APRESIA Technical Blog

AN-ManagerStation における自己証明書登録方法

はじめに

◆AN-ManagerStation(以降AN-MSと略記します)を利用する際、ブラウザーの左上に「保護されていない通信」
 という文字が表示されることはありませんか?
◆これは、当社が暫定的に作成・登録した自己証明書が初期設定されているためです。
◆実際の通信は暗号化されているためセキュリティ上の問題はありませんが、気になる場合には各環境にあった
 自己証明書を登録することで解消することができます。
◆今回は、自己証明書の作成・登録手順について紹介します。

作業環境

◆今回の作業は以下の条件で行います。なお、環境が異なる場合でも基本的な作業の流れは変わりません。
 ◇Windows環境にAN-MSがインストールされ、正常に動作していること
 ◇クライアントのブラウザーとしてGoogle Chromeを使用

作業の流れ

◆自己証明書の作成・登録を行い「保護されていない通信」が表示されないようにします。
 手順は以下の通りです。
 1.「.keystore」の削除
 2.「.keystore」の作成
 3.「server.xml」にkeystorePassおよびkeyPassを設定
 4.AN-MSサービス再起動
 5.証明書の発行
 6.証明書の登録
 7.確認

1.「.keystore」の削除

◆C:\Program Files\AN-ManagerStation\tomcat\keystoreにある「.keystore」を削除します。
 ◇手順誤りなどの際に復元するため、必ずバックアップを取っておいてください。

2.「.keystore」の作成

◆今回は、以下の条件を例として説明します。
 ◇証明書有効期間  :365日
 ◇AN-MSインストール先IP  :192.168.1.100

◆コマンドプロンプトを管理者権限で起動し、次のコマンドを実行します。
 "C:\Program Files\AN-ManagerStation\jdk\jdk-16.0.1\bin\keytool.exe" -genkeypair -alias tomcat -keyalg RSA -keysize 2048 -validity 365 -keystore "C:\Program Files\AN-ManagerStation\tomcat\keystore\.keystore" -ext SAN=ip:192.168.1.100

◆AN-MSへのアクセス時に DNSで名前解決を行っている場合は、入力するコマンドが異なります。
 ◇以下のような場合、ホスト名は「apresiasystems」となります。

◆ホスト名を使用する場合には以下のコマンドを実行します。
 “C:\Program Files\AN-ManagerStation\jdk\jdk-16.0.1\bin\keytool.exe” -genkeypair -alias tomcat -keyalg RSA -keysize 2048 -validity 365 -keystore "C:\Program Files\AN-ManagerStation\tomcat\keystore\.keystore" -ext SAN=dns:apresiasystems

◆その後、表示されるメッセージに応じた値を入力し、入力内容確認のメッセージが表示されたら「はい」と
 入力することで自己証明書が作成されます。
◆なお、ここで設定するキーストアのパスワードは、次の手順3で使用するため必ず記録に残すように
 してください。

3. 「server.xml」にkeystorePassおよびkeyPassを設定

◆C:\Program Files\AN-ManagerStation\tomcat\conf\server.xml
 をメモ帳で開きます。
手順誤りなどの際に復元するため、必ずバックアップを取っておいてください。
◆<Connector
・・・
keystorePass="[手順2で設定したキーストアのパスワード]“
keyPass="[手順2で設定したキーストアのパスワード]“
・・・
に変更します。

4. AN-MSサービス再起動

◆サービスからAN-ManagerStation Webを再起動します。

5.証明書の発行

◆Google Chromeを管理者権限で起動します。
 https://[IPアドレス]:8443/AN-ManagerStation/#/home
 を開きます。
 ◇ショートカットはインストールした時点で宛先がlocalhostとなる為、上記の通りサーバのIPを指定して
  起動してください。ショートカットから起動する場合、プロパティからURLの修正が必要です。
◆アドレスバー左側の「保護されていない通信」をクリックします。

◆「証明書が無効です」をクリックします。

◆詳細タブのエクスポートから、証明書のエクスポートを行います。

◆ファイルの拡張子は「.crt」で保存してください。

6.証明書の登録

◆Google Chrome左上の「⋮」から「設定」を開きます。

◆プライバシーとセキュリティ>セキュリティ>デバイス証明書の管理を開きます。
◆信頼されたルート証明機関のタブから、先ほどエクスポートした証明書をインポートします。

◆インポートに成功すると、信頼されたルート証明機関の一覧に登録した証明書が追加されます。

7.確認

◆Google Chromeを開きなおし、
 https://[IPアドレス]:8443/AN-ManagerStation/#/home
 を開きます。
◆アドレスバーから「保護されていない通信」の表示が消えていることが確認できます。

 ◇保護されていない通信」の表示が消えていない、または予期せぬ画面が表示されている場合には、
  「.keystore」やserver.xmlを作業前に取っておいたバックアップに戻し、AN-MSサービスを
  再起動してください。

最後に

◆自己証明書を登録することで、注意メッセージに煩わされることなくAN-MSをご利用いただけます。
◆今後も、AN-MSをより便利に活用するための情報を紹介していきたいと考えていますので、
 ご意見、ご要望など、ぜひコメントをお願いします! !