Tomcat5 サーブレット/JSP コンテナ

SSL Configuration HOW-TO

SSL設定の手引き

The description below uses the variable name $CATALINA_HOME to refer to the directory into which you have installed Tomcat 5, and is the base directory against which most relative paths are resolved. However, if you have configured Tomcat 5 for multiple instances by setting a CATALINA_BASE directory, you should use $CATALINA_BASE instead of $CATALINA_HOME for each of these references.

以下の説明では、Tomcat 5をインストールしたディレクトリを指すために$CATALINA_HOMEという変数名を使用します。 これは、大半の相対パスを解決していくのに必要となる基底ディレクトリです。 しかしながら、複数のインスタンスを使用するためにTomcat 5にCATALINA_BASEディレクトリを設定する場合は、 これらの各々のインスタンスで参照できるよう$CATALINA_HOMEの替わりに$CATALINA_BASEを使用してください。

To install and configure SSL support on Tomcat 5, you need to follow these simple steps. For more information, read the rest of this HOW-TO.

1. If you are running a 1.3 JVM, download JSSE 1.0.2 (or later) from http://java.sun.com/products/jsse/ and either make it an installed extension on the system, or else set an environment variable JSSE_HOME that points at the directory into which you installed JSSE.



2. Create a certificate keystore by executing the following command:
   Windows:

   	%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA

   Unix:

   	$JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA

   and specify a password value of "changeit".



3. Uncomment the "SSL HTTP/1.1 Connector" entry in $CATALINA_HOME/conf/server.xml and tweak as necessary.

Tomcat 5にSSL機能をインストールおよび設定するためには、以下の単純なステップに従う必要があります。 詳しい情報については、この手引きの続きをお読みください。

1. JVM 1.3環境で実行しているケースでは、 http://java.sun.com/products/jsse/ からJSSE 1.0.2以降を入手してください。 そして、JVMシステム上のインストール済み拡張ライブラリにするか、JSSEをインストールしたディレクトリの位置を環境変数JSSE_HOMEに設定してください。
   [訳注: インストール済み拡張ライブラリとは、$JAVA_HOME/jre/lib/extディレクトリ配下に格納されたライブラリを示します。 ]
   [訳者コメント: "installed extension"というのは、JREのインストールディレクトリの lib/ext ディレクトリを指しているっぽいので、「インストール済拡張ライブラリ」 としてみました。]



2. 下記に示すコマンドを実行し、証明書のキーストアを生成してください。

   Windows:

   	%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA

   Unix:

   	$JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA

   そして、パスワードに"changeit"という値を指定してください。



3. $CATALINA_HOME/conf/server.xmlにある"SSL Coyote HTTP/1.1 Connector"欄のコメントを外し、必要に応じて設定内容を調整してください。
   [訳者コメント: "SSL HTTP/1.1 Connector"(誤) → "SSL Coyote HTTP/1.1 Connector"(正) ？ ]

SSL, or Secure Socket Layer, is a technology which allows web browsers and web servers to communicate over a secured connection. This means that the data being sent is encrypted by one side, transmitted, then decrypted by the other side before processing. This is a two-way process, meaning that both the server AND the browser encrypt all traffic before sending out data.

SSL(Secure Socket Layer)とは、WebブラウザとWebサーバ間でセキュアな接続の元で通信を行えるようにする技術です。 つまり、送信されるデータが片方で暗号化されて送信され、その後、処理に入る前にもう片方で復号化されます。 これは、双方向プロセスであり、データを送信する前に、サーバおよびブラウザがすべてのやり取りを暗号化することを意味します。

Another important aspect of the SSL protocol is Authentication. This means that during your initial attempt to communicate with a web server over a secure connection, that server will present your web browser with a set of credentials, in the form of a "Certificate", as proof the site is who and what it claims to be. In certain cases, the server may also request a Certificate from your web browser, asking for proof that you are who you claim to be. This is known as "Client Authentication," although in practice this is used more for business-to-business (B2B) transactions than with individual users. Most SSL-enabled web servers do not request Client Authentication.

