Skip to main content

Server SSL/TLS を設定

Server は、HTTPS の TLS (Transport Layer Security) と SSL (セキュアソケットレイヤー) の両方の暗号化をサポートしており、Designer と Server 間の通信だけでなく、ユーザーの Web ブラウザと企業の Alteryx Server UI 間のあらゆる通信を安全に保護します。

注記

Server-FIPS

AlteryxService は、内部および直接のサービス層通信で TLS をサポートするようになりました。Server-FIPSでは、TLSがすべてのサービスに対して有効になり、無効にすることはできません。この変更により、コントローラーノードとServer UIノードにX.509(TLS)証明書をインストールする必要があります。これにより、ノード間の通信がTLSと連携できるようになります。Serverをホストするすべてのマシンに、その設定に関係なく、証明書をインストールすることをお勧めします。

重要

  • TLS/SSL の設定作業には IT ネットワーク管理者に参加していただくことをお勧めします。TLS/SSL の設定では、認証局 (CA) を介した TLS/SSL ファイルの作成、配布、および認証に関する専門知識が必要です。

  • 認定された CA を使用して TLS/SSL 証明書に署名します。

  • TLS (SSL) 証明書を使用することをお勧めします。

  • 自己署名証明書は、実稼働環境では推奨されません。

マシンで SSL を有効にする前に、会社の Alteryx Server UI のための TLS/SSL 証明書を、信頼できる認証局 (CA) から取得してください。証明書に指定する Subject (サブジェクト) または Subject Alternative Name (サブジェクトの別名) は、Server の Web サイトドメインで使用するアドレス ( Server UI Configuration (Server UI 設定) 画面にある システム設定 ベースアドレス ) と一致する必要があります。 ベースアドレス 設定の詳細については、 Server UI のヘルプページを参照してください。

TLS/SSL 証明書を取得した後に、ユーザーがサイトにアクセスしたときにその証明書を使用するように Alteryx Server を設定する必要があります。これを行うには、証明書の拇印をマシンの特定のポートに関連付ける必要があります。

