OpsCenterサーバーのHTTPSを有効にする

セキュリティを強化するには、OpsCenterでHypertext Transfer Protocol Secure(HTTPS)のサポートを有効にし、SSL情報を指定します。

セキュリティを強化するには、OpsCenterでHypertext Transfer Protocol Secure(HTTPS)のサポートを有効にし、SSL情報を指定します。OpsCenterのHTTPSサポートは、有効または無効にすることができます。HTTPSを有効にするには、次の手順を実行します。セキュリティを強化するため、HTTP Strict Transport Securityを有効にしてOpsCenterがHSTSヘッダーを返すように設定し、プロトコルダウングレード攻撃やCookieハイジャックに対する対策を強化します。
注: HSTS環境でHTTPSを無効にすると、時間がかかることがあります。「HSTS環境でOpsCenterサーバーのHTTPSを無効にする」の前提条件を参照してください。

opscenterd.conf

opscenterd.confファイルの場所は、インストールのタイプによって異なります。
  • パッケージ・インストール:/etc/opscenter/opscenterd.conf
  • tarボール・インストール:install_location/conf/opscenterd.conf

手順

  1. OpsCenter構成ファイルopscenterd.confを開きます。
  2. [webserver]セクションまでスクロールします。
    opscenterd.confのこのスニペットは、変更するデフォルトの[webserver]セクションを示しています。
    
    [webserver]
    port = 8888
    interface = 127.0.0.1
    # The following settings can be used to enable ssl support for the 
    # opscenter web application. Change these values to point to the 
    # ssl certificate and key that you wish to use for your OpsCenter 
    # install, as well as the port you would like
    # to serve ssl traffic from.
    #ssl_keyfile = /var/lib/opscenter/ssl/opscenter.key
    #ssl_certfile = /var/lib/opscenter/ssl/opscenter.pem
    #ssl_port = 8443
    
  3. ssl_keyfilessl_certfile、およびssl_portの前にあるコメント・マーカー(#)を削除します。
    ssl_keyfileおよびssl_certfileは、デフォルト値を使用するか、お使いの秘密証明書と公開証明書のパスに置き換えます。
    ヒント: ポート情報については、「OpsCenterポートのリファレンス」を参照してください。
    組織でVerisignやThawteなどの商用認証局によって署名された証明書を使用している場合は、完全な証明書チェーンを指定する必要があります。これらには、発行された証明書の他に、ルート証明書と通常1つ以上の中間証明書(またはチェーン証明書)が含まれます。必要な証明書のリストについては、証明書プロバイダーにお問い合わせください。PEM形式の複数の証明書は連結することができます。信頼チェーン付きの証明書の場合は、チェーン全体を1つのPEMファイルに追加し、その場所をssl_certfileに指定します。PEMファイルの証明書の連結の詳細については、Digicertのhttps://www.digicert.com/ssl-support/pem-ssl-creation.htmを参照してください。
  4. オプション: OpsCenterがHTTPS経由のHTML応答でHSTSヘッダーを返すように強制するには、HTTP Strict Transport Securityオプションを有効にします。HSTS最大経過時間は、サポートされているブラウザーがHSTSヘッダーを新しいと見なす期間(デフォルトでは1年)を秒数で表します。最大経過時間を超えた場合、ブラウザーは暗号化されていないHTTPを使用したOpsCenterへの接続を拒否します。
    
    [webserver]
    port = 8888
    interface = 127.0.0.1
    ssl_keyfile = /var/lib/opscenter/ssl/opscenter.key
    ssl_certfile = /var/lib/opscenter/ssl/opscenter.pem
    ssl_port = 8443
    hsts_enabled = True
    hsts_max_age = 31536000
  5. opscenterd.confを保存し、OpsCenterを再起動します。