SSLプロトコルでもう一つ重要なのは、認証です。 つまり、セキュアな接続上でWebサーバと最初に通信を試みる間に、当該サーバは、"証明書"という形式で、誰の、何のサイトであるのかを示す証拠として、証明に必要なもの一式をWebブラウザに提示します。 また、あるケースでは、サーバ側が、あなたが誰なのかを示す証明として、Webブラウザに証明書を要求することもあります。 これは"クライアント認証"として知られていますが、実際には個人ユーザよりも、企業間電子商取引(B2B)においてより多く使われます。 SSL化されているWebサーバのほとんどは、クライアント認証を要求しません。

[訳者コメント: secure connectionの訳を「安全な接続」にしましたが「セキュア接続」にした方がいいでしょうか？
「セキュア(な)」に統一しました。 ]

It is important to note that configuring Tomcat to take advantage of secure sockets is usually only necessary when running it as a stand-alone web server. When running Tomcat primarily as a Servlet/JSP container behind another web server, such as Apache or Microsoft IIS, it is usually necessary to configure the primary web server to handle the SSL connections from users. Typically, this server will negotiate all SSL-related functionality, then pass on any requests destined for the Tomcat container only after decrypting those requests. Likewise, Tomcat will return cleartext responses, that will be encrypted before being returned to the user's browser. In this environment, Tomcat knows that communications between the primary web server and the client are taking place over a secure connection (because your application needs to be able to ask about this), but it does not participate in the encryption or decryption itself.

セキュアソケットを利用できるようにTomcatを設定する必要があるのは、ほとんどがスタンドアローンWebサーバとして実行する場合だけであることに注意して下さい。 ApacheやMicrosoft IISといった他のWebサーバの後方のサーブレット/JSPコンテナとしてTomcatを使う場合、通常はプライマリWebサーバで、 ユーザからのSSL接続をハンドリングするように設定する必要があります。 一般に、こうしたサーバはSSL関連の機能のネゴシエーションを全て行い、Tomcatコンテナで処理させたいリクエストは復号化した後にTomcatに転送します。 同様に、Tomcatは平文のレスポンスを返し、ユーザのブラウザに返される前に暗号化されます。 このような環境において、TomcatはプライマリWebサーバとクライアントの間での通信がセキュアな接続の元で行われていることを認識しています (アプリケーションがこのことを確認できる必要があるためです)が、暗号化もしくは復号化処理自体に関与することはありません。

In order to implement SSL, a web server must have an associated Certificate for each external interface (IP address) that accepts secure connections. The theory behind this design is that a server should provide some kind of reasonable assurance that its owner is who you think it is, particularly before receiving any sensitive information. While a broader explanation of Certificates is beyond the scope of this document, think of a Certificate as a "digital driver's license" for an Internet address. It states what company the site is associated with, along with some basic contact information about the site owner or administrator.

SSLを実装するためには、Webサーバはセキュアな接続を受け付ける各外部インターフェース(IPアドレス)ごとに証明書を用意しなければなりません。 「特に機密性の高い情報を受信する前には、サーバの所有者はユーザが想定している者であるという一種の正当な保証をサーバは提供すべき」という理論がこうした設計の背景にあります。 証明書に関するさらに一般的な説明はこのドキュメントの範囲外となりますが、証明書はインターネットアドレスの"デジタル運転免許証"のようなものと考えてください。 サイトの所有者または管理者の基本的な連絡先とともに、そのサイトがどの企業に関連しているかが証明書には記述されています。

This "driver's license" is cryptographically signed by its owner, and is therefore extremely difficult for anyone else to forge. For sites involved in e-commerce, or any other business transaction in which authentication of identity is important, a Certificate is typically purchased from a well-known Certificate Authority (CA) such as VeriSign or Thawte. Such certificates can be electronically verified -- in effect, the Certificate Authority will vouch for the authenticity of the certificates that it grants, so you can believe that that Certificate is valid if you trust the Certificate Authority that granted it.

