SSLと証明書

Digital LabはSSLを利用した安全な環境での作業や、必要に応じて証明書を適用することができます。このセクションでは、SSL接続の操作方法について説明します。安全なサイトにアクセスするためにデバイスに証明書をインストールする方法の詳細については、証明書が必要なテストサイトを参照してください。

サポートされているSSLプロトコル

Digital Labサーバーとコネクターは、サーバーとコネクター間のすべての通信で最新のSSL標準をサポートし、サポートされているテストツール (UFT OneUFT Developer、LoadRunner、Appium) および以下のブラウザーをサポートします。

  • TLS v1.2
  • TLS v1.1
  • TLS v1.0

トップに戻る

SSL経由でDigital Labに接続する

UFT Digital Labサーバーをインストールするときは、非セキュア (HTTP) 接続またはセキュア (SSL) 接続を選択できます。サーバーのインストール時にSSLオプションを選択すると、ローカルのDigital Labマシンで自己署名SSL証明書が自動的に生成されます。または、認証局(CA)から証明書をインポートすることもできます。詳しくは、認証局発行のSSL証明書を使用するを参照してください。
ValueEdge Digital Lab/ UFT Digital Lab Managed SaaS: Digital Labサーバーへの接続は安全であり、サーバーにはCA証明書がインストールされています。

Webブラウザーがサーバーによって提示された証明書を信頼するには、SSL証明書が認定された認証局 (CA) によって発行されている必要があります。自己署名証明書はデータを暗号化しますが、サーバー所有者の信頼できるIDは提供しません。デフォルトの自己署名証明書を使用する場合、SSLを介してDigital Labサーバーに最初にアクセスしようとすると、ブラウザーに警告またはエラーが表示されます。この警告は、SSL証明書がCAではなくサーバーによって自己署名されたことを通知します。サーバーにアクセスするには、自己署名SSL証明書を信頼する必要があります。

サーバーがSSLオプションを使用してインストールされた場合、すべてのコネクターとテストツールマシンは安全な接続を介してサーバーに接続する必要があります。SSLを有効にするオプションを選択してコネクターをインストールすると、コネクターマシンに自己署名証明書が自動的に生成されます。ブラウザーから最初にコネクターにアクセスするとき、デバイスのリモートビューを開くと、警告が表示されます。コネクターのURLに移動し、自己署名SSL証明書を信頼します。または、認証局 (CA) から証明書をインポートすることもできます。詳しくは、認証局発行のSSL証明書を使用するを参照してください。コネクターのインストールの詳細については、WindowsマシンにコネクターをインストールするまたはLinuxマシンにコネクターをインストールするを参照してください。

サーバーへの接続を非セキュアからセキュア (またはその逆) に再構成したり、サーバーのアドレスまたはポートを変更したりすることもできます。詳細については、Digital Labサーバーの再構成を参照してください。

注: サーバー上の証明書を変更した場合、コネクターとDigital Labサーバー間の信頼を再確立する必要がある場合があります。詳しくは、認証局発行のSSL証明書を使用するを参照してください。

トップに戻る

認証局発行のSSL証明書を使用する

セキュリティを重視する環境では、サーバーとコネクターの自己署名証明書を、信頼できる認証局 (CA) によって発行された証明書に置き換えることをお勧めします。

ValueEdge Digital Lab/ UFT Digital Lab Managed SaaS: Digital Labサーバーへの接続は安全であり、サーバーにはCA証明書がインストールされています。UFT Digital Labコネクターには、自己署名証明書がインストールされています。このセクションで説明されている手順に従って、コネクターの自己署名証明書を置き換えます。

認証局から証明書ファイルを取得したら、信頼の完全なチェーンが含まれていることを確認してください。信頼のチェーンは、受信者が送信者とすべての中間証明書が信頼できることを確認できるようにする証明書のリストです。SSL証明書のインストールに関する問題を検出して解決するには、「SSLチェッカー」をインターネットで検索し、オンラインツールの1つを使用して問題を診断します。

