SSLと証明書の操作

UFT MobileはSSLを利用した安全な環境での作業や、必要に応じて証明書を適用することができます。このセクションでは、SSL接続の操作方法について説明します。安全なサイトにアクセスするためにデバイスに証明書をインストールする方法の詳細については、証明書が必要なサイトテストを参照してください。

サポートされているSSLプロトコル

UFT Mobileサーバーとコネクターは、サーバーとコネクター間のすべての通信で最新のSSL標準をサポートし、サポートされているテストツール(UFT OneUFT Developer、LoadRunner、Appium)および以下のブラウザーをサポートします。

  • TLS v1.2
  • TLS v1.1
  • TLS v1.0

トップに戻る

SSL経由でUFT Mobileに接続する

オンプレミスのUFT Mobileサーバーをインストールする場合、非セキュア(HTTP)接続とセキュア(SSL)接続のどちらを使用するかを選択できます。サーバーのインストール時にSSLオプションを使用すると、ローカルのUFT Mobileマシンで自己署名SSL証明書が自動的に生成されます。または、認証局(CA)から証明書をインポートすることもできます。詳しくは、認証局 (CA) 発行のSSL証明書を使用するを参照してください。
UFTM SaaS: UFTM SaaSサーバーへの接続は安全であり、サーバーにはCA証明書がインストールされています。

ただし、自己署名証明書は、サーバー所有者の信頼できるIDを提供しません。したがって、デフォルトの自己署名証明書を使用する場合、SSLを介してUFT Mobileサーバーに最初にアクセスしようとすると、ブラウザーに警告またはエラーが表示されます。Webブラウザーがサーバーから提示された証明書を信頼するには、SSL証明書が認定された認証局(CA)によって発行されている必要があります。

警告メッセージにもかかわらず、自己署名証明書はデータを暗号化します。警告は、SSL証明書がCAではなくサーバーによって自己署名されたことを通知するために発行されます。サーバーにアクセスするには、自己署名SSL証明書を信頼する必要があります。

サーバーがSSLオプションを使用してインストールされた場合、すべてのコネクターとテストツールマシンは安全な接続を介してサーバーに接続する必要があります。SSLを有効にするオプションを選択してコネクターをインストールすると、コネクターマシンに自己署名証明書が自動的に生成されます。ブラウザーから最初にコネクターにアクセスするとき、デバイスのリモートビューを開くと、警告が表示されます。コネクターのURLに移動し、自己署名SSL証明書を信頼します。または、認証局(CA)から証明書をインポートすることもできます。詳しくは、認証局 (CA) 発行のSSL証明書を使用するを参照してください。コネクターのインストールの詳細については、WindowsマシンにコネクターをインストールするまたはLinuxマシンにコネクターをインストールするを参照してください。

サーバーへの接続を非セキュアからセキュア(またはその逆)に再構成したり、サーバーのアドレスまたはポートを変更したりすることもできます。詳細については、UFT Mobileサーバーの再構成 (オンプレミス)を参照してください。

注: サーバー上の証明書を変更した場合、コネクターとUFT Mobileサーバー間の信頼を再確立する必要がある場合があります。詳しくは、認証局 (CA) 発行のSSL証明書を使用するを参照してください。

トップに戻る

認証局 (CA) 発行のSSL証明書を使用する

セキュリティを重視する環境では、サーバーとコネクターの自己署名証明書を、信頼できる認証局によって発行された証明書に置き換えることをお勧めします。

UFTM SaaS: UFTM SaaSサーバーへの接続は安全であり、サーバーにはCA証明書がインストールされています。オンプレミスUFTMコネクターには、自己署名証明書がインストールされています。このセクションで説明されている手順に従って、コネクターの自己署名証明書を置き換えます。