この"運転免許証"は、その所有者によって暗号化された状態で署名されています。 したがって、他人が偽造することはきわめて困難です。E-コマースなど、身元の認証が重要となる商取引に関わるサイトでは、証明書は一般的にVeriSignやThawteといった有名な認証局(CA)より購入されます。 こうした証明書は電子的な証明が可能です -- つまり、認証局は発行した証明書の正当性を保証します。したがって、証明書を発行した認証局を信用すれば、証明書が有効であると信頼できるのです。

In many cases, however, authentication is not really a concern. An administrator may simply want to ensure that the data being transmitted and received by the server is private and cannot be snooped by anyone who may be eavesdropping on the connection. Fortunately, Java provides a relatively simple command-line tool, called keytool, which can easily create a "self-signed" Certificate. Self-signed Certificates are simply user generated Certificates which have not been officially registered with any well-known CA, and are therefore not really guaranteed to be authentic at all. Again, this may or may not even be important, depending on your needs.

しかしながら多くのケースでは、実際に重要なのは認証ではありません。管理者は単に、サーバによって送受信されているデータが外部に漏れないことや、接続に対して盗聴を試みる者が詮索できないことを保証したいと思っているだけかもしれません。 幸運にもJavaでは、"自己署名"証明書を簡単に生成可能な、keytoolと呼ばれる比較的シンプルなコマンドラインツールを提供しています。 自己署名証明書はユーザが生成した証明書に過ぎず、有名な認証局より公式に発行されたわけではないので、実際には本物の証明書であることを少しも保証しません。 繰り返しますが、このことが重要かどうかは、あなたの要求次第です。

The first time a user attempts to access a secured page on your site, he or she is typically presented with a dialog containing the details of the certificate (such as the company and contact name), and asked if he or she wishes to accept the Certificate as valid and continue with the transaction. Some browsers will provide an option for permanently accepting a given Certificate as valid, in which case the user will not be bothered with a prompt each time they visit your site. Other browsers do not provide this option. Once approved by the user, a Certificate will be considered valid for at least the entire browser session.

ユーザがあなたのサイト上のセキュアなページへ初めてアクセスしようとすると、通常は(企業名や連絡先といった)証明書の詳細を含むダイアログを表示し、証明書を有効であると受け入れて処理を続行してよいかどうか確認を求めます。 すでに有効となっている証明書を半永久的に受け入れるオプションを提供しているブラウザもあり、その場合は、サイトへ訪問するたびにプロンプトが表示されることはありません。 このオプションが提供されないブラウザもあります。いったんユーザが承認すれば、少なくともブラウザのセッションが維持される間は証明書は有効だと考えていいでしょう。

Also, while the SSL protocol was designed to be as efficient as securely possible, encryption/decryption is a computationally expensive process from a performance standpoint. It is not strictly necessary to run an entire web application over SSL, and indeed a developer can pick and choose which pages require a secure connection and which do not. For a reasonably busy site, it is customary to only run certain pages under SSL, namely those pages where sensitive information could possibly be exchanged. This would include things like login pages, personal information pages, and shopping cart checkouts, where credit card information could possibly be transmitted. Any page within an application can be requested over a secure socket by simply prefixing the address with https: instead of http:. Any pages which absolutely require a secure connection should check the protocol type associated with the page request and take the appropriate action of https is not specified.

また、SSLプロトコルが安全性と効率性の両面を可能な限り意識して設計されているとは言っても、暗号化/復号化は、パフォーマンスという観点では演算のコストが高いプロセスです。 厳密に言うと、Webアプリケーション全体にSSLを張り巡らした状態で稼動する必要はなく、実際には、各ページで開発者がセキュアな接続を要するかどうかを選定して決定することができます。 かなり負荷の高いサイトでは、重要なページ、すなわち機密情報をやり取りする可能性のあるページのみをSSLの元で動かすのが一般的です。 これには、ログインページや個人情報を扱うページ、クレジットカード情報を送信する可能性のあるショッピングカートの精算手続といったものも含まれるでしょう。

[訳者コメント: ショッピングカートで勘定を行う場合、事前にカード情報を登録していれば、必ずしもカード情報を送らないかもしれません。 ]

http:の代わりにhttps:をアドレスの先頭につけることにより、アプリケーションのどのページでもセキュアソケット上でリクエスト処理を行えます。 セキュアな接続を絶対に必要とするページはいかなるものでも、ページのリクエストに関連するプロトコル形式をチェックし、httpsが指定されていない場合は適宜対策を講ずるべきです。