ヒント: Digital Labはマルチホスト展開です。特定のホストではなく、ワイルドカードを使用してサーバーとコネクターの両方のSSL証明書を生成することをお勧めします。たとえば、*.LAB01.TEST.ACME.COMであり、MACHINEA.LAB01.TEST.ACME.COMではありません。ワイルドカードを使用しない場合、特定のFQDNに対して生成された各証明書は、すべてのブラウザーで、およびDigital LabにアクセスするすべてのOpenTextテストツールによって信頼される必要があります。

SSL証明書をインポートするには 

SSL証明書が個別のキーファイルと証明書ファイルに分割されている場合は、それらを1つのPFXファイルに結合します。

次の例は、証明書とキーを組み合わせる方法を示しています。証明書が保存されているのと同じマシンで、以下のコマンドを実行します。

  1. 次のコマンドを使用して、OpenSSLがマシンにインストールされていることを確認します。

    Linux: 
    ターミナルウィンドウで次のように入力して、マシンのOpenSSLの詳細を表示します。
    rpm -qa | grep -i openssl (rpm)
    dpkg -l | grep -i openssl (deb)

    Windows:
    コマンドラインウィンドウで、openssl version –aと入力します。
    OpenSSLがインストールされている場合は、日付やバージョン番号などのOpenSSL情報が表示されます。それ以外の場合は、OpenSSLの最新バージョンをダウンロードしてインストールします。

  2. 次のコマンドを実行します。
    openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt
    3. このコマンドは、キーファイルと証明書ファイルを1つのPFX証明書に変換します。

  1. ターミナルウィンドウで、ディレクトリをサーバー/コネクターのセキュリティディレクトリに変更します。

    <Digital Labサーバーインストールディレクトリへのパス>/server/Security

    <Digital Labコネクターインストールディレクトリへのパス>/connector/Security
  2. ./importCA.shと入力して、認証された証明書をサーバーにインポートします。

  3. 現在のキーストアのパスワード (デフォルト: password) とCAからのパスワードを入力します。このパスワードは、PFXファイルの作成時に生成されます。CAパスワードが新しいキーストアパスワードになります。後でアクセスできるように、パスワードを安全な場所に保管してください。

  4. スクリプトは、プライベート証明書をkeyStoreHpmcに追加し、公開証明書をtrustStoreHpmcに追加します。
  5. Digital Labサーバー/コネクターを再起動します。
  6. Webブラウザーを使用して、サーバー/コネクターアドレスにナビゲートします。
    https://<Digital Labサーバー/コネクターのIPアドレス>:<ポート>
  7. 正しいCA証明書がブラウザーに表示されていることを確認します。
  1. サーバー/コネクターのセキュリティディレクトリに移動します。
    <Digital Labサーバーインストールフォルダーへのパス>\server\Security
    <Digital Labコネクターインストールフォルダーへのパス>\Connector\Security
  2. importCA.batと入力して、認証された証明書をサーバーにインポートします。バッチファイルを実行するには、管理者権限が必要です。
  3. 現在のキーストアのパスワード (デフォルト: password) とCAからのパスワードを入力します。このパスワードは、PFXファイルの作成時に生成されます。CAパスワードは、新しいキーストアパスワードになります。後でアクセスできるように、パスワードを安全な場所に保管してください。

  4. スクリプトは、プライベート証明書をkeyStoreHpmcに追加し、公開証明書をtrustStoreHpmcに追加します。

  5. スタートメニューからサービス/コネクターを再起動します。

  6. Webブラウザーを使用して、サーバー/コネクターアドレスにナビゲートします。
    https://<Digital Labサーバー/コネクターのIPアドレス>:<ポート>

  7. 正しいCA証明書がブラウザーに表示されていることを確認します。

トップに戻る

SSL接続のコネクターでサーバーの信頼を確立する

このセクションは、UFT Digital Labサーバーのインストールのみに関連しています。

コネクターがUFT Digital Labサーバーに接続するクライアントとして機能する場合、サーバー上の証明書に対して、クライアント上に信頼が存在する必要があります。この信頼は、コネクターのインストール中に最初に確立されます。サーバー上の自己署名証明書をCAが発行した証明書に置き換える場合は、信頼を再確立する必要があります。

