ブラウザとTomcatの通信をSSL化する方法

作成日[2019年05月09日 01:26]

更新日[2023年05月26日 14:26]

概要

一般的にTomcatはWebサーバーを介してブラウザからアクセスを行うことが多く、
この場合においてはブラウザとWebサーバー間でSSL通信を行い、WebサーバとTomcat間は非SSLとすることが殆どです。
しかし、構築手順書通りに構築した場合の構成ではWebサーバを利用しない前提となります為、
本ナレッジでは間にWebサーバーを挟まず、Tomcat自体をSSL対応させる方法をご紹介いたします。

注意事項

・本ナレッジの内容についてはBizRobo! Basicの仕様範囲ではなく、一般的なTomcatのSSL化を紹介する形となります。
以下のGMOグローバルサイン様のWebサイトの内容を例にしておりますが、実施の際はご利用の認証局の指示に従ってご対応ください。
https://jp.globalsign.com/support/server/05.html

・本ナレッジ以外の方法、例えば仮想環境のゲートウェイ機能などを用いてTomcatより外側でSSL化を行った場合、Tomcat上で動作するMCは通信にhttpを利用する前提で動作してしまい、
Kapplet画面などがWebブラウザで正常に表示できないといった事象が発生する事があります。

前提

・ファイアウォールなどでSSL通信に利用するポート(8443)をブロックしていない。

・本ナレッジはこちらの手順書に沿って環境構築されていることを前提とします。
　Windows用Tomcat構築作業手順書(10.7)
　※ご利用にはBizRobo! PORTALのアカウントが必要です。詳しくはこちらを参照してください。

作業手順

■Tomcatで使用するKeyStoreを作成します。
・コマンドプロンプトを開き、以下のコマンドを実行すると、カレントディレクトリにtomcat.keystoreファイルが作成されます。
keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
※ここで作成したファイルは作業が終わるまではバックアップとして残しておいてください。
■CSR (証明書署名要求)を作成します。
・以下のコマンドを実行すると、カレントディレクトリにtomcat.csrファイルが作成されます。
keytool -certreq -sigalg SHA1withRSA -alias tomcat -file tomcat.csr -keystore tomcat.keystore
※ここで作成したファイルは作業が終わるまではバックアップとして残しておいてください。
■CSRファイルを認証局に送付していただくと、証明書が発行されます。
■証明書をダウンロードしたら、keystoreファイルにインポートを行います。
・ルート証明書をインポート ※誤ったルート証明書をインポートすると、発行されたサーバー証明書がインポートできなくなります。
(例)keytool -import -alias root -keystore tomcat.keystore -file rootcacert.cer
・中間証明書をインポート ※GMOグローバルサイン様の場合、メールで送られてきたものをファイルに出力したものがdvcacert.cerとなります。
(例)keytool -import -alias cacert -keystore tomcat.keystore -file dvcacert.cer
・サーバ証明書をインポート ※GMOグローバルサイン様の場合、メールで送られてきたものをファイルに出力したものがglobalsign.crtとなります。
(例)keytool -import -alias tomcat -keystore tomcat.keystore -file globalsign.crt
・以下のコマンドでkeystoreの内容を確認することができます。
(例)keytool -list -v -keystore tomcat.keystore
■Tomcatの設定を変更してSSL通信(8443ポート)を有効にします。
・Tomcatのサービスを停止してください。
・各種証明書をインポートしたtomcat.keystoreを”C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\”に設置してください。
・”C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\server.xml”を編集して、以下の内容を追記。

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" defaultSSLHostConfigName="localhost">
        <SSLHostConfig hostName="localhost">
            <Certificate
            certificateKeystoreFile="conf/tomcat.keystore"
            certificateKeystorePassword="{KeyStoreのパスワード}"
            certificateKeyAlias="tomcat"
            certificateKeystoreProvider="SUN"
            certificateKeystoreType="JKS"
            type="RSA" />
        </SSLHostConfig>
    </Connector>

・Tomcatのサービスを起動してください。
・Tomcatを起動しているサーバー上のブラウザで以下のURLにアクセスして、問題なくManagementConsoleが表示されれば成功です。
https://localhost:8443/mc

区分	確認Ver
手順	10.7.0.4

概要

注意事項

前提

このセクションの記事