Finally, using name-based virtual hosts on a secured connection can be problematic. This is a design limitation of the SSL protocol itself. The SSL handshake, where the client browser accepts the server certificate, must occur before the HTTP request is accessed. As a result, the request information containing the virtual host name cannot be determined prior to authentication, and it is therefore not possible to assign multiple certificates to a single IP address. If all virtual hosts on a single IP address need to authenticate against the same certificate, the addition of multiple virtual hosts should not interfere with normal SSL operations on the server. Be aware, however, that most client browsers will compare the server's domain name against the domain name listed in the certificate, if any (applicable primarily to official, CA-signed certificates). If the domain names do not match, these browsers will display a warning to the client user. In general, only address-based virtual hosts are commonly used with SSL in a production environment.

最後に、セキュアな接続の元で名前ベースの仮想ホストを使用することは問題があるかもしれません。 これは、SSLプロトコル自身の持つ設計上の制限です。 クライアントブラウザがサーバ証明書を受け付けるSSLのハンドシェイクは、HTTPリクエストがアクセスされる前に行われなければなりません。結果として、 仮想ホスト名を含むリクエスト情報は認証処理に先立って決定できず、したがって、単一IPアドレスに対して複数の証明書を割り当てることは不可能です。 単一IPアドレス上のすべての仮想ホストが同一の証明書で認証しなければならない場合は、仮想ホストを複数追加してもサーバ上のSSLオペレーションを妨げはしないはずです。 しかしほとんどのクライアントブラウザは、証明書にドメイン名が載っていればそれとサーバのドメイン名とを比較することに留意して下さい(まずは公式かつ認証局で署名された証明書に対して適用されます)。 ドメイン名が合致しなければ、こうしたブラウザはクライアントユーザに警告を表示します。 一般的には、稼働環境でSSLとともに使用されるのは、アドレスベースの仮想ホストだけであるのが通例です。

[訳者コメント: "In general" と "commonly" が両方出てくるのは、 「馬から落馬する」みたいでなんか変ではありますが・・・。 ]

[訳者コメント: "if any"の"any"はdomain listと解釈していますが、certificateの可能性もあるかと思っています。
"any"の対象を"server domain names"(サーバドメイン名)に修正しました。 ]

Download and Install JSSE

JSSEの入手とインストール

Download the Java Secure Socket Extensions (JSSE) package, version 1.0.2 or later, from http://java.sun.com/products/jsse/. If you built Tomcat from source, you have probably already downloaded this package. If you are running JDK 1.4 (currently in beta), these classes have been integrated directly into the JDK, so you can skip this entire step. Java Secure Socket Extensions (JSSE) パッケージのバージョン1.0.2以降を http://java.sun.com/products/jsse/ よりダウンロードしてください。Tomcatをソースコードから構築する場合、 このパッケージはすでにダウンロード済となっていることでしょう。 JDK 1.4上で動かすのであれば、これらのクラスはJDKに組み込まれているため、この作業ステップを飛ばしても構いません。 [訳者コメント: JDK 1.4の括弧書き"(currently in beta)"の部分はもう不要？ ] After expanding the package, there are two ways to make it available to Tomcat (choose one or the other): Make JSSE an installed extension by copying all three JAR files (jcert.jar, jnet.jar, and jsse.jar) into your $JAVA_HOME/jre/lib/ext directory. Create a new environment variable JSSE_HOME that contains the absolute path to the directory into which you unpacked the JSSE binary distribution. パッケージを展開した後、Tomcatでそれを利用するための手順は2通りあります(どちらか一つを選択してください)。 $JAVA_HOME/jre/lib/extディレクトリに、 ３つのJARファイル(jcert.jar、jnet.jar、jsse.jar)をすべてコピーしてJSSEをインストール済拡張ライブラリにする。 JSSEバイナリディストリビューションを展開したディレクトリの絶対パスが設定されたJSSE_HOME環境変数を作成する。