認証局から証明書ファイルを取得したら、信頼の完全なチェーンが含まれていることを確認してください。信頼のチェーンは、受信者が送信者とすべての中間証明書が信頼できることを確認できるようにする証明書のリストです。SSL証明書のインストールに関する問題を検出して解決するには、「SSLチェッカー」をインターネットで検索し、オンラインツールの1つを使用して問題を診断します。

ヒント: UFT Mobileはマルチホスト展開です。特定のホストではなく、ワイルドカードを使用してサーバーとコネクターの両方のSSL証明書を生成することをお勧めします。たとえば、*.LAB01.TEST.ACME.COMであり、MACHINEA.LAB01.TEST.ACME.COMではありません。ワイルドカードを使用しない場合、特定のFQDNに対して生成された各証明書は、すべてのブラウザーで、およびUFT MobileにアクセスするすべてのMicro Focusテストツールによって信頼される必要があります。

SSL証明書をインポートするには: 

SSL証明書が個別のキーファイルと証明書ファイルに分割されている場合は、それらを1つのPFXファイルに結合します。

次の例は、証明書とキーを組み合わせる方法を示しています。証明書が保存されているのと同じマシンで、以下のコマンドを実行します。

  1. 次のコマンドを使用して、OpenSSLがマシンにインストールされていることを確認します。

    Linux: 
    ターミナルウィンドウで次のように入力して、マシンのOpenSSLの詳細を表示します。
    rpm -qa | grep -i openssl (rpm)
    dpkg -l | grep -i openssl (deb)

    Windows:
    コマンドラインウィンドウで、openssl version –aと入力します。
    OpenSSLがインストールされている場合は、日付やバージョン番号などのOpenSSL情報が表示されます。それ以外の場合は、OpenSSLの最新バージョンをダウンロードしてインストールします。

  2. 次のコマンドを実行します。
    openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt
    3. このコマンドは、キーファイルと証明書ファイルを1つのPFX証明書に変換します。

  1. ターミナルウィンドウで、ディレクトリをサーバー/コネクターのセキュリティディレクトリに変更します。

    <UFT Mobileサーバーインストールディレクトリへのパス>/server/Security

    <UFT Mobileコネクターインストールディレクトリへのパス>/connector/Security
  2. ./importCA.shと入力して、認証された証明書をサーバーにインポートします。

  3. 現在のキーストアのパスワード (デフォルト: password) とCAからのパスワードを入力します。このパスワードは、PFXファイルの作成時に生成されます。CAパスワードが新しいキーストアパスワードになります。後でアクセスできるように、パスワードを安全な場所に保管してください。

  4. スクリプトは、プライベート証明書をkeyStoreHpmcに追加し、パブリック証明書をtrustStoreHpmcに追加します。
  5. UFT Mobileサーバー/コネクターを再起動します。
  6. Webブラウザーを使用して、サーバー/コネクターアドレスにナビゲートします。
    https://<UFT Mobileサーバー/コネクターのIPアドレス>:<ポート>
  7. 正しいCA証明書がブラウザーに表示されていることを確認します。
  1. サーバー/コネクターのセキュリティディレクトリに移動します。
    <UFT Mobileサーバーインストールフォルダーへのパス>\server\Security
    <UFT Mobileコネクターインストールフォルダーへのパス>\Connector\Security
  2. importCA.batと入力して、認証された証明書をサーバーにインポートします。バッチファイルを実行するには、管理者権限が必要です。
  3. 現在のキーストアのパスワード (デフォルト: password) とCAからのパスワードを入力します。このパスワードは、PFXファイルの作成時に生成されます。CAパスワードは、新しいキーストアパスワードになります。後でアクセスできるように、パスワードを安全な場所に保管してください。

