次の方法で共有


セルフサービス ポータルの SSL 証明書

 

公開日: 2016年7月

対象: System Center 2012 SP1 - Service Manager、System Center 2012 R2 Service Manager、System Center 2012 - Service Manager

セルフサービス ポータル の System Center 2012 – Service Managerには、SSL (Secure Sockets Layer) 証明書を使用するようにしてください。 セルフサービス ポータル は、Microsoft SharePoint Web サイトと Web コンテンツ サーバーの 2つのコンポーネントで構成されています。 セルフサービス ポータルで SSL を使用する場合は、これらの両方のコンポーネントで SSL 証明書を使用する必要があります。

セルフサービス ポータルに接続するクライアントは、SharePoint Web サイト サーバーに接続され、 SharePoint Web サイト サーバーからクライアントにポータルのフレームワークが渡されます。 SharePoint サーバーは、Web コンテンツ サーバーから Silverlight コンポーネントをダウンロードするよう、ブラウザーに指示を出します。 Silverlightコンポーネントは、Web コンテンツ サーバー上の Windows Communication Foundation (WCF) と連絡を取ります。 このプロセスでクライアントに渡される Web コンテンツ サーバーの URL は、SharePoint Web サイト サーバーの展開時に Web コンテンツ サーバーに指定した URL です。

クライアントが SSL を使って セルフサービス ポータルに接続するときに証明書関連の問題がある場合は、証明書の警告メッセージが表示されます。 たとえば、クライアントが入力した URL に含まれているコンピューター名と、証明書のコンピューター名が異なる場合は、名前の不一致を知らせる警告メッセージが表示されます。 クライアントはそのまま接続することを選択できますが、 クライアントが Silverlight コンポーネントを Web コンテンツ サーバーからダウンロードする際に証明書関連のエラーが発生しても、その場で証明書の警告メッセージを解決できません。 そのため、 セルフサービス ポータル Web ページの一部が空白で表示されてしまいます。

このような問題を回避するためにも、SSL 証明書を使用する場合は、次の点に注意してください。

  • セルフサービス ポータル に使用する証明書は、クライアントによって信頼された証明機関から発行されたものでなければなりません。

  • SharePoint Web サイト サーバーの証明書の名前が、ブラウザーでユーザーが入力する URL と一致している必要があります。 たとえば、ユーザーが「https://portal/SMPortal」という URL を入力する場合は、portal.woodgrove.com などのサイトではなく、ポータルに発行された証明書でなければなりません。

  • Web コンテンツ サーバーの証明書の名前が、SharePoint Web サイト サーバーの展開時に入力した名前と一致している必要があります。

SSL の既定のポートは 443 です。 そのため、SharePoint Web サイト サーバーの展開時にポート 443 を指定しておけば、 セルフサービス ポータルへの接続時にユーザーがポート番号を入力する必要はありません。 また、前述のとおり、ユーザーが SharePoint Web サイト サーバーに接続しようとすると Web コンテンツ サーバーの URL がクライアントに渡されるので、ユーザーが Web コンテンツ サーバーの URL を入力することはありません。したがって、Web コンテンツ サーバーの SSL ポートに 443 以外のポート (ポート 444 など) を使用することもできます。 SharePoint Web サイト サーバーと Web コンテンツ サーバーの両方を同じコンピューターに展開する場合は、先に Web コンテンツ サーバーのオプションを指定してから、SharePoint Web サイト サーバーをインストールするよう指示が表示されます。 つまり、最初に表示されるポート番号の入力オプションは Web コンテンツ サーバー用です。SharePoint Web サイト サーバーを同じコンピューターにインストールする場合は、この入力オプションにポート 443 を指定しないで、 2 番目に表示される SharePoint Web サイト サーバー用のポート番号オプションにポート 443 を指定することをお勧めします。

SharePoint Web サイト サーバーと Web コンテンツ サーバーの両方を同じコンピューターに展開する場合は、証明書は 1 つしか必要ありません。 1 つの証明書で両方のポートに対応できます。 SharePoint Web サイト サーバーと Web コンテンツ サーバーを別々のコンピューターに展開する (実稼働環境に適します) 場合は、コンピューターごとに証明書が 1 つ必要です。

証明書にはサブジェクト名が付いています。このサブジェクト名は他の証明書と重複してもかまいません。 ただし、 Service Manager のセットアップでは、証明書がサブジェクト名順に表示されるので、 セルフサービス ポータルの展開時に、同じ名前の証明書が複数表示される場合があります。 その場合は、そのうちの 2 番目の証明書を選択しても、 Service Manager では 1 番目の証明書が使用される可能性があります。 これは、クライアントが Web コンテンツ サーバーに接続するときに特に問題になります。クライアント側では証明書を手動で変更できないからです。 この問題を解決するには、インターネット インフォメーション サービス (IIS) マネージャーを使用して証明書を変更します。

次に、 セルフサービス ポータルで発生する可能性がある SSL 関連の問題の解決方法を説明します。

証明書の発行先の名前

SharePoint Web サイトへの接続時にブラウザーで入力するアドレスと、SharePoint Web サイトに定義されている Web コンテンツ サーバーのアドレスは、 各証明書に関連付けられている "発行先" の名前と一致している必要があります。 SharePoint Web サイトに接続するときにブラウザーで入力したアドレスが証明書の "発行先" の名前と異なる場合は、証明書の警告メッセージが表示され、ブラウザーのアドレス ボックスの背景が赤くなります。 また、SharePoint Web サイトに構成されている Web コンテンツ サーバーのアドレスが証明書の "発行先" の名前と異なる場合は、次の図のように、ブラウザーの中央のフレームが空白で表示されます。

Web コンテンツ サーバーからの空白コンテンツ

SharePoint Web サイトの名前の不一致

SharePoint Web サイトに接続するときにブラウザーで入力したアドレスが証明書の "発行先" の名前と異なる場合は、次のいずれかの方法で対処します。

  • 警告メッセージを閉じて、そのまま作業を続ける

  • ブラウザーのアドレス ボックスに入力した名前を、証明書の "発行先" の名前に合わせて変更する

  • ブラウザーで入力したアドレスと一致する "発行先" 名を持つ新しい証明書を取得する

Web コンテンツ サーバーの名前の不一致

SharePoint Web サイトに構成されている Web コンテンツ サーバーのアドレスが、Web コンテンツ サーバーにある証明書の "発行先" のアドレスと異なる場合は、 セルフサービス ポータル の中央のフレームが空白で表示されます。 その場合は、次のいずれかの方法で対処します。

  • SharePoint Web サイトに構成されている URL と一致する Web コンテンツ サーバー アドレスを持つ新しい証明書を取得する

  • SharePoint Web サイトに保存されている Web コンテンツ サーバーのアドレスを、Web コンテンツ サーバーで使用している証明書の "発行先" の名前に合わせて変更する

信頼された証明書の使用

証明書を発行した証明機関 (CA) が、クライアントがアクセスするサイトの信頼されたルート証明機関ストアに含まれていることを確認してください。 証明書が信頼された証明機関から発行されたものかどうかを確認する方法の詳細については、「 How to Examine Properties of a Certificate」を参照してください。

セルフサービス ポータルの SSL 証明書に関するトピック