Prepare the Certificate Keystore

証明書のキーストアを用意する

Tomcat currently operates only on JKS format keystores. This is Java's standard "Java KeyStore" format, and is the format created by the keytool command-line utility. This tool is included in the JDK. 現在、TomcatではJKSフォーマットのキーストアしか扱えません。 これはJava標準の"Java KeyStore"フォーマットであり、keytoolコマンドラインユーティリティで生成されるフォーマットです。 このツールはJDKに同梱されています。 To import an existing certificate into a JKS keystore, please read the documentation (in your JDK documentation package) about keytool. JKSキーストアに既存の証明書をインポートするためには、(JDKドキュメントパッケージにある)keytoolのドキュメントをお読みください。 To create a new keystore from scratch, containing a single self-signed Certificate, execute the following from a terminal command line: Windows: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA Unix: $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA 単独の自己署名証明書を含め、キーストアを一から新しく生成するには、 端末のコマンドライン上で下記のコマンドを実行してください。 Windows: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA Unix: $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA (The RSA algorithm should be preferred as a secure algorithm, and this also ensures general compatibility with other servers and components.) (安全性の高いアルゴリズムとしてはRSAアルゴリズムが望ましく、 これは他のサーバやコンポーネントとの全般的な互換性も確保しています。) This command will create a new file, in the home directory of the user under which you run it, named ".keystore". To specify a different location or filename, add the -keystore parameter, followed by the complete pathname to your keystore file, to the keytool command shown above. You will also need to reflect this new location in the server.xml configuration file, as described later. For example: Windows: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA \ -keystore \path\to\my\keystore Unix: $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA \ -keystore /path/to/my/keystore このコマンドで、実行ユーザのホームディレクトリ上に、.keystoreという名前のファイルが新しく生成されます。 違う場所やファイル名を指定する場合には、上述のkeytoolコマンドに対し、-keystoreパラメータと、 キーストアファイルの完全なパス名をつけてください。 また後述するように、server.xml設定ファイルにこの新しい場所を反映させる必要があります。 例: Windows: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA \ -keystore \path\to\my\keystore Unix: $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA \ -keystore /path/to/my/keystore After executing this command, you will first be prompted for the keystore password. The default password used by Tomcat is "changeit" (all lower case), although you can specify a custom password if you like. You will also need to specify the custom password in the server.xml configuration file, as described later. このコマンドの実行の際、最初にキーストアのパスワードを入力するように促されます。 Tomcatで使用するデフォルトパスワードは"changeit"(すべて小文字)ですが、必要ならば独自のパスワードを指定することも可能です。 Next, you will be prompted for general information about this Certificate, such as company, contact name, and so on. This information will be displayed to users who attempt to access a secure page in your application, so make sure that the information provided here matches what they will expect. 次に、企業名や連絡先など、証明書に関する全般的な情報を入力するように促されます。 アプリケーションにあるセキュアなページにアクセスしようとしたユーザに対してこの情報は表示され、ここに提示された情報がユーザの期待している情報と合致しているのかどうかを確認できます。 Finally, you will be prompted for the key password, which is the password specifically for this Certificate (as opposed to any other Certificates stored in the same keystore file). You MUST use the same password here as was used for the keystore password itself. (Currently, the keytool prompt will tell you that pressing the ENTER key does this for you automatically.) 最後に、(同じキーストアファイルに格納された他の証明書とは対照的に) この証明書専用のパスワードであるキーパスワードを入力するように促されます。 ここでは、キーストアのパスワード自体に使用されるのと同じパスワードを使用しなければなりません。 (現在、ENTERキーを押下するとこれを自動的に行うことがkeytoolプロンプトにてユーザに表示されます。) If everything was successful, you now have a keystore file with a Certificate that can be used by your server. すべてうまくいけば、サーバで使用できる証明書を含んだキーストアファイルの完成です。

