Fly Server にアクセスする際に、証明書警告が表示される場合があります。これは、Fly Server の既定のインストールでは信頼された証明機関によって発行された証明書ではなく、自己署名の証明書が使用されていることに起因します。自己署名の証明書は安全な通信のための暗号化を提供しますが、ブラウザーは証明書の信頼性を検証せず、Web サイトにアクセスする際の潜在的なリスクをハイライトする可能性があります。
証明書の警告を取り除き、より安全なブラウジング エクスペリエンスを提供するため、証明書を以下のいずれかの証明書に置き換えることができます。
•GoDaddy や DigiCert などの認証機関 (CA) から購入した信頼できる SSL 証明書
•組織の内部 CA 証明書 – 組織に内部 CA がある場合、その CA に Fly Server 用の証明書の発行を依頼することができます。
•自己署名の証明書 – 自己署名の証明書を用意します。また、Windows PowerShell を使用して自己署名の証明書を作成することもできます。詳細については、以下の説明を参照してください。
i. サーバー上 Windows PowerShell を右クリックし、ドロップダウン リストから 管理者として実行 を選択します。
*注意: サーバーのオペレーティング システムは Windows Server 2016 以降のバージョンであることを確認してください。
ii. 以下のコマンドを入力し、{DNSName} を、ドメインに追加するサーバーの完全修飾ドメイン名またはドメインなしのサーバーの完全コンピューター名に置き換えます。1 を入力してキーボードの Enter キーを押し、サービス アカウントの権限に同意する必要があります。
$certificate = New-SelfSignedCertificate -DnsName {DNSName} -CertStoreLocation "cert:\LocalMachine\My" -KeyExportPolicy Exportable -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -HashAlgorithm "SHA256"
iii. 以下のコマンドを入力し、xxxx を PFX 証明書用に構成するパスワードに置き換えます。1 を入力してキーボードの Enter キーを押し、サービス アカウントの権限に同意する必要があります。このパスワードを記憶します。このパスワードは、証明書のインストール時に使用されます。
$certPwd = ConvertTo-SecureString -String "xxxx" -Force -AsPlainText
iv. 以下のコマンドを入力し、キーボードの Enter を押します。
$thumbprint = $certificate.Thumbprint
v. 以下のコマンドを入力し、キーボードの Enter を押します。
$cerPath = Get-Item Cert:\LocalMachine\My\$thumbprint
vi. 以下のコマンドを入力し、c:\user.pfx を、作成する PFX 証明書ファイルの完全パスに置き換えます。キーボードの Enter を押します。
Export-PfxCertificate -Cert $cerPath -Force "c:\user.pfx" -Password $certPwd
vii. 以下のコマンドを入力し、c:\user.cer を、エクスポートする CER 証明書ファイルの完全パスに置き換えます。キーボードの Enter を押します。
Export-Certificate -Cert $certificate -FilePath "c:\user.cer"
証明書の準備が完了すると、以下の説明を参照して Web 証明書を置き換えることができます。
1. Fly Server マネージャー サーバーで使用する PFX 証明書をインストールするには、以下の説明を参照してください。
a. 使用する PFX 証明書ファイルをダブルクリックします。証明書のインポート ウィザード ウィンドウが表示されます。
b. 保存場所 ボックスで ローカル コンピューター を選択し、[次へ] をクリックします。
c. ファイル名 ボックスに表示されている現在のファイルが目的の証明書である場合は、[次へ] をクリックします。それ以外の場合は、[参照] をクリックして目的の証明書を検索します。
d. 証明書がパスワードで保護されている場合、証明書の パスワード を入力します。
e. [次へ] をクリックします。
f. 証明書ストア ステップで、証明書をすべて次のストアに配置する を選択し、個人 証明書ストアを選択して証明書をインストールします。
*注意: 自己署名の証明書を使用する場合は、証明書を 個人 ストアと 信頼されたルート証明機関 ストアの両方にインストールする必要があります。証明書を 個人 ストアにインストールしてから、信頼されたルート証明機関 にコピーすることができます。上記の手順で Windows PowerShell を使用して自己署名の証明書を作成した場合、証明書は 個人 ストアに自動インストールされます。
g. [完了] をクリックして、証明書のインストールを完了します。
2. 証明書が Fly Server マネージャーにインストールされた後、証明書の拇印値を検索します。
a. Windows キー + R を押して、ファイル名を指定して実行 コマンドを表示します。mmc を入力して Enter を押すと、証明書マネージャーが開きます。
b. MMC ウィンドウで、ファイル > スナップインの追加と削除... に移動します。
c. スナップインの追加と削除 ウィンドウで、証明書 を選択して [追加] を選択します。
d. 証明書スナップイン ウィンドウで、コンピューター アカウント を選択して、[次へ] をクリックします。コンピューターの選択 ウィンドウで、ローカル コンピューター を選択して、[完了] をクリックします。
e. スナップインの追加と削除 ウィンドウで [OK] をクリックします。
f. 画面左側の 個人 ストアを展開し、証明書を右クリックして、[開く] をクリックします。詳細 タブの 拇印 フィールドを選択して、拇印の値を表示します。
3. Fly Server マネージャー サーバー上の コマンド プロンプト を右クリックし、ドロップダウン リストから 管理者として実行 を選択します。
4. 以下のコマンドを入力します。既定のポート番号が 20100 以外に変更された場合、20100 をそのポート番号に置き換えます。キーボードの Enter を押します。
netsh http delete sslcert ipport=0.0.0.0:20100
5. 以下のコマンドを入力して、<THUMBPRINT> を証明書の拇印値に置き換えます (スペースを含まないように注意してください)。ポート番号が 20100 以外に変更された場合、20100 をそのポート番号に置き換えることができます。キーボードの Enter を押します。
netsh http add sslcert ipport=0.0.0.0:20100 certhash=<THUMBPRINT> appid={b8a60d7f-c976-4416-b5af-f9e36cae4dae}
*注意: 入力したパラメーターが正しいことを確認しましたが、スクリプトが引き続き “The parameter is incorrect.” と表示される場合、以下のスクリーンショットのように、appid パラメーターの前後にシングルクォート (') を入力することができます。
6. ...\FLY\Manager\Control\bin ディレクトリにある TimerService.exe.config ファイルをメモ帳で開き、<add key="WebCertThumbprint" value=" "/> ノードを検索して、証明書の拇印を value=" " 属性値として構成します。
*注意: 拇印が上記のステップ 5 で入力したものと同じであること、拇印の文字がすべて大文字であること、拇印に スペースが含まれていない ことを確認してください。例: D35657BE24B5124245D0XXXXXXXXXXXXXXXXXXXX
7. 証明書が正しく置き換えられたかどうかを確認するには、以下の説明を参照してください。
a. ブラウザーを再起動し、Fly Server マネージャーを再度読み込み、サイト情報の表示
(
) アイコンをクリックします。そのアイコンは、ブラウザーによって異なる可能性があります。
*注意: Fly Server エージェント サービスが利用可能であることを確保するには、...\FLY\Agent\bin ディレクトリにある AgentCommonVCEnv.config ファイルをメモ帳で開き、証明書の SAN を <add key="managerAddress" value=" " /> ノードの値として構成し、このホスト名を使用して Fly Server マネージャーにアクセスできることを確認します。必要に応じて、Fly Server マネージャー > 管理 > 全般設定 > システム オプション に移動して、証明書を検証しない オプションを選択することもできます。
*注意: 証明書が安全であることを確保するには、Fly Server マネージャーにアクセスする URL が、カスタム証明書のサブジェクト代替名 (SAN) および一般名 (CN) と一致する必要があります。
b. プロンプト ウィンドウで、[この接続は保護されています] をクリックします。
c. 右下にある 証明書を表示 アイコンをクリックします。
d. 証明書ウィンドウの 詳細 タブをクリックし、SHA-1 指紋 フィールドを選択します。フィールド値 に証明書の拇印値が表示されている場合、証明書が正しく置き換えられたことを示します。
Built-in 証明書をカスタム証明書に置き換えた後、以下のことに注意してください:
•Fly Server Built-in Web 証明書は削除できません。
•別のサーバーから Fly Server マネージャーにアクセスする場合、接続の安全性を確保するために、そのサーバーにも証明書をインストールする必要があります。
o 自己署名の証明書を使用する場合は、そのサーバーの 信頼されたルート証明機関 ストアに CER 証明書をインストールする必要があります。
o 内部 CA 証明書を使用し、そのサーバーが Fly Server マネージャー サーバーと同じドメインに存在する場合は、そのサーバーに証明書をインストールする必要はありません。そのサーバーがマネージャー サーバーと異なるドメインに存在する場合、そのサーバーの 信頼されたルート証明機関 ストアにルート証明書をインストールする必要があります。
o CA から購入した証明書を使用する場合、そのサーバーに証明書をインストールする必要はありません。