デジタル証明書によるサーバーの構成

サービス認証方法としてデジタル証明書を選択した場合、その証明書によって QlikView サーバー マシン上で実行されているサービス間に信頼性が創出されます。QlikView の新しいインスタンスを作成するときに、証明書がインストールされます。

スタンド アロン展開では、すべてのサービスが同じマシン上で実行されます。マルチサーバー環境に QlikView ノードをインストールする場合は、各サーバー上で有効化するサービスのみをインストールする必要があります。ノードをインストールするたびに完全インストールを実行した場合は、QlikView Management Service (QMS) の複数のインスタンスが作成されます。複数の QMS サービスを実行している場合、QMS は展開内のその他のノードに証明書を配布する役割があるので、証明書に不一致が生じます。インストーラを実行するときには、必ずカスタム インストールを選択して、有効化する必要のあるサービスのみをインストールします。

注: QlikView 構成のすべてのサーバーで同じ Windows Administrator を使用するようお勧めします。

セキュリティの構成

QlikView 展開をできるだけ安全にするには、すべての QlikView サーバーでセキュア ソケット レイヤー (SSL) セキュリティを構成します。

QlikView サーバーでの SSL の有効化

Directory Service Connector (DSC)、QlikView Web Server (QVWS)、QlikView Management Service (QMS)、QlikView Distribution Service (QDS)、および QlikView Server (QVS) で SSL を使用するサーバー間で、証明書サービス認証を有効化するには、以下を実行します。

  1. QlikView Management Console を実行している QlikView Management Service を停止します。
  2. メモ帳を管理者として実行します。
  3. QMS 構成ファイルをメモ帳で開きます。
  4. 証明書のバックアップと復元

  5. UseWinAuthentication キーの値を true から false に変更します。
  6. 変更内容を保存します。
  7. QMS サービスを開始します。

QMS サービスを実行するサーバー上に証明書が正しく設定されていることを確認するには、[スタート] メニューから Microsoft Management Console (MMC) を実行します。

Microsoft Management Console の使用

次に、システムの DSC、QDS、QVWS、IIS サービスで上の手順を繰り返します。

IIS および QlikView Server で証明書の信頼性を構成するには、ポート 4750 (QVWS が使用するものと同じポート) を使用します。ウェブ サーバーのユーザーによる HTTPS アクセスの有効化に使用される証明書は変更されません。

QlikView Server (QVS) 用 SSL の有効化

QlikView サーバー サービス (QVS) に SSL を構成するには、さらに以下の手順を実行します。

QVS サービスの Settings.ini ファイルを編集するには、以下の手順を実行します。

  1. QVS サービスを停止します。
  2. メモ帳を管理者として実行します。
  3. メモ帳で Settings.ini ファイルを開きます。
  4. 証明書のバックアップと復元

  5. [Settings 7] セクションに EnableSSL=1 を追加します。
  6. 変更内容を保存します。
  7. QVS サービスを開始します。

QlikView サービスの追加

QlikView サービスを追加するには、以下の手順を実行します。

  1. QlikView Management Console を開きます。
  2. [System] (システム) タブをクリックし、[Setup] (設定) をクリックして、すべての QlikView サービスを表示します。

  3. 新しいサービスを追加するには、QlikView Servers パネル内右側にある [Add] (追加) アイコンをクリックします。
  4. テキスト ボックスに サービスの URL を入力して、[Apply] (適用) をクリックします。新しいエントリが、左側パネルのツリー表示で利用可能になります。各サービスを新しいサービスとして追加し、既存のサービスを削除します。
  5. サービスを追加すると、[QlikViewCertificates] (証明書) ウィンドウが表示されます。
  6. 新しいサービスを追加しているサーバー上で Web ブラウザを開き、URL と、QlikView Management Console の [QlikView Certificates] (証明書) ウィンドウに表示されているポート (14720、14730、または 14750) を入力します。
  7. [QlikView Management Console QlikView Certificates] (証明書) ウィンドウに表示されているパスワードを入力します。
  8. 成功するとメッセージが表示され、パスワードが正しく、QlikView サービスがそのポートを経由してアクセスできることが確認されます。

この時点で、[スタート] メニューから MMC を実行し、追加の QlikView サービスを実行するサーバー上で証明書が適切にインストールされているか確認できます。

Microsoft Management Console の使用

証明書の更新

証明書が失効した、または間もなく失効する場合、あるいは、機密性の高いデータに新しい暗号化鍵を生成する場合、新しい証明書を生成します。忘れずに古い証明書のコピーを作成してください。

証明書が失効するのは 10 年後ですが、いつでも更新できます。証明書の有効期限は QMC に表示されています。有効期限まで残り 30 日以下になると、QlikView Management Console に警告が表示されます。