Edit the Tomcat Configuration File

Tomcatの設定ファイルを編集する

The final step is to configure your secure socket in the $CATALINA_HOME/conf/server.xml file, where $CATALINA_HOME represents the directory into which you installed Tomcat 5. An example <Connector> element for an SSL connector is included in the default server.xml file installed with Tomcat. It will look something like this: <-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 --> <!-- <Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true"; clientAuth="false" sslprotocol="TLS"/> --> 最後のステップは、$CATALINA_HOME/conf/server.xml にあるセキュアソケット定義の設定です。 $CATALINA_HOMEは、Tomcatをインストールしたディレクトリを示します。 SSLコネクタを宣言した<Connector>要素のサンプルは、Tomcatにインストールされているデフォルトのserver.xmlファイルに含まれています。その部分にはこのように記述されています。 <-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 --> <!-- <Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true"; clientAuth="false" sslprotocol="TLS"/> --> You will note that the Connector element itself is commented out by default, so you will need to remove the comment tags around it. Then, you can customize the specified attributes as necessary. For detailed information about the various options, consult the Server Configuration Reference. The following discussion covers only those attributes of most interest when setting up SSL communication. Connector要素自体がデフォルトではコメントアウトされているので、それを囲んでいるコメントタグを外す必要があることに注意して下さい。 その後、必要に応じて指定された属性をカスタマイズできます。 各オプションの詳しい情報については、サーバ設定リファレンスを調べてください。 下記の説明では、SSL通信のセットアップで最も重要な属性のみを取り上げています。 The port attribute (default value is 8443) is the TCP/IP port number on which Tomcat will listen for secure connections. You can change this to any port number you wish (such as to the default port for https communications, which is 443). However, special setup (outside the scope of this document) is necessary to run Tomcat on port numbers lower than 1024 on many operating systems. port属性は、Tomcatがセキュアな接続を待ち受けるTCP/IPポート番号です(デフォルト値は8443)。 これを(httpsのデフォルトポートである443といった)任意のポート番号に変更することができます。 しかしながら多くのオペレーティングシステムでは、Tomcatを1024未満のポート番号で動かすには特別なセットアップ(本ドキュメントの範囲外になります)が必要になります。 If you change the port number here, you should also change the value specified for the redirectPort attribute on the non-SSL connector. This allows Tomcat to automatically redirect users who attempt to access a page with a security constraint specifying that SSL is required, as required by the Servlet 2.4 Specification. ここでポート番号を変更する場合、非SSLコネクタ上のredirectPort属性の設定値も変更すべきです。これによってTomcatは、 サーブレット2.4仕様で要求されているように、SSLを要するセキュリティ制約の指定を含んだページへアクセスしようとするユーザを自動的にリダイレクトできるようになります。 There are addional option used to configure the SSL protocol. You may need to add or change the following attribute values, depending on how you configured your keystore earlier: SSLプロトコルの設定に使用される追加オプションを示します。 先述したキーストアの設定方法によっては、下記の属性値を追加もしくは変更する必要があるかもしれません。 Attribute Description clientAuth Set this value to true if you want Tomcat to require all SSL clients to present a client Certificate in order to use this socket. keystoreFile Add this attribute if the keystore file you created is not in the default place that Tomcat expects (a file named .keystore in the user home directory under which Tomcat is running). You can specify an absolute pathname, or a relative pathname that is resolved against the $CATALINA_BASE environment variable. keystorePass Add this element if you used a different keystore (and Certificate) password than the one Tomcat expects (changeit). sslProtocol The encryption/decryption protocol to be used on this socket. Do not change the default value. ciphers The comma separated list of encryption ciphers that this socket is allowed to use. By default, any available cipher is allowed. 属性 説明 clientAuth このソケットを使用するために、TomcatがすべてのSSLクライアントにクライアント証明書の提示を求めたい場合、trueを設定してください。 keystoreFile 作成したキーストアファイルがTomcatが想定しているデフォルトの場所(Tomcatの実行ユーザのホームディレクトリ上で、ファイル名が.keystore)にない場合、この属性を追加してください。 絶対パス名もしくは$CATALINA_BASE環境変数を元に解決される相対パス名を指定することができます。 keystorePass Tomcatが想定するパスワード(changeit)と異なるキーストア(および証明書)のパスワードを使用する場合に、この属性を追加してください。 sslProtocol このソケットで使用される暗号化/復号化プロトコル。 デフォルト値をそのまま使用してください。 ciphers このソケットが使用を許可する暗号化方式をカンマで区切った一覧。 デフォルトでは、利用可能な暗号化方式をすべて許可しています。 After completing these configuration changes, you must restart Tomcat as you normally do, and you should be in business. You should be able to access any web application supported by Tomcat via SSL. For example, try: https://localhost:8443 これらの設定変更を完了した後、いつものようにTomcatを再起動する必要があり、再起動すれば設定が反映されるはずです。 TomcatでサポートするあらゆるWebアプリケーションにSSL経由でアクセス可能になっているはずです。 例えば、次のように試してください。 https://localhost:8443 and you should see the usual Tomcat splash page (unless you have modified the ROOT web application). If this does not work, the following section contains some troubleshooting tips. さらに、(Webアプリケーション"ROOT"を修正していない限り)いつもの派手なTomcatのページが表示されるはずです。 うまく動かない場合は、後の方に出てくる、トラブルシューティングに関するヒントをいくつか紹介しているセクションを参照してください。

