FileMaker Server作業記録5: SSLを導入する
概要
(1)FMWebSite、site1、site2をSSLサイトにする。
(2)1つのIPアドレスについて複数のSSLサイトを構成するためSNIを利用する。
(3)SNI(Server Name Indication)とは、ホスト名によって証明書を使い分ける機能である。
証明書要求の作成(site1)
(1)ワーカーマシンで、IIS->サーバー証明書
(2)証明書の要求の作成
一般名 : “site1.com”
組織 : “small,inc.”(例)
組織単位 : “site1.com”
市区町村 : “Shibuya”(例)
都道府県 : “Tokyo”(例)
国/地域 : “JP”
暗号化サービスプロバイダー : “Microsoft RSA”
ビット長 : “2048”
証明書の要求ファイル名 : 任意(txt)
(3)証明書要求が作成される。
※証明書要求のことをCSRとも言う。
証明書の発行(site1)
※利用するサイトによって異なる。
[RapidSSLの場合]
(1)ブラウザでさくらのVPSのSSLのページにアクセスする。
(2)SSLを選択する。
(3)支払いをする。
要求 : 証明書要求の内容
※準備が完了するまで少し時間がかかる。
※メールが来る。
(4)認証用ファイルをダウンロードする。
(5)site1のフォルダの下に”.well-known\pki-validation”を作成する。
※名前がドットで始まるフォルダはエクスプローラーでは作成できないためコマンドプロンプトを使う。
cd C:\inetpub\site1.com
md .well-known\pki-validation
(6)そのフォルダに認証用ファイルを置く。
(7)待ってれば認証してくれる。
※認証が完了するまで少し時間がかかる。(数分~数時間)
※メールが来る。
(8)証明書をダウンロードする。
[GoDaddyの場合]
(1)ブラウザでGoDaddyのSSLのページにアクセスする。
(2)SSLを選択する。
(3)支払いをする。
(4)マイプロダクト->SSL証明書->設定
要求 : 証明書要求の内容
暗号の長さ : “GoDaddy SHA-2″
(5)固有IDが発行される。
※メールが来る。
(6)site1のフォルダの下に”.well-known\pki-validation”を作成する。
※名前がドットで始まるフォルダはエクスプローラーでは作成できないためコマンドプロンプトを使う。
cd C:\inetpub\site1.com
md .well-known\pki-validation
(7)そのフォルダに”godaddy.html”を作成して固有IDだけを記述する。
(8)マイプロダクト->SSL証明書->管理する->アップデート
(9)エラーが出なければ認証してくれる。
※認証が完了するまで少し時間がかかる。(数分~数時間)
※メールが来る。
(10)マイプロダクト->SSL証明書->管理する->ダウンロード->設定
サーバーの種類 : “IIS”
(11)ZIPファイルをダウンロードして展開すると証明書がある。
[躓いた点]
日本語のヘルプでは一部の説明が間違っている。そのせいでいつまで待っても認証されなかった。
英語のヘルプは正しいのでそちらを参照してください。
証明書の追加(site1)
(1)証明書をワーカーマシンの任意の場所(デスクトップ等)に置く
(2)中間証明書がある場合は同じ場所に置く
(3)ワーカーマシンで、IIS->サーバー証明書
(4)証明書の要求の完了
証明機関の応答が含まれるファイルの名前 : 「証明書のパス」
フレンドリ名 : “site1.com”
新しい証明書の証明書ストア : “個人”
(5)証明書や中間証明書は大事に保管しておく。
※他人が勝手に見れるようなところには置いておかない。
※削除しても特に問題はないが、誤ってIISからも削除してしまったとき等に困る。
[躓いた点]
なぜかインポートできないと思ったら、証明書ファイルではなくドメイン認証用のテキストファイルだった。
証明書の適用(site1)
(1)ワーカーマシンで、IIS->site1.com->バインド
(2)追加
種類 : “https”
ポート : “443”
ホスト名 : “site1.com”
サーバー名表示を要求する : on
SSL証明書 : site1.comの証明書
※80番はドメインの再認証等をするときにまた必要になるため削除するべきではない。
site2
※site2について、同様の手順を行う。
証明書の適用(FMWedSite)
(1)ワーカーマシンで、IIS->FMWebSite->バインド
(2)443番を編集
ホスト名 : “site0.com”
サーバー名表示を要求する : off
※これを規定のSSLサイトとする。
SSL証明書 : ドメイン認証の証明書(site1.comのものでいい)
※site0.comの証明書を発行してもいい。
※デフォルトで設定されてる証明書”FMI Default Certificate”は使えない。
[躓いた点]
サーバー名表示のことを知らずに証明証を設定したら他のサイトの同じポートが全て同じ証明書になってしまった。また、サーバー名表示のことを知っても全部有効にしたらサイトが開けなかった。SSLサイトのうちどれか1つを規定のSSLサイトとしてサーバー名表示なしにする必要があり、それをFMWebSiteとした。
目次
FileMaker Server作業記録1: WebDirectをSSLに対応した複数ドメインのサイトで運用する
FileMaker Server作業記録2: FileMaker Serverを2台のマシンで展開する
FileMaker Server作業記録3: WebDirect用サイトを作成する
FileMaker Server作業記録4: ドメインを振る
FileMaker Server作業記録5: SSLを導入する
FileMaker Server作業記録6: WebDirect用サイトからリバースさせる
FileMaker Server作業記録7: シンプルなURLからリダイレクトさせる
投稿者プロフィール
-
スモールの未来探究部 所属
FileMaker開発エンジニア