メイン コンテンツをスキップする

証明書の信頼性

Qlik Sense は認証のために証明書を使用します。証明書は、サイト内のノード間で信頼を提供します。

証明書の信頼性の要件

証明書の信頼性が正しく機能するように、このセクションに記載されている要件を満たしている必要があります。

Microsoft Windows 環境でトランスポート レイヤー セキュリティ (TLS) を使用する場合、秘密キーは証明書と一緒に Windows 証明書ストアに保存しておく必要があります。また、Qlik Sense サービスの実行に使用されるアカウントには、証明書の秘密キーへのアクセス権を付与しなければなりません。

TLS 1.2 認証を使用する場合、サーバー マシンの Windows レジストリで TLS 1.2 サポートを有効化する必要があります。これはグローバルなシステム設定であるため、TLS 1.2 の有効化により生じる影響を考慮する必要があります。

通信ポート

証明書の信頼性を設定するには、Qlik Sense Repository Service (QRS) r は、以下の表に列記されているポートを開いて通信で使用するよう求めます。通信はネットワーク ファイアウォールを通過する場合、ファイアウォールのポートを開いて、サービス向けに設定する必要があります。

必要なポート
ポート 説明
4570

証明書パスワード検証ポート。マルチノード サイト内で、Qlik Sense Repository Service (QRS) がリム ノードで、配布された証明書をロック解除するためにのみ使用します。このポートには、ローカルホストからのみアクセス可能で、証明書のロック解除後、直ちに閉じられます。通信は常に暗号化されない状態で行われます。

このポートは通信に HTTP を使用します。

4444

セキュリティ ディストリビューション ポート。セントラル ノードのプライマリ QRS から証明書を受信するために、リム ノードの Qlik Sense Repository Service (QRS) でのみ使用します。通信は常に暗号化されない状態で行われますが、転送される認証パッケージは、パスワードで保護されています。

このポートは通信に HTTP を使用します。

ポート

配布済み証明書のロック解除

新しいリム ノードをサイトに追加する際には、配布済みの証明書をロック解除する必要があります。

ノードの証明書を認証

証明書信頼アーキテクチャ

証明書は、異なるノード上にあるサービス間の通信を認証するために、Qlik Sense サイト内で使用されます。また、証明書を使用すると、Microsoft Active Directory (AD) やその他のユーザー ディレクトリを共有しなくても、異なるドメインや領域 (内部ネットワーク、エクストラネット、インターネットなど) にあるサービス間で信頼できるドメインを構築できます。

アーキテクチャは、証明書管理者または Certificate Authority (CA) として機能するセントラル ノードのプライマリ Qlik Sense Repository Service (QRS) に基づいています。プライマリ QRS は、証明書を作成し、サイト内のすべてのノードに配信します。よって、プライマリ QRS はセキュリティ ソリューションの重要な一部であり、安全な場所から管理して証明書ソリューションを安全に維持する必要があります。

The Qlik Sense Repository Service acts as the Certificate Authority for all nodes within a site.

インストールの root 証明書は、プライマリ QRS を実行する、サイトのセントラル ノードに保管されます。サイト内で使用される予定の Qlik Sense サービスが含まれるノードはすべて、プライマリ QRS に追加されると、ルート証明書で署名された証明書を受け取ります。プライマリ QRS (つまり、CA) は、キーと所有者の ID が含まれているデジタル証明書を発行します。秘密キーのパブリックでの使用は不可で、ノードによって秘密にされます。この証明書により、Qlik Sense 展開のサービスが他のサービスの信頼性を検証できるようになります。つまり、プライマリ QRS は「ノード上で実装されているサービスは、サイト内のサービスである」と保証する責任を負っています。

The root certificate is stored in the central node, while client and server certificates are distributed to other services.

ノードが証明書を受け取った後、Qlik Sense サービス間の通信は、トランスポート レイヤー セキュリティ (TLS) 暗号化を使用して暗号化されます。

Microsoft Management Console を使用した証明書の確認

証明書は追加された証明書スナップインを使って、Microsoft Management Console (MMC) で視覚的に確認することができます。

証明書が適切に実装されている場合、以下の表でリストされている場所で利用できます。

証明書の種類
証明書 場所
QlikClient [証明書 - 現在のユーザー] > [個人用] > [証明書]
<full computer name>-CA [証明書 - 現在のユーザー] > [信頼されたルート証明機関] > [証明書]
<full computer name>-CA [Certificates (Local Computer)] (証明書 (ローカル コンピューター)) > [信頼されたルート証明機関] > [証明書]
<computer name> [Certificates (Local Computer)] (証明書 (ローカル コンピューター) > [個人用] > [証明書]

証明書の取り扱い

このセクションでは、Qlik Sense サービスの開始時の、証明書の取り扱い方法を説明します。

クライアント証明書

このセクションでは、サイトのセントラル ノードにあるプライマリの Qlik Sense Repository Service (QRS) が、Qlik Sense サービスの開始時にクライアント証明書をどのように扱うかについて説明します。

クライアント証明書は、Microsoft Windows 証明書ストアの以下の場所にあります。

[現在のユーザー] > [個人用] > [証明書]

Qlik Sense サービスが起動すると、QRS は証明書ストアを検索して Qlik Sense 証明書があるかチェックします。検索結果により、QRS は以下を実行します。

