QlikView Server では、デジタル認証を選択した場合、認証と承認に証明書を使用します。証明書はサーバー マシン間の信頼性を提供します。さらに、機密性の高いデータに対しては、動的暗号化鍵が使用されます。QlikView の既定の構成では、Windows の信頼関係に依存します (ハードコードされた暗号化鍵)。
アーキテクチャ
QlikView サーバー インストールでは、証明書は、複数のサーバー上にあるサービス間の通信を認証および許可します。証明書にはパスワードや接続文字列など、データの暗号化と復号化を処理する SecretsKey が含まれます。
QlikView 内の複数のサーバー展開で証明書を構成すると、信頼性を確立するために、QlikView Administration Group における依存関係は削除されます。また、証明書を使用すると、Active Directory (AD) やその他のユーザー ディレクトリを共有しなくても、異なるドメインにある QlikView サービス間で信頼できるドメインを構築できます。
QlikView Server では、認証と承認に以下のデジタル証明書を使用します。
| 場所 | 発行先 | 発行元 | 説明 |
|---|---|---|---|
| ローカル コンピュータ/個人 | <マシン名> | QlikViewCA | サーバー |
| ローカル コンピュータ/個人 | QVProxy | QlikViewCA | Client |
| ローカル コンピュータ/信頼されたルート証明機関 | QlikViewCA | QlikViewCA | Root |
証明書は Microsoft Management Console (MMC) から管理されます。
アーキテクチャは、証明書マネージャまたは Certificate Authority (CA) として機能する QlikView Management Service (QMS) に基づいています。QMS は証明書を作成して、QlikView インストールのあらゆるサービスに配布することができます。
QMS はセキュリティ ソリューションの重要な部分であり、安全な場所から管理して証明書ソリューションを安全に維持する必要があります。
インストールのルート証明書は QMS サーバーに保存されています。インストールに加わる予定の QlikView サービスを伴うサービスはすべて、QMS に追加された際にルート証明書を使用して署名された証明書を受け取ります。QMS (CA) は、キーと所有者の ID が含まれているデジタル証明書を発行します。プライベート キーは公に利用することはできず、QlikView サービスによって秘匿されます。証明書を使うと、QMS はサービスの信頼性を確認できます。つまり、QMS は「このサーバー上で構成されているサービスはマイ インストールのサービスである」と保証する責任を負っているのです。
サーバーが証明書を受け取った後、QlikView サービス間の通信は HTTPS (SSL/TLS 暗号化) を使用して暗号化されます。この証明書は、サーバー上のサービス間の通信のみを保護します。エンド ユーザーとの通信は保護しません (つまり、証明書は QlikView Plug-In、クライアント、または QVS とのウェブ サーバー通信では使用されません)。
次の図はマルチノード QlikView Server 展開を示しており、ここで QMS (Certificate Authority) はその他のサービスがインストールされているコンピュータに証明書を配布します。
Qlik License Service
QlikView April 2019 以降では、Qlik License Service が必ずインストールされ、署名付きキーを使用して QlikView Server にライセンスが付与されている場合にのみ有効化して使用されます。Qlik License Service は、QlikView Management Service (QMS) が実行されているマシンにインストールされ、他のサービスとは異なる方法で証明書を処理します。
QlikView Management Service (QMS) を初めて起動する場合には、ルート証明書とサーバー証明書が自動的にエクスポートされ、Qlik License Service で使用可能になります。これらの証明書は、次のファイルにエクスポートされます。
- root.pem
- server.pem
- server_key.pem
このファイルにはサーバーの証明書キーが書き込まれています。
既定では、これらのファイルは次の場所に保管されます: %ProgramData%\QlikTech\LicenseService\Exported Certificates。
要件
証明書の信頼性が適切に機能するには、以下の要件を満たす必要があります。
- 証明書の信頼性は部分的に実装できません。QlikView インストールですべてのサービスによって使用されるか、まったく使用されません。
- 証明書の信頼性は、Windows Server 2008 以降によってのみサポートされています。
- すべてのコンピュータで QlikView Server 12.00 以降を使用していることを確認します。QlikView Server 11.20 以前では、暗号化に別の方法が使用されています。古い証明書は、QlikView 12.00 以降を実行しているインストールと互換性がないので、新しい証明書を作成する必要があります。
- QlikView Server を最初にインストールする場合は、何も変更せずに QlikView サービスをインストールして設定します。証明書の使用を設定する前に、QlikView サービスが展開されているサーバー (コンピュータ) 上でサービスを開始して停止します。
- セクション アクセス管理は、証明書の信頼性が設定されている環境では設定できません。
- QlikView Management Service (QMS) を実行しているコンピュータ上では、アップデートを行うたびに、必ず次の 3 つの証明書のバックアップを作成します。
| 場所 | 発行先 | 発行元 | 説明 |
|---|---|---|---|
| ローカル コンピュータ/個人 | <マシン名> | QlikViewCA | サーバー |
| ローカル コンピュータ/個人 | QVProxy | QlikViewCA | Client |
| ローカル コンピュータ/信頼されたルート証明機関 | QlikViewCA | QlikViewCA | Root |
証明書のバックアップ方法については、次を参照してください:証明書のバックアップと復元。
さらに、以下のセクションで説明されている技術要件も満たさなくてはなりません。
証明書のポート
このセクションでは、証明書の信頼性を構成するときに、オープンにする必要があるポートについて説明します。
次のテーブルに記載されたポートは、サービス間の通信で必要になり、「オープン」として構成する必要があります。
QlikView のポートの詳細については、下記を参照してください。ポート。
| Service | ポート | SSL/TSL -対応ポート |
|---|---|---|
| QlikView Server | 4747, 4749 | 4749 |
| QlikView Distribution Service | 4720 | 4720 |
| QlikView Web Server | 4750, 80, 443 | 4750, 443 |
| QlikView Management Service | 4780, 4799 | 4780, 4799 |
| Directory Service Connector | 4730 | 4730 |
次のテーブルに記載されたポートは、ローカル サーバー上での証明書のインストール手順で必要になります。
| Service | ポート |
|---|---|
| QlikView Distribution Service | 14720 |
| Directory Service Connector | 14730 |
| QlikView Web Server | 14750 |
次のテーブルに記載されたプロトコルは、このセクションで説明したポートでの通信に使用されます。
| Service | ポート |
|---|---|
| QlikView Server | SSL/TSL を介した QVPX |
| その他のすべてのサービス | SSL/TSL を介した SOAP |
