SSL証明書について
CAMServer へSSL証明書を適用する事で、標準ブラウザでアクセスする際の警告を消す事ができます。
SSL証明書は以下2パターンの方法があり、それぞれの解説をします。
- Let’s Encrypt の無料SSLを適用する
- イントラネットSSLを購入し適用する
Let’s Encrypt の無料SSLを適用する
Let’s Encrypt は無料で証明書を発行できますが、HTTP-01 または DNS-01 チャレンジという方式によりドメイン認証が必要になります。通常は CAMServer を外部に公開しないため、DNS-01 チャレンジの方での対応を推奨します。
DNS-01 チャレンジ
DNS-01 チャレンジでは、Let’s Encrypt サーバから取得したトークンを、対象ドメイン名の DNS サーバに登録することで所有確認を行います。たとえば「camserver.xx」の証明書を発行する場合、所有する DNS サーバに DNS 名 _acme-challenge.camserver.xx.、TXT 種類に “取得したトークン”というレコードを設定します。
HTTP-01 チャレンジ
HTTP-01 チャレンジでは Let’s Encrypt サーバからトークンを取得し、このトークンを含むファイルを CAMServer 上の所定のディレクトリに配置しドメイン名の所有確認を行います。
たとえば「camserver.xx」の証明書を発行する場合、以下に取得したトークンファイルを設置し、
CAMServer/www/.well-known/acme-challenge/取得したトークン
次のURLで外部へ公開する必要があります。
http://camserver.xx/.well-known/acme-challenge/取得したトークン
Let’s Encrypt の証明書作成が完了したら
次の手順で pem ファイルを配置してください。
- CAMServer 停止
- privkey.pem / cert.pem / chain.pem ファイルを
CAMServer/config/ssl/にコピー - CAMServer 起動
イントラネットSSLを購入し適用する
完全に外部からアクセスが出来ない CAMServer へSSL証明を適用するには、イントラネットSSL証明書を購入する必要があります。
イントラネットSSLを購入しキーストアファイルを取得出来たら次の手順で適用してください。
- CAMServer 停止
- キーストアファイルを
CAMServer/config/ssl/tomcat.keystoreに上書き CAMServer/cam.iniファイルに次のセクションを追加camserver.keyAlias=証明書作成時のkeyAliascamserver.keystorePass=証明書作成時のkeystorePass
- CAMServer 起動
- CAMServer はHTTPサーバに Tomcat を利用しており、Tomcat 用にキーストアファイルを取得・作成する方法は購入先にてほとんどの場合手順がまとめられています。
- イントラネットSSLは、各端末のブラウザにルート証明書が登録されていない場合、ルート証明書・中間証明書を購入先からダウンロードし各端末のブラウザに別途適用が必要になるようです。