  • クライアント証明書が見つからない場合、QRS は証明書が見つからない旨を記録します。
  • クライアント証明書が 1 つだけ見つかった場合は、QRS は有効かどうか確認します。 証明書が無効な場合は、QRS によって無効な証明書が見つかったことが記録されます。
  • クライアント証明書が複数見つかった場合、QRS は証明書をすべて削除します。 複製は許可されていません。また、QRS は 検出/削除された有効/無効な証明書の数も記録します。

証明書に欠落がある、または証明書が無効であることが分かった場合、QRS を起動モードで実行し、証明書を作成しなおす必要があります。詳細については、「サービス」を参照してください。

サーバー証明書

このセクションでは、サイトのセントラル ノードにあるプライマリの Qlik Sense Repository Service (QRS) が、Qlik Sense サービスの開始時にサーバー証明書をどのように扱うかについて説明します。

サーバー証明書は、Microsoft Windows 証明書ストアの以下の場所にあります。

[ローカル コンピューター] > [個人用] > [証明書]

Qlik Sense サービスが起動すると、QRS は証明書ストアを検索して Qlik Sense 証明書があるかチェックします。検索結果により、QRS は以下を実行します。

  • サーバー証明書が見つからない場合、QRS は証明書が見つからなかった旨を記録します。
  • サーバー証明書が 1 つだけ見つかった場合は、QRS は有効かどうか確認します。 証明書が無効な場合は、QRS によって無効な証明書が見つかったことが記録されます。
  • サーバー証明書が複数見つかった場合、QRS は証明書をすべて削除します。 複製は許可されていません。また、QRS は 検出/削除された有効/無効な証明書の数も記録します。

証明書に欠落がある、または証明書が無効であることが分かった場合、QRS を起動モードで実行し、証明書を作成しなおす必要があります。詳細については、「サービス」を参照してください。

ルート証明書

このセクションでは、サイトのセントラル ノードにあるプライマリの Qlik Sense Repository Service (QRS) が、Qlik Sense サービスの開始時にルート証明書をどのように扱うかについて説明します。

ルート証明書は、Microsoft Windows 証明書ストア内の以下の場所にあります。

[現在のユーザー] > [信頼されたルート証明機関] > [証明書]

[ローカル コンピューター] > [信頼されたルート証明機関] > [証明書]

Qlik Sense サービスが起動すると、QRS は証明書ストアを検索して Qlik Sense 証明書があるかチェックします。検索結果により、QRS は以下を実行します。

  • ルート証明書が見つからない場合、QRS は証明書が見つからなかった旨を記録します。
  • ルート証明書が 1 つしか見つからない場合、QRS はその証明書が有効かどうかチェックします。有効でない場合、QRS は、無効な証明書が見つかったという致命的なエラーを記録します。つまり、サービスはシャットダウンし、管理者は手動で不要な証明書を削除する必要があります。さらに、QRS は、この影響を受ける証明書についての情報を記録します。
  • 複数のルート証明書が見つかった場合、QRS は、無効な証明書が見つかったという致命的なエラーを記録します。つまり、サービスはシャットダウンし、管理者は手動で不要な証明書を削除する必要があります。さらに、QRS は、この影響を受ける証明書についての情報を記録します。

証明書に欠落がある、または証明書が無効であることが分かった場合、QRS を起動モードで実行し、証明書を作成しなおす必要があります。詳細については、「サービス」を参照してください。

注: マシン間の証明書の信頼性を解除しないように、QRS はルート証明書を削除することはありません。無効なルート証明書の処理方法は、管理者が決定します。

無効な証明書

無効な証明書の定義とは以下の通りです。

  • 証明書が古すぎないか、または証明書チェーンが不正確または不完全ではないか、オペレーティング システムが判断します。
  • Qlik Sense 証明書拡張 (OID “1.3.6.1.5.5.7.13.3”) が欠けているか、証明書の保存先を反映していません。
    • 現在のユーザー/個人用証明書の保存先: クライアント
    • ローカル マシン/個人用証明書の保存先: サーバー
    • ローカル マシン/信頼されたルート証明書の保存先: Root
    • 現在のユーザー/信頼されたルート証明書の保存先: Root
  • セントラル ノード上のサーバー、クライアントおよびルートの証明書には、オペレーティング システムが証明書にアクセスを許可するプライベート キーが含まれていません。
  • サーバー証明書およびクライアント証明書は、マシンのルート証明書によって署名されていません。

信頼されたルート証明書の最大数

Qlik Sense サービスは起動時に、実行中のマシンの信頼されたルート証明件数をチェックします。マシン上に 300 を超える証明書が存在する場合、以下の情報を含む警告メッセージが記録されます。

  • サービスのルート証明書を信頼するには、数が多すぎます。
  • Microsoft Windows オペレーティング システムは、トランスポート レイヤー セキュリティ (TLS) ハンドシェーク中に証明書のリストを切り捨てます。

Qlik Sense クライアント証明書が属する Qlik Sense ルート証明書 (<host-machine>-CA) は、切り詰めにより証明書のリストから削除されており、サービスは認証できません。

マシンに存在するルート証明書を手動で表示するには、Microsoft Management Console (MMC) を開き、[Certificates (Local Computer)] (証明書 (ローカル コンピューター)) > [信頼されたルート証明機関] へと進みます。