESET PROTECT On-Prem Web Console にアクセスできます。完了をクリックします。


All-in-one インストーラを使用して ESET PROTECT On-Prem Web Console を再インストールし、カスタム証明書を使用する

All-in-one インストーラを使用して ESET PROTECT On-Prem Web Console を再インストールし、カスタム HTTPS 証明書を追加します。

  1. Apache Tomcat が ESET PROTECT On-Prem Web Console でのみ使用されていることを確認します。

  2. Apache Tomcat をアンインストールします。これにより、ESET PROTECT On-Prem Web Console もアンインストールされます。

  3. ESET PROTECT On-Prem All-in-one インストーラをダウンロードします。ESET PROTECT On-Prem Serverと同じバージョンを使用します。Eセットプロテクトオンプレムと関連コンポーネントのバージョンを確認する.

  4. ESET PROTECT On-Prem All-in-one インストーラを実行します。言語を選択し、[次へ] をクリックします。

  5. インストール] を選択し、[次へ] をクリックします。

  6. 利用規約を確認し、[利用規約に同意します]にチェックを入れて [次へ] をクリックします。

  7. ESET PROTECT WebconsoleAdd custom HTTPS certificate for Webconsole の横にあるチェックボックスを選択し、[次へ] をクリックします。

  8. 参照] をクリックし、カスタム証明書に移動して選択し、パスフレーズを入力して [次へ] をクリックします。

    証明書の要件

    カスタム HTTPS 証明書の以下の要件を満たす必要があります:

    • 正しいファイル(.pfx、.p12)が選択されている。
    • 正しいパスフレーズの入力
    • 証明書に秘密鍵がある
    • 証明書が有効である

  9. Javaインストールを選択し、[インストール]をクリックします。

  10. インストール中にカスタム証明書が使用されます。インストールに成功すると、セキュアな接続を使用して ESET PROTECT On-Prem Web コンソールにアクセスできます。完了をクリックします。


新しい証明書を生成し、ESET PROTECT On-Prem Web コンソールの HTTPS 接続を設定する

Java キーストアを使用して新しい証明書を生成し、ESET PROTECT On-Prem Web Console 用に Apache Tomcat で HTTPS 接続を設定します。

ESET PROTECT オンプレム Web コンソール

ESET PROTECT On-Prem Web Console を既にインストールしている場合は、以下の手順に従ってください。

  1. SSL 証明書付きのキーストアを作成します。

    Java にはkeytool.exe が含まれており、コマンドラインから証明書を作成することができます。1つの証明書が危険にさらされても他のTomcatインスタンスが安全であることを保証するために、(複数のTomcatインスタンスがある場合は)Tomcatインスタンスごとに新しい証明書を生成する必要があります。

    keytool.exeファイルの正確な場所に移動します。パスはOSとJavaのバージョンによって異なりますが、以下の例を参照してください:

    C:\Program Files\Java\jre1.8.0_201\bin
  2. keytool.exeの場所でコマンドライン/ターミナルを開く。

  3. 以下のコマンドを編集して実行する。keystore-storepass-keypassパラメーターは、環境に応じて編集する。

    keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:◆Program FilesApache Software Foundation ◆Tomcat_folder ◆tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"
    -storepassおよび-keypassパラメータ

    storepassと -keypassの値は同じでなければならない。

  4. 以下のコマンドを編集して実行する。fileと -extパラメータを編集して、キーストアから証明書署名要求をエクスポートする。

    keytool.exe -certreq -alias tomcat -file "C:◆InstallTomcattomcat.csr" -keystore "C:◆Program FilesApache Software FoundationTomcat_foldertomcat.keystore" -ext san=dns:ESETPROTECT
    -ファイルと-extパラメータ

    -fileパラメータの値"C:∕Install∕Tomcat∕comcat.csr " を、証明書がエクスポートされる実際のパスとファイル名に置き換えます。

    extパラメータの値ESETPROTECTを、ESET PROTECT On-Premを搭載したApache Tomcatが稼働しているサーバの実際のホスト名に置き換えます。

  5. 任意のルート認証局(CA)で署名されたSSL証明書を取得します。

    ルート認証局を後でインポートする場合は、ステップ 8 に進むことができます。この方法を選択した場合、Web ブラウザに自己署名証明書に関する警告が表示されることがあり、HTTPS 経由で ESET PROTECT On-Prem Web コンソールに接続するには例外を追加する必要があります。

  6. CA のルート証明書と中間証明書をキーストアにインポートします。証明書に署名したエンティティは通常、これらの証明書を利用できるようにしています。証明書の返信はキーストアから信頼できる証明書を使用して検証されるため、これは必要です。

    以下のコマンドを編集して実行する。keystoreおよび-fileパラメータは、使用する環境に応じて編集する。

    keytool.exe -import -alias root -keystore "C:◆Program FilesApache Software FoundationTomcat_folder ◆tomcat.keystore" -trustcacerts -file "C:◆root.crt"
    keytool.exe -import -alias intermediate -keystore "C:◆Program FilesApache Software FoundationTomcat_folder ◆tomcat.keystore" -trustcacerts -file "C:◆intermediate.crt.pem"
  7. ルート認証局の署名付き証明書が届いたら、認証局の公開鍵とtomcat.cer証明書をキーストアにインポートします。

    以下のコマンドを編集して実行します。パラメータ -file と -keystore を編集します。

    keytool.exe -import -alias tomcat -file "C:∕InstallTomcattomcat.cer" -keystore "C:∕Program FilesApache Software Foundation∕Tomcat_folder∕tomcat.keystore"
  8. Apache Tomcat configフォルダに移動します。パスはOSやApache Tomcatのバージョンによって異なるので、以下の例を参照してください:

    C:¥Program Files¥Apache Software Foundation¥Apache-tomcat-9.0.112¥conf
  9. テキストエディタ(メモ帳など)を使用してserver.xmlファイルを開き、</Engine>タグの後に以下のコードを追加する(すでに<Connector>タグがある場合は、コードを以下の例に編集する)。

    keystoreFileと keystorePassのパラメータは、お使いの環境に合わせて編集してください。

    <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:¥Program FilesApache Software Foundation¥Tomcat_folder¥tomcat.keystore" keystorePass="yourpassword"/>
    Apache Tomcatの設定

    この変更により、安全でないTomcat機能も無効になり、HTTPSのみが有効になります(schemeパラメータ)。セキュリティ上の理由から、tomcat-users.xmlを編集してすべてのApache Tomcatユーザを削除し、ServerInfo.propertiesを変更してApache TomcatのIDを隠す必要もあります。詳細については、Apache Tomcatのドキュメントを参照してください。

  10. Windowsキー+Rを押してservices.mscと入力し、OKをクリックします。

  11. Apache Tomcat 9.0サービスを右クリックし、コンテキストメニューから再起動を選択します。


カスタム証明書を使用したESET PROTECT On-Prem WebコンソールのHTTPS接続の設定

ESET PROTECT On-Prem 証明書

以下の手順は、安全な HTTPS 接続を確保するために使用される Apache Tomcat 用の証明書を参照しています。ESET PROTECT On-Prem 証明書については、ESET PROTECT On-Prem オンラインヘルプを参照してください。

カスタム証明書を使用して、ESET PROTECT On-Prem Web Console 用に Apache Tomcat で HTTPS 接続を設定します。

  1. certificate.pfxファイルをApache Tomcatのインストールフォルダに移動します。パスはOSとApache Tomcatのバージョンによって異なります。
    常にパスワード付きの.pfxを使用する

    .pfx証明書にはパスワードが必要です。

  2. Apache Tomcat configフォルダに移動する。パスはOSやApache Tomcatのバージョンによって異なるので、以下の例を参照のこと:

    C:◆Program FilesApache Software Foundation ◆apache-tomcat-9.0.112 ◆conf
  3. テキストエディタ(例えば、メモ帳)を使ってserver.xmlファイルを開く。

    1. </Engine>タグの後に<Connector>タグがない場合(Apache Tomcatの新規インストール時など)、</Engine>タグの後のServer.xmlに以下の文字列をコピーする。

      keystoreFilekeystorePasskeystoreTagの各パラメータは環境に合わせて編集してください。

      <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program FilesApache Software FoundationTomcat_foldercertificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?
    2. </Engine>タグの後に<Connector>タグがある場合(たとえば、Apache Tomcatのアップグレード後にserver.xmlファイルをリストアする場合など)、以下に示すパラメータの値を任意の値に置き換えてください。

      • keystoreFile-証明書ファイル(.pfx、.keystore、またはその他)へのフルパスを指定します。JKS以外の証明書(たとえば、.pfxファイル)を使用する場合は、keyAliasを削除し(デフォルトでServer.xmlに存在する)、適切なkeystoreTypeを追加します。
      • keystorePass-証明書のパスフレーズを指定する。
      • keystoreType- 証明書タイプを指定します
      Apache Tomcat ドキュメント

      HTTP Connectorの詳細については、Apache Tomcatのドキュメントを参照してください。

  4. Windowsキー+Rを押してservices.mscと入力し、OKをクリックします。

  5. Apache Tomcat 9.0サービスを右クリックし、コンテキストメニューから[再起動]を選択します。