Skip to main content

Server SSL/TLS の設定

Server は、HTTPS の TLS (Transport Layer Security) と SSL (セキュアソケットレイヤー) の両方の暗号化をサポートしており、Designer と Server 間の通信だけでなく、ユーザーの Web ブラウザと企業の Alteryx Server UI 間のあらゆる通信を安全に保護します。

注記

Server-FIPS

AlteryxService は、内部および直接のサービス層通信で TLS をサポートするようになりました。Server-FIPSでは、TLSがすべてのサービスに対して有効になり、無効にすることはできません。この変更により、コントローラーノードとServer UIノードにX.509(TLS)証明書をインストールする必要があります。これにより、ノード間の通信がTLSと連携できるようになります。Serverをホストするすべてのマシンに、その設定に関係なく、証明書をインストールすることをお勧めします。

重要

  • TLS/SSL の設定作業には IT ネットワーク管理者に参加していただくことをお勧めします。TLS/SSL の設定では、認証局 (CA) を介した TLS/SSL ファイルの作成、配布、および認証に関する専門知識が必要です。

  • 認定された CA を使用して TLS/SSL 証明書に署名します。

  • TLS (SSL) 証明書を使用することをお勧めします。

  • 自己署名証明書は、実稼働環境では推奨されません。

マシンで SSL を有効にする前に、会社の Alteryx Server UI のための TLS/SSL 証明書を、信頼できる認証局 (CA) から取得してください。証明書に指定する サブジェクト または サブジェクトの別名 は、ServerのWebサイトドメインで使用するアドレス(Server UI設定 画面にある システム設定ベースアドレス)と一致する必要があります。ベースアドレス 設定の詳細については、Server UI のヘルプページを参照してください。

TLS/SSL 証明書を取得した後に、ユーザーがサイトにアクセスしたときにその証明書を使用するように Alteryx Server を設定する必要があります。これを行うには、証明書の拇印をマシンの特定のポートに関連付ける必要があります。

ステップ 1.Windows に TLS/SSL 証明書をインストールする

CA から署名付き証明書を受け取ったら、Windows にインストールする必要があります。証明書をインストールには、次の手順を実行します。

  1. Windows の Start (スタート)ボタンを選択します。

  2. 検索mmcと入力してから、Enter を押します。

  3. Microsoft管理コンソール(MMC) で、ファイル メニューから スナップインの追加と削除 を選択します。

  4. スナップインの追加と削除ダイアログボックスで、証明書を選択し、追加を選択します。

  5. スタンドアロンスナップインの追加ダイアログボックスで、証明書を選択し、追加を選択します。

  6. 証明書スナップインダイアログボックスで、コンピューターアカウントを選択し、次へを選択します。

  7. コンピューターの選択ダイアログボックスで、既定のローカルコンピューターを選択したままにし、完了を選択します。

  8. スタンドアロンスナップインの追加ダイアログボックスで、閉じるを選択します。

  9. スナップインの追加と削除ダイアログボックスで、OK を選択します。

  10. 証明書 > 個人 の順に展開します。

  11. 個人 の下の 証明書 を右クリックし、 すべてのタスクインポート の順に選択します。

  12. 証明書のインポートウィザード で、次へ を選択します。

  13. インポートする証明書ファイル ダイアログボックスで 参照 を選択し、CAから提供されたファイルを参照して、次へ を選択します。

  14. 証明書に秘密鍵が含まれている場合、プロンプトが表示されたら、パスワードを入力します。

  15. このキーをエクスポート可能にするにチェックを入れ、次へを選択します。

  16. 証明書をすべて次のストアに配置するを選択し、個人を参照して、次へを選択します。

  17. 証明書のインポートウィザードの完了 ダイアログボックスで 完了 を選択し、証明書をWindowsの個人用証明書ストアにインポートします。

ステップ 2.TLS/SSL 証明書の拇印を取得する

次の手順に従って、証明書の拇印を取得します。

  1. Windows の Start (スタート)ボタンを選択します。

  2. 検索mmcと入力してから、Enter を押します。

  3. Microsoft管理コンソール(MMC) で、ファイル メニューから スナップインの追加と削除 を選択します。

  4. スナップインの追加と削除ダイアログボックスで、証明書を選択し、追加を選択します。

  5. スタンドアロンスナップインの追加ダイアログボックスで、証明書を選択し、追加を選択します。

  6. 証明書スナップインダイアログボックスで、コンピューターアカウントを選択し、次へを選択します。

  7. コンピューターの選択ダイアログボックスで、既定のローカルコンピューターを選択したままにし、完了を選択します。

  8. スタンドアロンスナップインの追加ダイアログボックスで、閉じるを選択します。

  9. スナップインの追加と削除ダイアログボックスで、OK を選択します。

  10. 証明書 > 個人 の順に展開します。

  11. ステップ 1#ステップ-1-windows-に-tls-ssl-証明書をインストールするWindows に TLS/SSL 証明書をインストールする」でインポートした証明書を右クリックし、開くを選択します。

