Qlik Sense Proxy Service が使用する証明書
Qlik Sense Proxy Service は証明書を使用して、Qlik Sense Hub および 管理コンソール への HTTPS 接続を確立します。
よくあるエラー
セキュリティ強化のために最新のウェブ ブラウザーで採用されている証明書の透明性 (CT) フレームワークの一部として、証明書および潜在的な通信ブロックに関連するエラー メッセージが表示され、サイトの正当性をユーザーに知らせます。詳細については、「証明書の透明性 (CT) とは何ですか?」を参照してください。
よくあるエラーの一部は証明機関に関連しています。たとえば、証明機関がない場合や証明書の有効期限が切れている場合は、ほとんどのブラウザーの既定のセキュリティ レベルでは、「署名されていない証明書」、「期限切れの証明書」、または同様のメッセージが表示されて通信が停止されます。証明書が有効であることをセキュリティ管理者が認識している場合は、その証明書に対するエラーが無視されるように例外を作成できます。
その他のよくあるエラーは、ドメイン名の付け方に関連しています。たとえば、companyname.com は www.companyname.com とは異なるドメインであり、localhost はサーバー名とは異なるドメインです。完全修飾ドメイン名は、ドメインの明確な名前です。たとえば、companyname.com にあるサーバーの名前は mktg-SGK であり、その方法で参照できますが、完全修飾ドメイン名は mktg-SGK.companyname.com です。
暗号化とキー
Qlik 製品の証明書で使用される暗号化の種類には、キーのペアが必要です (非対称暗号化)。1 つのキーである公開キーは共有されます。もう 1 つのキーである秘密キーは、所有者のみが使用します。
PEM とは、パブリック証明書の ASCII テキスト形式のことです。PEM はプラットフォーム間で移植できます。
証明書とキー ペアは証明機関から取得することも、生成することもできます。証明書の署名を取得するためには、署名リクエストも生成する必要があります。
サードパーティの証明書の追加
既定では、Qlik Sense は自己署名証明書を使用して、ハブ (https://<your_sense_server>/hub) と管理コンソール (https://<your_sense_server>/qmc) の両方で HTTPS アクセスを有効にします。ただし、自己署名証明書はウェブ ブラウザーで検証または信頼不可であるため、警告メッセージが表示される傾向があります。
安全な HTTPS 接続を確立するには、サーバーにインストールされている SSL/TLS 証明書がブラウザーに信頼される必要があります。自己署名証明書の場合、署名した証明機関 (CA) は信頼されないため、証明機関によって生成された証明書は信頼されません。
Qlik Sense Hub および 管理コンソール で使用する信頼できる証明書をインストールするには、Qlik Sense Proxy の短い (5 分間) ダウンタイムに加えて、追加の署名証明書が必要です。ビデオを含む詳細については、Qlik コミュニティの「Qlik Sense Proxy で使用する証明書をカスタム サードパーティ証明書に変更する方法」を参照してください。
適切な証明書の選択
証明書には 次の 3 つのタイプがあります。
-
VeriSign、Thawte、Geotrust などの信頼できる証明機関から購入および署名された証明書。
-
企業内の証明機関によって提供および署名された証明書。
-
Microsoft IIS などのさまざまなアプリケーションによって作成される自己署名証明書。これらの証明書は通常、テスト目的のみに推奨されます。ユーザーがブラウザーの警告を意図せず無視してしまう可能性があり、これは望ましくないことです。
証明書には次が必要です。
-
Qlik Sense Enterprise on Windows: HUB/QMC で使用するサードパーティ SSL 証明書の互換性情報にリストされている要件を満たしている。
-
秘密キーが含まれている。
証明書が秘密キーにバンドルされていることを確認します。
-
最新の有効期間 (開始日/終了日) の範囲を持つこと。
-
オペレーティング システムまたはウェブ ブラウザーによって認識および事前構成され、正式に認められた証明機関によって署名されていること。
証明機関は、証明書の入手先と証明書署名リクエスト (CSR) の実行方法に関する手順を持っています。自己署名証明書、または企業の証明機関から証明書を取得する場合、ローカル管理者が証明書を提供できます。どちらの場合も、証明機関に送信するには CSR を生成する必要があります。このタスクには、Microsoft の certreq などのさまざまなツールが利用できます。証明書署名リクエストの詳細については、次の記事を参照してください。What is a CSR (Certificate Signing Request)? (CSR(証明書署名リクエスト)とは何ですか?)
証明書のインストール
証明書を取得したら、次のステップとして証明書をインストールし、Qlik Sense でアクティブ化します。この手順には、証明書のインポートと証明書のサムプリントを取得して Qlik Sense Proxy に提供することが含まれます。
次の手順を実行します。
-
Qlik Sense Proxy を実行している Qlik Sense ノードで、Sense サービスを実行しているユーザーでログインします。
-
証明書をインポートします。
CA から提供された証明書が .pfx 形式で保存されている場合:
-
証明書ファイルをダブルクリックし、プロンプトに従って証明書を個人用ストアにインポートします。
証明書を手動でインポートする場合:
-
プロキシ ノードで Microsoft 管理コンソール (mmc.exe) を開きます。
-
[ファイル] > [スナップインの追加と削除] に移動します。
-
[証明書] を選択して [追加] をクリックします。
-
[コンピューター アカウント] を選択し、 [次へ] をクリックします。
-
[ローカル コンピューター] を選択し、 [完了] 、 [OK] の順にクリックします。
-
[証明書 (ローカル コンピューター)] で、 [個人用] を選択します。
-
[アクション] > [全タスク] > [インポート] に移動します。
-
ブラウズして証明書ファイルを見つけ、プロンプトに従って秘密キーを含む証明書を個人用ストアにインポートします。
-
-
証明書が正しくインストールされたことを確認します。
-
プロキシ ノードで Microsoft 管理コンソール (mmc.exe) を開きます。
-
[証明書 (ローカル コンピューター)] で、 [個人用] を選択します。
-
新しい証明書が [証明書 (ローカル コンピューター)/個人用] > [個人用] > [証明書] にインポートされ、秘密キーを含んでいることを確認します。
-
証明書をダブルクリックして [証明書] ダイアログを開きます。
-
[証明書パス] タブで、 [証明書ステータス] が 「This certificate is OK」 (この証明書は問題ありません) になっていることを確認します。
-
-
証明書のサムプリントをコピーします。
-
Microsoft 管理コンソールで証明書をダブルクリックして、 [証明書] ダイアログを開きます。
-
[詳細] タブのリストで [サムプリント] を見つけます。
-
サムプリントをコピーし、次の手順で使用できるようにメモ帳などに貼り付けておきます。
-
-
Qlik Sense Proxy Service を構成します。
-
Qlik 管理コンソール (QMC) を開きます。
-
[プロキシ] に移動します。
-
使用するプロキシをダブルクリックします。
-
[Edit proxy] (プロキシの編集) ページの [セキュリティ] で、証明書のサムプリントを [SSL ブラウザ証明書サムプリント] 項目に貼り付けます。
-
[適用] をクリックします。
Qlik Sense Proxy Service が再起動されます。再起動中に、Windows API 呼び出しを使用して、新しい証明書が SSL ポートに正しくバインドされます。
-
-
証明書が受け入れられたことを確認します。
Qlik Sense Hub または Qlik 管理コンソール を開くと、証明書がブラウザーに表示されます。
-
たとえば、Google Chrome では、URL の左側にある南京錠のアイコンをクリックして証明書を確認できます。(使用するウェブ ブラウザーに応じて表示方法が異なる場合があります。)
-
表示される証明書についての情報が、インストールされた証明書のプロパティと一致していることを確認してください。このプロパティは、Microsoft 管理コンソールの [証明書] ダイアログの [基本設定] タブにあります。