警告: 証明書は置き換えるべきではありませんが、更新は可能です。既存の証明書を削除すると、結果的にデータを復号化できなくなる可能性があります。

証明書の失効以外にも、証明書のひとつがコンピュータ名とリンクされることから、たとえば、コンピュータの交換やコンピュータ名の変更などの理由で、更新が必要になることが考えられます。

証明書を更新するには、クラスター内の各マシンで以下の手順を実行します。

  1. すべての QlikView サービスをシャット ダウンします (順序は関係ありません)。
  2. 現在使用中のマシンに、交換の必要がある有効な証明書がある場合は、構成フラグ InstallingNewCertificatesAndCryptoKeyLicense Service を除くすべての QlikView サービス。
  3. すべての QlikView サービスを開始します (順序は関係ありません)。
  4. [System] (システム) タブをクリックし、[Setup] (設定) をクリックします。
  5. サービスを選択し、そのサービスの [General] (基本設定) タブをクリックします。
  6. ウィンドウ右下にある [Apply] (適用) ボタンをクリックし、指示に従って証明書をインストールします。
  7. 更新された証明書を必要とする各サービスに、上記の手順を繰り返し実行します (順序は関係ありません)。certificates.
  8. すべての QlikView サービスをシャット ダウンします (順序は関係ありません)。
  9. 構成フラグ InstallingNewCertificatesAndCryptoKeyを前の手順で有効化した場合は、すべてのサービスでフラグを無効化します。
  10. すべてのサービスを開始します 。最初に QlikView Management Service (QMS) を開始します。

開始時に新しい証明書が見つかると (新しい暗号化鍵を含む)、サービスはすべての機密性の高いデータを新しい暗号化鍵で再暗号化します。

注: 古い証明書は (実際のところそれらは古くなりますが) 絶対に削除しないでください。万一、データの古いバックアップを復元する必要が生じた場合、データの復号化に古い証明書 (そこに含まれる対応した暗号化鍵) が必要になることがあります。
注: インストールされている製品の証明書を更新する場合は、License Service より前に QlikView Management Service (QMS) を再起動する必要がります。この順序でサービスを開始することにより、正しい証明書セットがエクスポートされ、License Service で使用できるようにします。License Service のステータスは、 Qlik Service Dispatcher を起動して停止することによって管理できます。

構成 InstallingNewCertificatesAndCryptoKeyフラグ

このフラグを true に設定して有効化した場合、サーバー マシンにインストールされている既存の証明書は無視されます (CryptoAlgorithm を抽出する場合を除く)。このフラグは DSC、QDS、QVWS で使用されますが、QMS では用いられず、既定では無効化 (false に設定) されています。

証明書を更新するときは、新しい証明書の取得を可能にするためにこのフラグを有効化します。証明書の更新が済んだら、すべてのサービスでフラグを false に設定します。

フラグを有効化するには、

InstallingNewCertificatesAndCryptoKey=True

を次の構成ファイルに追加します。

  • C:\Program Files\QlikView\Distribution Service\QVDistributionService.exe.config
  • C:\Program Files\QlikView\Directory Service Connector\QVDirectoryServiceConnector.exe.config
  • C:\Program Files\QlikView\Server\Web Server\QVWebServer.exe.config

復号化できないデータによる サービスの不具合

サービスの起動時、各サービスがすべての暗号化データ エントリにアクセスできるか検証されます。サービスで復号化できないデータが検出されると、エラーを報告し、サービスの実行が停止されます。

サービスでデータを復号化できない理由は 2 つあります。

  1. 証明書が見つからない - 必要な暗号化キーを含む証明書がない。この問題を解決するには、証明書をバックアップから再インストールして、サービスを再起動します。
  2. 暗号化されたデータを復号化できない - この問題を解決するには、復号化できないデータを消去します。

破損したデータの消去方法

復号化できないデータを消去するため、非表示になっている構成 EraseUndecryptableData フラグを一時的に有効化するには、以下の手順を実行します。

  1. サービスを停止します。
  2. メモ帳を管理者として実行します。
  3. 構成ファイルをメモ帳で開きます。
  4. 証明書のバックアップと復元

  5. EraseUndecryptableData というエントリを追加し、true に設定します。
  6. ファイルを保存します。
  7. サービスを再始動します。
  8. サービスが起動すると、データの復号化できない部分のみが消去されています。

  9. サービスを停止し、構成ファイルを開いて EraseUndecryptableData のエントリを削除します。
  10. ファイルを保存し、サービスを再始動します。
  11. サービスは通常どおりに開始します。

QMC で、消去したデータを再入力します。復号化できないデータ エントリのすべてがすでにサービスのログ ファイルに出力されており、QMC に再入力する必要があるデータを示します。