  12. Details (詳細) タブを選択します。

  13. リストをスクロールして、Thumbprint (拇印) をハイライトします。

  14. 下部のボックスに表示される値が、証明書の拇印です。値をコピーしてテキストエディターに貼り付け、スペースをすべて削除します。この値は、ポートを設定するときに使用します。

ステップ 3.TLS/SSL 証明書を使用するためのポートを設定する

証明書の拇印を特定のポートに関連付けるには、次の手順を実行します。

  1. Windows の Start (スタート)ボタンを選択します。

  2. 検索netshと入力して Enter を押します。

  3. コマンドの例を編集します。コマンドの例

    http add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}

    1. certhashの値を、スペースを含まない証明書拇印の値に置き換えます。

    2. 既定のポート(443)以外のポートを使用する場合は、ipportの値を変更します。

    3. appidはServerのアプリケーションIDであるため、そのままにしておきます。

  4. 作成したコマンドを netsh コンソールに貼り付けて Enter を押し、指定ポートに証明書を関連付けます。

  5. netsh コンソールでこのコマンドを実行し、証明書が関連付けられたこと、インストールが正常に完了したことを確認します。

    http show sslcert

すべての SSL 証明書とそれに関連付けられたポートが一覧表示されます。

ステップ 4.Server を TLS/SSL 用に設定する

証明書がポートに関連付けられた後、HTTP ではなく HTTPS を介した Web 要求を受け入れるように Server 設定を変更する必要があります。証明書を既定値 (443) 以外のポートに関連付けた場合は、そのポートを使用するように Alteryx Server を設定する必要があります。

  1. デスクトップの System Settings (システム設定) アイコンをダブルクリックします。

  2. Alteryxシステム設定 の各画面で 次へ を選択し、Server UI 画面に移動します。

  3. ベースアドレスWeb APIアドレス が、TLS/SSL証明書で保護されている Subject (サブジェクト)または Subject Alternative Name (サブジェクトの別名)と一致することを確認します。

  4. Server UIのGeneral (全般) 画面で、Enable Server UI SSL/TLS (Server UIのSSL/TLSを有効化)を選択します。このオプションを有効にすると、ベースアドレスWeb APIアドレス のフィールドのURLがHTTPSに変更されます。

  5. SSLが有効に設定され、証明書が既定値443以外のポートに設定されている場合は、ベースアドレスWeb APIアドレス のフィールドのポートを指定します。例: https://localhost:445/gallery/https://localhost:445/webapi

  6. Next (次へ) を選択して、次々と設定画面を進めます。

  7. [完了] を選択し、システム設定 を閉じてAlteryxServiceを再起動します。

Serverの システム設定 でSSLを有効にすると、Serverにアクセスしたユーザーには、ブラウザのURLの前にHTTPSと調整アイコンが表示されます。これは、固有のセッションキーを使用してセキュアな接続が確立され、通信がセキュアであることを意味します。

既存の TLS/SSL 証明書を置き換える

期限切れまたはまもなく期限切れになる証明書を交換または更新するには、次の手順を実行します。

  1. ステップ 1#ステップ-1-windows-に-tls-ssl-証明書をインストールするWindows に TLS/SSL 証明書をインストールする」で説明した手順を使用して、新しい証明書をインストールします。

  2. AlteryxServiceを停止します。

  3. Windows の Start (スタート)ボタンを選択します。

  4. 検索netshと入力してから、Enter を押します。

  5. コマンドの例を編集します。コマンドの例

    http delete sslcert ipport=0.0.0.0:443

    • 既定のポート (443) 以外のポートを使用する場合は、 ipport の値を変更します。

  6. 作成したコマンドをnetshコンソールに貼り付けて Enter を押し、指定ポートにバインドされた証明書を削除します。

  7. netsh コンソールでこのコマンドを実行し、関連付けが削除されていることを確認します。

    http show sslcert

  8. ステップ 2#ステップ-2-tls-ssl-証明書の拇印を取得するTLS/SSL 証明書の拇印を取得する」で説明した手順を使用して、新しい証明書の拇印を取得します。

  9. ステップ 3#ステップ-3-tls-ssl-証明書を使用するためのポートを設定するTLS/SSL 証明書を使用するためのポートを設定する」で説明した手順を使用して、証明書を指定のポートに関連付けます。

  10. AlteryxService を起動します。

このセクションの内容: