■はじめに
Hinemosの運用管理を行っている皆さん、こんにちは。
Hinemosをより安全に運用するために、Hinemos Webクライアントへの接続をHTTPS化したいケースは多いかと思います。
今回、この記事では、Linux版Hinemos WebクライアントへHTTPS接続するための設定方法についてご紹介いたします。
1. 設定の概要
WebブラウザからHinemosWebクライアントへの接続は、デフォルトでは80番ポートを用いたHTTP接続が使用されていますが、設定ファイル(server.xml)の編集と自己署名証明書の作成を行うことで、443番ポートを用いたHTTPS接続が可能になります。
2. 具体的な実施手順
作業は大きく分けて「設定ファイルの編集」「自己署名証明書の作成」「Hinemos webクライアントの再起動」の3ステップです。
●ステップ1:設定ファイルの編集
まず、以下のファイルを編集して、HTTPS接続を有効にします。
-
対象ファイル:
/opt/hinemos_web/conf/server.xml
エディタでファイルを開き、以下の2箇所を変更します。
-
HTTP(80番ポート)の設定をコメントアウトして無効化します。
-
HTTPS(443番ポート)の設定のコメントを解除して有効化します。
1234567891011121314151617181920変更前<Connector port="80" protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443"maxThreads="32"/><!-- Define a SSL HTTP/1.1 Connector on port 8443This connector uses the NIO implementation that requires the JSSEstyle configuration. When using the APR/native implementation, theOpenSSL style configuration is required as described in the APR/nativedocumentation --><!--<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"maxThreads="32" SSLEnabled="true" scheme="https" secure="true"clientAuth="false" sslEnabledProtocols="TLSv1.3,TLSv1.2"keystoreFile="/opt/hinemos_web/.keystore" keystorePass="changeit"/>-->1234567891011121314151617181920変更後<!-- ←コメントアウト<Connector port="80" protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443"maxThreads="32"/>--> ←コメントアウト<!-- Define a SSL HTTP/1.1 Connector on port 8443This connector uses the NIO implementation that requires the JSSEstyle configuration. When using the APR/native implementation, theOpenSSL style configuration is required as described in the APR/nativedocumentation -->←コメントを解除<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"maxThreads="32" SSLEnabled="true" scheme="https" secure="true"clientAuth="false" sslEnabledProtocols="TLSv1.3,TLSv1.2"keystoreFile="/opt/hinemos_web/.keystore" keystorePass="changeit"/>←コメントを解除
●ステップ2:自己署名証明書の作成
次に、通信の暗号化に必要な証明書を作成します。OSのコンソールで以下のコマンドを実行してください。
|
1 |
# keytool -genkey -alias tomcat -keyalg RSA -keystore /opt/hinemos_web/.keystore |
実行すると対話形式で情報の入力を求められます。以下のガイドに従って入力してください。
| 項目 | 入力内容 |
| キーストアのパスワードを入力してください | ステップ1で設定したパラメータ「keystorePass」の値を入力。例:changeit |
| 新規パスワードを再入力してください | 「キーストアのパスワードを入力してください」で入力した値を再入力。 |
| 姓名を入力してください | 何も入力せずENTERを押下。 |
| 組織単位名を入力してください | 何も入力せずENTERを押下。 |
| 組織名を入力してください | 何も入力せずENTERを押下。 |
| 都市名または地域名を入力してください | 何も入力せずENTERを押下。 |
| 州名または地方名を入力してください | 何も入力せずENTERを押下。 |
| 2 文字の国番号を入力してください | 何も入力せずENTERを押下。 |
| CN=Unknown, … でよろしいですか? | 「はい」を入力 |
| <tomcat> の鍵パスワードを入力してください |
何も入力せずENTERを押下。 |
以上で、証明書が作成されます。
●ステップ3:Hinemos Webクライアントの再起動
設定を反映させるために、Hinemos Webクライアントのサービスを再起動します。
|
1 |
# systemctl restart hinemos_web |
3. 動作確認
お使いのブラウザで、URLの冒頭を https:// に変えてアクセスしてください。
URL: https://[Hinemos WebクライアントのIPアドレス]
ログイン画面は、以下の画像のように表示されます。
■おわりに
この記事では、Hinemos WebクライアントへHTTPS接続するための設定方法についてご紹介いたしました。
設定自体はシンプルですが、server.xmlの書き換えミスやパスワードの打ち間違いには注意してください。
Xをフォローする
メルマガに登録する