To obstain and install a Certificate from a Certificate Authority (like verisign.com, thawte.com or trustcenter.de) you should have read the previous section and then follow these instructions:

認証局(verisign.com、thawte.com、trustcenter.deなど)から発行される証明書を取得・インストールするには、前の方のセクションをお読みの上、下記に示す手順に従ってください。

[訳者コメント: "obstain"(誤) → "obtain"(正) ？ ]

Create a local Certificate Signing Request (CSR)

ローカル向けの証明書署名要求(CSR)を生成する

In order to obtain a Certificate from the Certificate Authority of your choice you have to create a so called Certificate Signing Request (CSR). That CSR will be used by the Certificate Authority to create a Certificate that will identify your website as "secure". To create a CSR follow these steps: あなたの選んだ認証局から証明書を取得するには、いわゆる「証明書署名要求(CSR)」を生成する必要があります。 この証明書署名要求(CSR)は、認証局が、あなたのWebサイトが"セキュア"であることを確認する証明書を発行するのに使用されます。 以下の手順に従って、証明書署名要求(CSR)を生成してください。 Create a local Certificate (as described in the previous section): keytool -genkey -alias tomcat -keyalg RSA \ -keystore <your_keystore_filename> Note: In some cases you will have to enter the domain of your website (i.e. www.myside.org) in the field "first- and lastname" in order to create a working Certificate. The CSR is then created with: keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr \ -keystore <your_keystore_filename> (前のセクションで説明したように)ローカル向けの証明書を生成してください。 keytool -genkey -alias tomcat -keyalg RSA \ -keystore <your_keystore_filename> 注意: 場合によっては、正しく動作する証明書を生成するのに、"姓名"項目にWebサイトのドメイン(例.www.myside.org)を入力する必要があるかもしれません。 [訳者コメント: 日本語環境でkeytoolを実行した場合、"first- and lastname"は「姓名を入力してください。」となっています。 ] 次に、以下のコマンドで証明書署名要求(CSR)を生成します。 keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr \ -keystore <your_keystore_filename> Now you have a file called certreq.csr that you can submit to the Certificate Authority (look at the documenation of the Certificate Authority website on how to do this). In return you get a Certificate. これで認証局に申請可能なcertreq.csrというファイルができます(申請手順については認証局のWebサイトのドキュメントをご覧下さい)。 提出されたものを元に、証明書が発行されます。 [訳者コメント: documetation(誤)→documentation(正) ]