  4. スクリプトは、プライベート証明書をkeyStoreHpmcに追加し、パブリック証明書をtrustStoreHpmcに追加します。

  5. スタートメニューからサービス/コネクターを再起動します。

  6. Webブラウザーを使用して、サーバー/コネクターアドレスにナビゲートします。
    https://<UFT Mobileサーバー/コネクターのIPアドレス>:<ポート>

  7. 正しいCA証明書がブラウザーに表示されていることを確認します。

トップに戻る

SSL接続(オンプレミス)のコネクターでサーバーの信頼を確立する

このセクションは、オンプレミスのインストールにのみ関連します。コネクターがUFT Mobileサーバーに接続するクライアントとして機能する場合、サーバー上の証明書に対して、クライアント上に信頼が存在する必要があります。この信頼は、コネクターのインストール中に最初に確立されます。サーバー上の自己署名証明書をCAが発行した証明書に置き換える場合は、信頼を再確立する必要があります。

CAがVerisignなどの一般的なものである場合、CAはコネクターのトラストストアにすでに存在し、コネクターはサーバー証明書を信頼します。そうでない場合、たとえばCAがプライベートの場合、CAはまだコネクターのトラストストアにありません。コネクターがサーバー証明書を信頼するには、CA証明書をトラストストアにインポートする必要があります。UFTMサーバーで非共通CAを使用する場合に信頼を確立するには、サーバー証明書自体ではなく、サーバー証明書を発行した認証局(CA)の公開証明書をインポートする必要があります。公開証明書をインポートするには、SSL証明書をインポートするには:を参照してください。 

この証明書をインポートすると、クライアントとこのCAによって発行された証明書との間に信頼が確立されます。この信頼が正しく確立されていない場合、SSLハンドシェイクが失敗し、エラーメッセージが発行されます。

トップに戻る

安全なLDAPのためのUFT Mobileの構成

UFT MobileをセキュアLDAP(SSL)で使用するには、UFT MobileサーバーでセキュアLDAPを使用するを参照してください。

トップに戻る

新しい証明書の生成

次の場合は、多くの場合、新しい自己署名証明書を生成する必要があります。

  • CA証明書を使用していて、自己署名証明書の使用に戻したい
  • 3年間有効な自己署名証明書の有効期限が切れています。

次のように、セキュリティフォルダーのスクリプトを使用して、サーバーの新しい証明書を生成します。 

  1. UFTMユーザーとしてログインし、ディレクトリを以下に変更します。
    <UFT Mobileサーバーインストールディレクトリへのパス>/server/Security
  2. 次のコマンドを実行して、サーバー上に新しい自己署名証明書を生成します。
    ./generateSelfSignCertificate.sh
  3. 必要な資格情報を入力します。スクリプトは、プライベート証明書をkeyStoreHpmcに追加し、パブリック証明書をtrustStoreHpmcに追加します。
  4. UFTMサービスを再起動します。
    service mc restart

注: IPまたはFQDNが使用できない場合、サーバーへの接続は失敗するため、証明書を再生成する必要があります。証明書を再生成した後、UFT Mobileサーバーに接続するコネクターの構成も変更する必要があります。詳しくは、コネクターを変更する (Windows)コネクターの構成を変更する (Linux)、またはコネクターを再構成する (Mac)を参照してください。

  1. サーバーマシンで、次の場所に移動します。
    <UFT Mobileサーバーのインストールへのパス>\server\Security
  2. 次のバッチファイルを実行して、サーバー上に新しい自己署名証明書を生成します。
    generateSelfSignCertificate.bat

  3. 必要な資格情報を入力します。

  4. スクリプトは、プライベート証明書をkeyStoreHpmcに追加し、パブリック証明書をtrustStoreHpmcに追加します。
  5. スタートメニューから、または <Path to UFT Mobile server installation>\scripts\に移動してrestart.batを実行することにより、UFT Mobileサービスを再起動します。

注: IPまたはFQDNが使用できない場合、サーバーへの接続は失敗するため、証明書を再生成する必要があります。証明書を再生成した後、UFT Mobileサーバーに接続するコネクターの構成も変更する必要があります。詳しくは、コネクターを変更する (Windows)コネクターの構成を変更する (Linux)、またはコネクターを再構成する (Mac)を参照してください。

トップに戻る

その他の参照項目: