Secure Global Desktop 4.31 管理者ガイド > セキュリティー > Secure Global Desktop サーバーへの SOAP 接続の保護

Secure Global Desktop サーバーへの SOAP 接続の保護

ブラウザベース Webtop などのクライアントアプリケーションでは、SOAP over HTTP プロトコルを使用して、Secure Global Desktop サーバーから提供される Web サービスにアクセスします。次のような場合は、HTTPS を使用してこれらの SOAP 接続を保護してください。

HTTPS ポートを使ってファイアウォール経由で Secure Global Desktop を使用する場合 (ファイアウォール転送)。
ブラウザベース Webtop を別のホストの別の JavaServer Pages (JSP) コンテナに再配置する場合。
Secure Global Desktop com.tarantella.tta.webservices.client.views パッケージを使用して、Secure Global Desktop と同じホスト上または別のホスト上で、ユーザー独自のクライアントアプリケーションを開発する場合。

注別のプログラミング言語を使用したいなどの理由でユーザー独自のクライアントを開発する場合は、SOAP 接続を保護するためのユーザー独自の方法を開発する必要があります。このページでは、必要となる手順の一般的な原則について説明します。

HTTPS を使用し、Secure Global Desktop サーバーの証明書を信頼するようにクライアントを設定する

クライアントの SOAP 接続を保護するには、HTTPS を使用してクライアントから接続するすべての Secure Global Desktop サーバーの X.509 証明書を信頼するように、クライアントを設定する必要があります。次の手順に従ってください。

X.509 証明書を証明書ストアに追加します。
keytool アプリケーションを使ってサーバーの証明書をインストールします。詳細については、「Java 2 SDK Tools and Utilities documentation」を参照してください。

Secure Global Desktop サーバーの動作基盤である Java 2 Runtime Environment (JRE) の証明書ストア、すなわち /opt/tarantella/bin/jre/lib/security/cacerts に証明書を格納します。

アレイ内のメンバーごとに、X.509 証明書を追加する必要があります。各サーバーの証明書は、/opt/tarantella/var/tsp/cert.pem に格納されます。

次のコマンドを実行します。
```
/opt/tarantella/bin/jre/bin/keytool -import \
  -file /opt/tarantella/var/tsp/cert.pem \
  -keystore /opt/tarantella/bin/jre/lib/security/cacerts \ 
  -storepass changeit \
  -alias hostname
```
webapps/sgd/WEB-INF/classes/com/tarantella/tta/webservices/client/apis ディレクトリに移動します。
Resources.properties ファイルを編集します。
このプロパティーファイルに指定されている各 Web サービスの URL を HTTPS URL に変更します。
- URL の形式は http://server:port/service です (デフォルトは http://localhost:80/service)。
- Webtop またはアプリケーションが Secure Global Desktop と同じホスト上にある場合は、server に localhost を使用します。それ以外の場合は、Secure Global Desktop サーバーの完全修飾 DNS 名を使用します。
- port は、Secure Global Desktop Web Server が待機するポートです。
- 各 Web サービスには URL を 1 つだけ指定できます。たとえば、https://boston.indigo-insurance.com:443/axis/services/rpc/print と指定します。
Resources.properties ファイルへの変更を保存します。
Web サーバーと JSP コンテナを再起動します。
- Secure Global Desktop Web Server を使用する場合は、tarantella webserver restart --ssl コマンドを使用します。
- ユーザー独自の JSP コンテナまたは Web サーバー、あるいはその両方を使用する場合は、Resources.properties ファイルを変更したあとに、JSP コンテナを再起動する必要があります。また、Web サーバーが HTTPS 接続を受け入れるように設定されていることを確認してから、Web サーバーを再起動する必要があります。
アレイの各メンバーに対してこれらの手順を繰り返します。

リモートホスト

ブラウザベース Webtop を別のホストに再配置した場合や、別のホストで com.tarantella.tta.webservices.client.views パッケージを使用してユーザー独自のアプリケーションを開発した場合は、再配置した Resources.properties ファイルと Secure Global Desktop サーバー上の同ファイルの両方を編集する必要があります。

Web サービスの URL

再配置した Resources.properties ファイルでは、クライアントアプリケーションから接続する Secure Global Desktop サーバーの URL を指定する必要があります。たとえば、https://boston.indigo-insurance.com:443/axis/services/rpc/print と指定します。

Secure Global Desktop ホストの Resources.properties ファイルでは、URL を https://localhost:443 に修正します。

キーストア

次の 2 つのキーストアを作成する必要があります。

1 つは、クライアントアプリケーション (Webtop) から Secure Global Desktop サーバーへの HTTPS 接続用
もう 1 つは、Secure Global Desktop サーバーからリモートホストへの HTTPS 接続用 (サーバーからのイベント送信に使用される)

Secure Global Desktop サーバーに HTTPS 接続する場合は、JDK を使用してユーザー独自のキーストアをリモートホストに作成する必要があります。このキーストアには、Secure Global Desktop サーバー証明書を格納する必要があります。再配置した Resources.properties ファイルにこのキーストアの詳細を追加します。次の行を編集します。

keystore=keystore
keystorepass=password

Secure Global Desktop サーバーからリモートホストに HTTPS 接続するためのキーストア (cacerts ファイル) には、Secure Global Desktop サーバーが使用する JRE のリモートホストのルート証明書をインストールする必要があります。この操作は、keytool アプリケーションを使って行います。

/opt/tarantella/bin/jre/bin/keytool -import \
-keystore /opt/tarantella/bin/jre/lib/security/cacerts \ 
-storepass changeit \
-file certificate_path \
-alias remote_hostname

関連トピック
ユーザー独自の JSP コンテナへのブラウザベース Webtop の再配置ファイアウォールを使う HTTPS ポートによる Secure Global Desktop の使用 Secure Global Desktop セキュリティーサービスを使用してクライアントの接続を保護する