Importing the Certificate

証明書をインポートする

Now that you have your Certificate you can import it into you local keystore. First of all you have to import a so called Chain Certificate or Root Certificate into your keystore. After that you can procede with importing your Certificate. これで証明書ができたので、ローカルのキーストアにインポートできます。まず始めに、いわゆる「チェーン証明書」または「ルート証明書」をキーストアにインポートしてください。 その上で、手元にある証明書のインポートを行います。 [訳者コメント: "you local keystore"(誤) → "your local keystore"(正) ？ ] [訳者コメント: "procede"(誤) → "proceed"(正) ？ ] [訳者コメント: "Chain Certificate"は「証明書チェーン」という表現が一般的？ 「証明書チェーン」はルート証明書に辿る連鎖情報を示し、証明書自体を特に意味していない。 例えば、日本では、セコムトラストネット社で「Entrustチェーン証明書」を発行している。 ] Download a Chain Certificate from the Certificate Authority you obtained the Certificate from. For Verisign.com go to: http://www.verisign.com/support/install/intermediate.html For Trustcenter.de go to: http://www.trustcenter.de/certservices/cacerts/en/en.htm#server For Thawte.com go to: http://www.thawte.com/certs/trustmap.html Import the Chain Certificate into you keystore keytool -import -alias root -keystore <your_keystore_filename> \ -trustcacerts -file <filename_of_the_chain_certificate> And finally import your new Certificate keytool -import -alias tomcat -keystore <your_keystore_filename> \ -trustcacerts -file <your_certificate_filename> 証明書を取得した認証局よりチェーン証明書をダウンロードしてください。 Verisign.com: http://www.verisign.com/support/install/intermediate.html Trustcenter.de: http://www.trustcenter.de/certservices/cacerts/en/en.htm#server Thawte.com: http://www.thawte.com/certs/trustmap.html [訳者コメント: ここのURLにハイパーリンクがないのは何か意味があるのでしょうか…？ 特に意味はないと思うのですが、一応このままにしておきます。 ] チェーン証明書をキーストアにインポートしてください。 keytool -import -alias root -keystore <your_keystore_filename> \ -trustcacerts -file <filename_of_the_chain_certificate> そして最後に、新規発行された証明書をインポートしてください。 keytool -import -alias tomcat -keystore <your_keystore_filename> \ -trustcacerts -file <your_certificate_filename>

Here is a list of common problems that you may encounter when setting up SSL communications, and what to do about them.

SSL通信のセットアップ時に遭遇する問題や対処法の一覧を以下に示します。

I get "java.security.NoSuchAlgorithmException" errors in my log files.

The JVM cannot find the JSSE JAR files. Follow all of the directions to download and install JSSE.

• ログファイルで"java.security.NoSuchAlgorithmException"が表示される。

  JVMが、JSSEのJARファイルを見つけられません。 JSSEの入手とインストールの説明文をお読みください。

When Tomcat starts up, I get an exception like "java.io.FileNotFoundException: {some-directory}/{some-file} not found".

A likely explanation is that Tomcat cannot find the keystore file where it is looking. By default, Tomcat expects the keystore file to be named .keystore in the user home directory under which Tomcat is running (which may or may not be the same as yours :-). If the keystore file is anywhere else, you will need to add a keystoreFile attribute to the <Factory> element in the Tomcat configuration file.

• Tomcatの起動時に、"java.io.FileNotFoundException: {some-directory}/{some-file} not found"のような例外が返される。

  おそらく、参照するキーストアファイルをTomcatが見つけられないのでしょう。 デフォルトでは、(あなたと同じ環境であるかどうかに関係なく)Tomcatの実行ユーザのホームディレクトリ上にある.keystoreという名前のファイルが存在していることをTomcat側は想定しています。 キーストアファイルがどこか他にあるのなら、Tomcatの設定ファイルの<Factory>要素にkeystoreFile属性を追加設定しないといけません。

When Tomcat starts up, I get an exception like "java.io.FileNotFoundException: Keystore was tampered with, or password was incorrect".

Assuming that someone has not actually tampered with your keystore file, the most likely cause is that Tomcat is using a different password than the one you used when you created the keystore file. To fix this, you can either go back and recreate the keystore file, or you can add or update the keystorePass attribute on the <Factory> element in the Tomcat configuration file. REMINDER - Passwords are case sensitive!

• Tomcatの起動時に、"java.io.FileNotFoundException: Keystore was tampered with, or password was incorrect" が返される。

  実際にキーストアファイルが改ざんされていないと仮定した場合に一番考えられる原因は、キーストアファイルを生成したときに使用したのと異なるパスワードをTomcatが使用していることです。これを解決するにはいったん前の方のステップに戻ってキーストアファイルを再生成するか、Tomcat設定ファイルの<Factory>要素にkeystorePass属性を追加または更新します。 注意 - パスワードは大文字小文字を区別します！

If you are still having problems, a good source of information is the TOMCAT-USER mailing list. You can find pointers to archives of previous messages on this list, as well as subscription and unsubscription information, at http://jakarta.apache.org/site/mail.html".

それでもまだ問題があれば、TOMCAT-USERメーリングリストがよい情報源となります。入会および退会に関する情報や、過去のメッセージのアーカイブの場所については、http://jakarta.apache.org/site/mail.html"で見つけることができます。