ステップ 1.Windows に TLS/SSL 証明書をインストールする

CA から署名付き証明書を受け取ったら、Windows にインストールする必要があります。証明書をインストールには、次の手順を実行します。

  1. Windows の Start ( スタート) ボタンを選択します。

  2. Search (検索) に「」と入力してから、 Enter を押します。

  3. Microsoft 管理コンソール (MMC) で、 ファイル メニューから スナップインの追加と削除 を選択します。

  4. スナップインの追加と削除 ダイアログボックスで、 証明書 を選択し、 追加 を選択します。

  5. スタンドアロンスナップインの追加 ダイアログボックスで、 証明書 を選択し、 追加 を選択します。

  6. 証明書スナップイン ダイアログボックスで、 コンピューターアカウント を選択し、 次へ を選択します。

  7. コンピューターの選択 ダイアログボックスで、既定の ローカルコンピューター を選択したままにし、 完了 を選択します。

  8. スタンドアロンスナップインの追加 ダイアログボックスで、 閉じる を選択します。

  9. スナップインの追加と削除 ダイアログボックスで、 OK を選択します。

  10. 証明書 > 個人 の順に展開します。

  11. 個人 の下の 証明書 を右クリックし、 すべてのタスク インポート の順に選択します。

  12. 証明書のインポートウィザード で、 次へ を選択します。

  13. インポートする証明書ファイル ダイアログボックスで 参照 を選択し、CA から提供されたファイルを参照して、 次へ を選択します。

  14. 証明書に秘密鍵が含まれている場合、プロンプトが表示されたら、パスワードを入力します。

  15. このキーをエクスポート可能にする にチェックを入れ、 次へ を選択します。

  16. 証明書をすべて次のストアに配置する を選択し、 個人 を参照して、 次へ を選択します。

  17. 証明書のインポートウィザードの完了 ダイアログボックスで 完了 を選択し、証明書を Windows の個人用証明書ストアにインポートします。

ステップ 2.TLS/SSL 証明書の拇印を取得する

次の手順に従って、証明書の拇印を取得します。

  1. Windows の Start ( スタート) ボタンを選択します。

  2. Search (検索) に「」と入力してから、 Enter を押します。

  3. Microsoft 管理コンソール (MMC) で、 ファイル メニューから スナップインの追加と削除 を選択します。

  4. スナップインの追加と削除 ダイアログボックスで、 証明書 を選択し、 追加 を選択します。

  5. スタンドアロンスナップインの追加 ダイアログボックスで、 証明書 を選択し、 追加 を選択します。

  6. 証明書スナップイン ダイアログボックスで、 コンピューターアカウント を選択し、 次へ を選択します。

  7. コンピューターの選択 ダイアログボックスで、既定の ローカルコンピューター を選択したままにし、 完了 を選択します。

  8. スタンドアロンスナップインの追加 ダイアログボックスで、 閉じる を選択します。

  9. スナップインの追加と削除 ダイアログボックスで、 OK を選択します。

  10. 証明書 > 個人 の順に展開します。

  11. ステップ 1 Windows に TLS/SSL 証明書をインストールする 」でインポートした証明書を右クリックし、 開く を選択します。

  12. Details (詳細) タブを選択します。

  13. リストをスクロールして、 Thumbprint (拇印) をハイライトします。

  14. 下部のボックスに表示される値が、証明書の拇印です。値をコピーしてテキストエディターに貼り付け、スペースをすべて削除します。この値は、ポートを設定するときに使用します。

ステップ 3.TLS/SSL 証明書を使用するためのポートを設定する

証明書の拇印を特定のポートに関連付けるには、次の手順を実行します。

  1. Windows の Start ( スタート) ボタンを選択します。

  2. Search (検索) に「」と入力して Enter を押します。

  3. コマンドの例を編集します。 コマンドの例

    HTTP add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bb6dc1c08da5e6 appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}

    1. の値を、スペースを含まない証明書拇印の値に置き換えます。

    2. 既定のポート (443) 以外のポートを使用する場合は、 の値を変更します。

    3. は Server のアプリケーション ID であるため、そのままにしておきます。

  4. 作成したコマンドを netsh コンソールに貼り付けて Enter を押し、指定ポートに証明書を関連付けます。

  5. netsh コンソールでこのコマンドを実行し、証明書が関連付けられたこと、インストールが正常に完了したことを確認します。

    netsh http show sslcert

すべての SSL 証明書とそれに関連付けられたポートが一覧表示されます。

ステップ 4.Server を TLS/SSL 用に設定する

証明書がポートに関連付けられた後、HTTP ではなく HTTPS を介した Web 要求を受け入れるように Server 設定を変更する必要があります。証明書を既定値 (443) 以外のポートに関連付けた場合は、そのポートを使用するように Alteryx Server を設定する必要があります。

  1. デスクトップの System Settings (システム設定) アイコンをダブルクリックします。

  2. Alteryx System Settings (Alteryx システム設定) の各画面で Next (次へ) を選択し、 Gallery 画面に移動します。

  3. ベースアドレス が TLS/SSL 証明書で保護されている Subject (サブジェクト) または Subject Alternative Name (サブジェクトの別名) と一致することを確認します。

  4. Server UI General 画面で、 Enable Server UI SSL/TLSを選択し ます。このオプションを有効にすると、 Base Address (ベースアドレス) フィールドの URL が HTTPS に変更されます。

  5. SSL が有効に設定され、証明書が既定値 443 以外のポートに設定されている場合は、 ベースアドレス でポートを指定します。たとえば、 https://localhost:445/gallery/ https://localhost:445/webapi です。

  6. Next (次へ) を選択して、次々と設定画面を進めます。

  7. [ 完了 ] を選択し、 システム設定 を閉じてAlteryxServiceを再起動します。

Serverの システム設定 でSSLを有効にすると、Serverにアクセスしたユーザーには、ブラウザのURLの前にHTTPSと調整アイコンが表示されます。これは、固有のセッションキーを使用してセキュアな接続が確立され、通信がセキュアであることを意味します。

既存の TLS/SSL 証明書を置き換える

期限切れまたはまもなく期限切れになる証明書を交換または更新するには、次の手順を実行します。

  1. ステップ 1 Windows に TLS/SSL 証明書をインストールする 」で説明した手順を使用して、新しい証明書をインストールします。

  2. AlteryxServiceを停止します。

  3. Windows の Start ( スタート) ボタンを選択します。

  4. Search (検索) に「」と入力してから、 Enter を押します。

  5. コマンドの例を編集します。 コマンドの例

    HTTP delete sslcert ipport=0.0.0.0:443

    • 既定のポート (443) 以外のポートを使用する場合は、 ipport の値を変更します。

  6. 作成したコマンドを netsh コンソールに貼り付けて Enter を押し、指定ポートにバインドされた証明書を削除します。

  7. netsh コンソールでこのコマンドを実行し、関連付けが削除されていることを確認します。

    netsh http show sslcert

  8. ステップ 2 TLS/SSL 証明書の拇印を取得する 」で説明した手順を使用して、新しい証明書の拇印を取得します。

  9. ステップ 3 TLS/SSL 証明書を使用するためのポートを設定する 」で説明した手順を使用して、証明書を指定のポートに関連付けます。

  10. AlteryxService を起動します。