CAがVerisignなどの一般的なものである場合、CAはコネクターのトラストストアにすでに存在し、コネクターはサーバー証明書を信頼します。そうでない場合、たとえばCAがプライベートの場合、CAはまだコネクターのトラストストアにありません。コネクターがサーバー証明書を信頼するには、CA証明書をトラストストアにインポートする必要があります。Digital Labサーバーで非共通CAを使用する場合に信頼を確立するには、サーバー証明書自体ではなく、サーバー証明書を発行した認証局 (CA) の公開証明書をインポートする必要があります。公開証明書をインポートするには、SSL証明書をインポートするにはを参照してください。 

この証明書をインポートすると、クライアントとこのCAによって発行された証明書との間に信頼が確立されます。この信頼が正しく確立されていない場合、SSLハンドシェイクが失敗し、エラーメッセージが発行されます。

トップに戻る

安全なLDAPのためのDigital Labの構成

Digital LabをセキュアLDAP (SSL) で使用するには、Digital LabサーバーでセキュアLDAPを使用するを参照してください。

トップに戻る

新しい証明書の生成

このセクションは、UFT Digital Labサーバーのインストールのみに関連しています。

次の場合は、多くの場合、新しい自己署名証明書を生成する必要があります。

  • CA証明書を使用していて、自己署名証明書の使用に戻したい
  • 3年間有効な自己署名証明書の有効期限が切れた。

次のように、セキュリティフォルダーのスクリプトを使用して、サーバーの新しい証明書を生成します。 

  1. UFT Digital Labユーザーとしてログインし、ディレクトリを以下に変更します。
    <UFT Digital Labサーバーインストールディレクトリへのパス>/server/Security
  2. 次のコマンドを実行して、サーバー上に新しい自己署名証明書を生成します。
    ./generateSelfSignCertificate.sh
  3. 必要な資格情報を入力します。スクリプトは、プライベート証明書をkeyStoreHpmcに追加し、公開証明書をtrustStoreHpmcに追加します。
  4. Digital Labサービスを再起動します。
    service dl restart

注: IPまたはFQDNが使用できない場合、サーバーへの接続は失敗するため、証明書を再生成する必要があります。証明書を再生成した後、Digital Labサーバーに接続するコネクターの構成も変更する必要があります。詳しくは、コネクターを変更する (Windows)コネクターの構成を変更する (Linux)、またはコネクターを再構成する (Mac)を参照してください。

  1. サーバーマシンで、次の場所に移動します。
    <Digital Labサーバーインストールへのパス>\server\Security
  2. 次のバッチファイルを実行して、サーバー上に新しい自己署名証明書を生成します。
    generateSelfSignCertificate.bat

  3. 必要な資格情報を入力します。

  4. スクリプトは、プライベート証明書をkeyStoreHpmcに追加し、公開証明書をtrustStoreHpmcに追加します。
  5. スタートメニューから、または <Digital Labサーバーインストールへのパス>\scripts\に移動してrestart.batを実行することにより、Digital Labサービスを再起動します。

注: IPまたはFQDNが使用できない場合、サーバーへの接続は失敗するため、証明書を再生成する必要があります。証明書を再生成した後、Digital Labサーバーに接続するコネクターの構成も変更する必要があります。詳しくは、コネクターを変更する (Windows)コネクターの構成を変更する (Linux)、またはコネクターを再構成する (Mac)を参照してください。

トップに戻る

その他の参照項目: