FileMaker Server にSSL証明書をインポートしてみよう!

2020年03月18日 10:38 AM

FileMaker 18


FileMaker Server 17以降、インストールを完了してAdmin Consoleにサインインすると、
まず初めに以下のような画面が表示されるようになりました。

SSL証明書をインポートすることで、サーバとクライアントの通信が暗号化され、
通信の盗聴や改ざんをされにくくすることができます。

以前、弊社のブログの別の記事でSSL証明書のインポート方法についてご紹介しました。

○FileMaker Server15にSSL証明書をインストール

FileMaker Server15にSSL証明書をインストール

 

FileMaker Server 17以降では、Admin Consoleを使い始める前に設定画面が表示されるため、
これまでよりわかりやすく、確実にSSL証明書のインポートを行うことができるようになりました。

当記事では、実際に証明書を取得し、FileMaker Serverにインポートするまでの流れを見ていきます。

【環境】

今回使用する環境は以下の通りです。

サーバのOS:Windows Server 2016
FileMaker Server のバージョン:18.0.3
証明書:FileMakerデフォルト証明書を使用中
認証機関:Sectigo (旧:COMODO)

また、証明書購入前にドメインを予め取得しておく必要があります。

既にSSL証明書を持っている場合は【手順3】まで進みます。

 

【手順1】証明書要求の作成

SSL証明書を取得する際に必要な、証明書要求(serverRequest.pem)を作成します。

証明書要求作成にはコマンドを使用します。
今回はFileMaker Serverをインストールすれば、WindowsでもmacOSでもデフォルトで使える、
「fmsadmin」コマンドを使用した方法をご紹介します。

※FileMaker Server 18.0.2では「fmsadmin」コマンドを使用して証明書要求を作成しようとしても、
 要求が作成されずFileMaker Serverが応答しなくなるという問題があるようです。

 以下のコマンドを実行する前に、必ずFileMaker Serverのバージョンを確認し、
 18.0.3以降へのアップデートを行うか、opensslを使用してください。
 (Windowsの場合、opensslを使うには手動インストールが必要になります。)

 なお、この問題はFileMaker Communityのナレッジベースに記載されています。
https://support.filemaker.com/s/article/Configuring-Security-for-FileMaker-17?language=ja

サーバ上でコマンドプロンプトを管理者として実行し、以下のコマンドを実行します。

fmsadmin certificate create ”/C=<Country Code>/ST=<State>/L=<Locality Name>/O=<Organization Name>/CN=<Common Name (fqdn)>” –keyfilepass <secret>

全て英語での入力が必要になります。
特に<Organization Name>については、認証機関によって、
帝国データバンクコードやDUNSナンバーに登録されている英語表記の会社名 と照会するため、
正しく入力する必要があります。

コマンドが正しく実行されると、証明書要求ファイル(serverRequest.pem)と、
インポート時に必要なプライベートキーファイル(serverKey.pem)が以下に作成されます。
※FileMaker Serverをデフォルトと異なる場所にインストールした場合は、
インストールされたパスに読み替えてください。

C:\Program Files\FileMaker\FileMaker Server\CStore\serverRequest.pem
C:\Program Files\FileMaker\FileMaker Server\CStore\serverKey.pem

 

【手順2】SSL証明書の購入

「serverRequest.pem」の情報を基に、認証機関からSSL証明書の購入を行います。

FileMaker Serverでの動作がテストされている証明書については、
以下のページに情報がまとまっております。

https://support.filemaker.com/s/article/Configuring-Security-for-FileMaker-17?language=ja

 

【手順3】SSL証明書のインポート

証明書を取得できたらFileMaker Serverにインポートを行います。

まず、サーバ内のわかりやすい場所(デスクトップ等)に以下の物をコピーします。

・取得したSSL証明書
・(他のサーバで証明書要求を作成した場合) 証明書要求と同時に作成された「serverKey.pem」
・「chain.pem」

「chain.pem」は、SSL証明書と同時に認証機関から送られてくる、
ルート証明書と中間証明書を連結した物です。

テキストエディタでルート証明書と中間証明書を全て開き、
コピー&ペーストで一つのファイルにまとめて「chain.pem」と名前を付けます。
この際、ルート証明書の内容が一番先頭に記載されているようにします。
※「chain.pem」へ記載する順番について、詳しくは各認証機関のサポート等で確認してください。

冒頭の画面からSSL証明書をインポートする場合は、「証明書のインポート」をクリックします。

FileMakerデフォルト証明書を使用している場合は、
Admin Consoleにサインインし、「構成」-「SSL証明書」とクリックします。

FileMakerのデフォルト証明書を使用している旨の警告が右側に表示されています。
処理を進めるために「カスタム証明書のインポート」をクリックします。

証明書のインポート画面が開きます。

「参照…」をクリックして、それぞれ以下のものを指定します。

署名済みの証明書ファイル:取得したSSL証明書
プライベートキーファイル:証明書要求と同時に作成された「serverKey.pem」
中間証明書ファイル:「chain.pem」

「プライベートキーパスワード」には証明書要求を作成した際に指定したパスワードを入力し、
「インポート」をクリックします。

「正常にインポートしました」の表示が出たら 、一度FileMaker Serverサービスを再起動して、
証明書の適用をする必要があります。

インポート後、Admin Consoleの「構成」-「SSL証明書」表示を見ると、
証明書が正しく反映されていることが確認できます。

外部からAdmin Consoleに接続すると、接続が保護されていることが 確認できます。

Filemaker Pro 18 AdvancedからFileMaker Serverにホストされているデータベースを開くと、
右上の鍵のマークが緑色になっており、こちらでも 通信が保護されていることが 確認できます。

FileMaker Server 17から、Admin Consoleで証明書要求を作成できなくなりましたが、
証明書のインポートについてはよりわかりやすく、忘れにくくなりました。

FileMaker Serverをよりセキュアに運用していくために、当記事を参考にしていただければ幸いです。

なお、弊社はコモドジャパンの販売パートナーでもありますので、
購入・設定についてのご相談も受け付けております。
お気軽にご連絡ください。