メイン コンテンツをスキップする

証明書の信頼性

このページ上

証明書の信頼性

QlikView Server では、デジタル認証を選択した場合、認証と承認に証明書を使用します。証明書はサーバー マシン間の信頼性を提供します。さらに、機密性の高いデータに対しては、動的暗号化鍵が使用されます。QlikView の既定の構成では、Windows の信頼関係に依存します (ハードコードされた暗号化鍵)。

注: 証明書には暗号化鍵が含まれているので、証明書のバックアップを安全な場所に保管しておくことが重要です。参照: 証明書のバックアップと復元
注: QlikView Server は、マシン名で (IP アドレスや完全修飾ドメイン名でなく) 参照する必要があります。

アーキテクチャ

QlikView サーバー インストールでは、証明書は、複数のサーバー上にあるサービス間の通信を認証および許可します。証明書にはパスワードや接続文字列など、データの暗号化と復号化を処理する SecretsKey が含まれます。

QlikView 内の複数のサーバー展開で証明書を構成すると、信頼性を確立するために、QlikView Administration Group における依存関係は削除されます。また、証明書を使用すると、Active Directory (AD) やその他のユーザー ディレクトリを共有しなくても、異なるドメインにある QlikView サービス間で信頼できるドメインを構築できます。

注: ここで説明している構成の手順は、QlikView サービス間の信頼できるドメインにのみ当てはまります。エンドユーザーの通信の安全を確保するために SSL や証明書を使用する場合は、個別に設定する必要があります。

QlikView Server では、認証と承認に以下のデジタル証明書を使用します。

場所 発行先 発行元 説明
ローカル コンピュータ/個人 <マシン名> QlikViewCA サーバー
ローカル コンピュータ/個人 QVProxy QlikViewCA Client
ローカル コンピュータ/信頼されたルート証明機関 QlikViewCA QlikViewCA Root

証明書は Microsoft Management Console (MMC) から管理されます。

アーキテクチャは、証明書マネージャまたは Certificate Authority (CA) として機能する QlikView Management Service (QMS) に基づいています。QMS は証明書を作成して、QlikView インストールのあらゆるサービスに配布することができます。

QMS はセキュリティ ソリューションの重要な部分であり、安全な場所から管理して証明書ソリューションを安全に維持する必要があります。

インストールのルート証明書は QMS サーバーに保存されています。インストールに加わる予定の QlikView サービスを伴うサービスはすべて、QMS に追加された際にルート証明書を使用して署名された証明書を受け取ります。QMS (CA) は、キーと所有者の ID が含まれているデジタル証明書を発行します。プライベート キーは公に利用することはできず、QlikView サービスによって秘匿されます。証明書を使うと、QMS はサービスの信頼性を確認できます。つまり、QMS は「このサーバー上で構成されているサービスはマイ インストールのサービスである」と保証する責任を負っているのです。

サーバーが証明書を受け取った後、QlikView サービス間の通信は HTTPS (SSL 暗号化) を使用して暗号化されます。この証明書は、サーバー上のサービス間の通信のみを保護します。エンド ユーザーとの通信は保護しません (つまり、証明書は QlikView Plug-In、クライアント、または QVS とのウェブ サーバー通信では使用されません)。

次の図はマルチノード QlikView Server 展開を示しており、ここで QMS (Certificate Authority) はその他のサービスがインストールされているコンピュータに証明書を配布します。

Qlik License Service

QlikView April 2019 以降では、Qlik License Service が必ずインストールされ、署名付きキーを使用して QlikView Server にライセンスが付与されている場合にのみ有効化して使用されます。Qlik License Service は、QlikView Management Service (QMS) が実行されているマシンにインストールされ、他のサービスとは異なる方法で証明書を処理します。

QlikView Management Service (QMS) を初めて起動する場合には、ルート証明書とサーバー証明書が自動的にエクスポートされ、Qlik License Service で使用可能になります。これらの証明書は、次のファイルにエクスポートされます。

  • root.pem
  • server.pem
  • server_key.pem
    このファイルにはサーバーの証明書キーが書き込まれています。

既定では、これらのファイルは次の場所に保管されます: %ProgramData%\QlikTech\LicenseService\Exported Certificates

注: インストールされている製品の証明書を更新する場合は、Qlik License Service より前に QlikView Management Service (QMS) を再起動する必要がります。この順序でサービスを開始することにより、正しい証明書セットがエクスポートされ、Qlik License Service で使用できるようにします。Qlik License Service のステータスは、Qlik Service Dispatcher を起動して停止することによって管理できます。

要件

証明書の信頼性が適切に機能するには、以下の要件を満たす必要があります。

  • 証明書の信頼性は部分的に実装できません。QlikView インストールですべてのサービスによって使用されるか、まったく使用されません。
  • 証明書の信頼性は、Windows Server 2008 以降によってのみサポートされています。
  • すべてのコンピュータで QlikView Server 12.00 以降を使用していることを確認します。QlikView Server 11.20 以前では、暗号化に別の方法が使用されています。古い証明書は、QlikView 12.00 以降を実行しているインストールと互換性がないので、新しい証明書を作成する必要があります。
  • QlikView Server を最初にインストールする場合は、何も変更せずに QlikView サービスをインストールして設定します。証明書の使用を設定する前に、QlikView サービスが展開されているサーバー (コンピュータ) 上でサービスを開始して停止します。
  • セクション アクセス管理は、証明書の信頼性が設定されている環境では設定できません。
  • QlikView Management Service (QMS) を実行しているコンピュータ上では、アップデートを行うたびに、必ず次の 3 つの証明書のバックアップを作成します。
  • 場所 発行先 発行元 説明
    ローカル コンピュータ/個人 <マシン名> QlikViewCA サーバー
    ローカル コンピュータ/個人 QVProxy QlikViewCA Client
    ローカル コンピュータ/信頼されたルート証明機関 QlikViewCA QlikViewCA Root

    証明書のバックアップ方法については、次を参照してください:証明書のバックアップと復元

さらに、以下のセクションで説明されている技術要件も満たさなくてはなりません。

証明書のポート

このセクションでは、証明書の信頼性を構成するときに、オープンにする必要があるポートについて説明します。

次のテーブルに記載されたポートは、サービス間の通信で必要になり、「オープン」として構成する必要があります。

QlikView のポートの詳細については、下記を参照してください。ポート

注: 結果として生じたネットワーク内での QlikView サーバーの場所と QVS 通信のルーティングに応じて、ファイアウォールの設定を変更する必要があるかもしれません。
サービス ポート SSL 対応ポート
QlikView Server 4747, 4749 4749
QlikView Distribution Service 4720 4720
QlikView Web Server 4750, 80, 443 4750, 443
QlikView Management Service 4780, 4799 4780, 4799
Directory Service Connector 4730 4730

次のテーブルに記載されたポートは、ローカル サーバー上での証明書のインストール手順で必要になります。

注: これらのポートはサービス間の通信では使用されません。
サービス ポート
QlikView Distribution Service 14720
Directory Service Connector 14730
QlikView Web Server 14750

次のテーブルに記載されたプロトコルは、このセクションで説明したポートでの通信に使用されます。

サービス ポート
QlikView Server SSL を介した QVPX
その他のすべてのサービス SSL を介した SOAP
注: 各サービスの配布済み証明書をインストールするには、コンソールへの物理的なアクセスまたはコンソールへのリモート アクセス (リモート デスクトップ機能の使用など) が必要です。