5.6. Ericom Connect Secure Gateway インストールガイド¶

5.6.1. 本資料について¶

本項は、Ericom Connect Secure Gateway（以下、ESG）の簡易導入手順です。Ericom Connectサーバ環境を既に構築済みであることが前提です。 Ericom Connectの導入設定やアプリケーション公開設定は、「Connect・RDS1台同居インストールガイド」をご参照下さい。本項は、ESGサーバを構築する際の補助的資料として位置づけております。あくまで、簡易的に環境を構築することに重きを置いておりますので、手順の前提環境に則る記載になっている点はご容赦ください。

詳細な設定はEricom社が公開しているWebマニュアルをご参照下さい。

https://www.ericom.com/communities/guide/home/

図1. ESG構成概念図

5.6.2. 使用環境について¶

本項は、ESGサーバをインストールする手順書になっています。簡易インストール手順書としての位置づけのため、冗長化を考慮した環境構築手順書にはなっておりません。また、前提として、ESGサーバのOSが Windows Server 2012 R2 となっております。Windows Server 2008 R2 で構築する場合は、弊社にお問い合わせください。

事前に準備するもの¶

評価に必要なサーバ環境
Ericom Connect Secure Gatewayサーバ　（物理/仮想いずれも可）

※ ESGサーバはWORKGROUPでも構築可能です
Ericom Connect インストールメディア
構築済みの Ericom Connectサーバ
Active Directoryサーバ
Active Directoryのドメイン管理者アカウント（ドメイン環境で利用する場合）
接続用デバイス（PC、シンクライアント端末、iPad等）

参考

【評価のための参考スペック】

OS ： Windows Server 2012 R2, Window Server 2008 R2, Windows Server 2016

CPU ： 4 Core 以上

メモリ： 8 GB 以上

HDD ： 80 GB 以上

※ 上記のスペックは検証用の参考値です。

※ アプリケーションの性質やユーザ数によって、必要なリソースは異なります。

5.6.3. Ericom Connect Secure Gateway インストールの事前作業¶

Active Directory（以下AD）ドメイン環境で構築する場合の準備¶

ESGをAD環境で構築する場合は、事前に以下の準備を行ってください。
尚、本手順ではESGはAD環境で構築しております。
- ESGサーバをドメインへ参加させる。
- ESGサーバのインストール作業用として、ドメイン管理者アカウントを用意する。
- ESGサーバインストール用のアカウントにUPN(User Principal Name)を登録する。
※ Ericom Connectのコンポーネントは基本的にAD参加が必要ですが、ESGはドメインに参加させていなくても利用可能です。「図1. ESG構成概念図」を参照の上、ファイアウォールに必要なポートが開放されていることを必ずご確認ください。また、ESGからEricom Connectに対して、FQDNで名前解決できる必要がありますので、適切なDNS設定を実装いただくか、hostsへの追記等をご検討ください。

ADの参加手順については、「事前準備」の「Active Directory (以下 AD)ドメインの準備」を参照ください。

Windowsファイアウォールの受信規則¶

Windowsファイアウォールの受信規則の設定を行います。詳しい手順については、「事前準備」の「Windowsファイアウォールの受信規則」をご参照ください。

5.6.4. Ericom Connect Secure Gateaway のインストールと設定¶

ESGのインストールとグリッドへの参加¶

本章では、ESGのインストールおよび既存グリッドへの参加を実施します。本手順書では EricomConnect.exe を使用しインストールします。

EricomConnect.exeを実行します。注意）Connect(SecureGateway含む)8.5以降では、[.NET Framework 4.6.2 Features]以上がインストールされている必要があります。SecureGatewayインストール前にインストールしてください。インストールメディア内の以下フォルダにインストーラーがございます。 [.NET Framework 4.6.2]フォルダ
インストールウィザードが起動するので、[Next]をクリックします。
[I accept…]にチェックを入れ、[Next]をクリックします。
[Custom]をクリックします。
「Ericom Connect Data Grid」と「Ericom Connect Secure Gateway」以外のチェックを外し、[Install]をクリックします。
インストールが開始されます。終了まで数分かかります。
インストールが完了したら[Finish]をクリックし、ウィザードを終了します。
「Ericom Connect Configuration Tool」が自動で起動するので、[Join existing grid]をクリックします。
「Grid」の項に既存のGrid名を入力し、[Continue] をクリックします。 [My Host or IP]はこのESGサーバ自身のIPアドレスであることを確認し、[Lokup Service Hosts]は全てのConnectサーバのIPアドレスをカンマ(,)区切りで設定してください。 ※9.x以降では、[My Hostname or IP]及び[Lookup Service Hosts]には、ホスト名ではなくIPアドレスを設定することが推奨されています。また、9.2以降では、IPアドレス以外を設定して進めた場合、警告が表示されます。 (9.x以降では、複数のConnectサーバが存在する場合、[Lokup Service Hosts]には下記[注意]の通りカンマで区切ってConnectサーバアドレスを記入してください。8.xでは、ConnectサーバとESGサーバを同一セグメント内に構築する限りにおいては、空欄でも問題ありません。）

注意

2台目以降のConnectサーバを別セグメントに構築される場合[Lookup Service Hosts]には、[自分自身のIP],[他サーバのIP]の順番でConnectサーバのIPアドレスをカンマ(,)区切りで記述します。

(例)1台目：「192.168.100.1,192.168.200.1」

2台目：「192.168.200.1,192.168.100.1」

※[Lookup Service Hosts]の内容は、同一Gridに参加しているマシンで、可能な限り均一に設定する必要があります。

　例えばConnectサーバ2台、RDSサーバ4台の6台で構成する場合、Connect1台とRDSサーバ2台が「192.168.100.1,192.168.200.1」、残り3台が「192.168.200.1,192.168.100.1」となるように設定します。

グリッドの検索が開始されます。
Gridが見つかるとConnectサーバの管理者の認証情報を求められます。[User]と[Password]にConnectサーバ管理者の認証情報を入力し、 [OK]をクリックします。
グリッドへの接続が正常終了すると、「* Completed 」と表示されます。「 Completed *」の表示を確認後、[Exit]をクリックし、Configuration Tool を[Exit]で終了します。

ESGの設定¶

本項では、Connectサーバの管理コンソールからESG利用に関する設定を実施します。製品インストール時に作成される自己証明書を用いてテストをする場合、後述の「アプリケーションの公開」のあとAccessPadまたはAccessPortalから接続確認を実施してください。本マニュアル「5.3.4」に各接続確認手順が記載されていますので、ご参照ください。個別の認証局にて証明書を発行する場合は、「アプリケーションの公開」のあと、続けて「CSRの作成と証明書のインストール」の手順を実施してください。

アプリケーションの公開¶

本項では、Connectサーバの管理コンソールからアプリケーションの公開設定を実施します。

Webブラウザから下記URLにアクセスします。 https://<Connectサーバアドレス>:8022/admin 管理コンソールの表示言語を変更できます。本手順書では日本語に変更しています。 [縦3点リーダー]をクリックします。
Languageをクリックします。
プルダウンで日本語に変更したのち「<」をクリックして戻ります。
「<」をクリックして戻ります。
「<」をクリックして戻ります。
[Create New Grid]で指定した[Connect Administrator]のConnectサーバ管理者でログインします。
左ペインから、[サービス] を選択します。
[ESGサービス]の欄に、今追加したESGサーバのIPアドレスが存在し、[ステータス]が[実行中]であることを確認します。
[歯車マーク]をクリックし、ESGサービスの設定を表示します。
右側の[設定]タブ内で、スクロールし[ネットワーク]-[セキュアポート]に443が設定されていることを確認します。
次に左側の[設定]-[システム設定]を選択します。
[ESGホストアドレス]を確認し、実際に外部に公開されるFQDNを入力し、[保存] をクリックします。 ※ [ESGホストアドレス]にIPアドレスは設定できません。
[システム]-[グループ]にも[ESGホストアドレス]の設定が存在します。ここで値を設定した場合、利用されるシステムグループ毎に、ESGのFQDNを変更することが可能です。 ※ この設定は、複数の拠点のリソースを1つのConnectサーバで管理している場合など、ロケーションが大きく離れている場合に有用です。

CSRの作成と証明書のインストール¶

本章では、ESGサーバ上で証明書発行に必要なCSRの作成と、証明書のインストールを実施します。製品インストール時に作成される自己証明書を用いてテストをする場合、本手順をスキップし、AccessPadまたはAccessPortalから接続確認を実施してください。本マニュアル「5.3.4」に各接続確認手順が記載されていますので、ご参照ください。

CSR発行用のinfファイルを作成します。本資料ではESGサーバ上に c:\work\CSRconfig.infとして作成し、保存しています。 ※ SubjectおよびExtentionsのdnsは環境に合わせて変更してください。	[NewRequest] Subject = "C=JP,ST=Tokyo,L=Chitoda-ku,O=K.K.Ashisuto,CN=esg.ashisuto.co.jp" Exportable = TRUE Hashalgorithm = sha256 KeyLength = 2048 KeySpec = 1 KeyUsage = 0xA0 MachineKeySet = True ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [Extensions] 2.5.29.17 = "{text}" _continue_ = "dns=esg.ashisuto.co.jp&"
c:\windows\certreq.exeを利用し、CSRの発行を行います。コマンド例＞ c:\windows\system32\Certreq.exe –New –f CSRconfig.inf CSR.req
作成したCSRを認証局へ送り署名をしてもらいます。署名済みの証明書を受け取ったらESGサーバの適当なフォルダへ証明書を配置し、次の手順へすすみます。
MMCを起動し、「スナップインの追加と削除」をクリックします。
「証明書」を選択し「追加」をクリックします。
「コンピューターアカウント」を選択し「次へ」をクリックします。
「ローカルコンピューター」を選択し「完了」をクリックします。
「証明書（ローカルコンピューター）」が表示されたことを確認し、「OK」をクリックします。
「個人」-「証明書」を右クリックし、「すべてのタスク」から「インポート」をクリックします。
「証明書のインポートウィザード」が起動したら[次へ] クリックします。
[参照]をクリックし、「ファイル名」に発行された署名済み証明書のパスを設定して[次へ]をクリックします。
「証明書ストア」に「個人」が表示されていることを確認し、[次へ]をクリックします。
[完了]をクリックします。
証明書がインポートされたことを確認します。
証明書をダブルクリックし、秘密鍵が存在することを確認します。
「詳細」タブを開き、「拇印」の文字列を確認し、控えておきます。
Connectの管理コンソールに接続し、「サービス」-「ESGサービス」の[歯車マーク]をクリックし、ESGサービスの設定を表示します。 ※注意「ESGサービス」欄のサーバ名をクリックして表示された設定は、対象サーバのみを対象とした設定となります。必ず[歯車マーク]のデフォルト値に対して設定してください。
「セキュリティ」「証明書の設定方法」を「Thumbprintで検索」に変更し、「証明書の設定値」に先に控えた「拇印」の文字列を入力して[保存]をクリックします。