5.6. Ericom Connect Secure Gateway インストールガイド

5.6.1. 本資料について

本項は、Ericom Connect Secure Gateway(以下、ESG)の簡易導入手順です。Ericom Connectサーバ環境を既に構築済みであることが前提です。 Ericom Connectの導入設定やアプリケーション公開設定は、「Connect・RDS1台同居インストールガイド」をご参照下さい。 本項は、ESGサーバを構築する際の補助的資料として位置づけております。あくまで、簡易的に環境を構築することに重きを置いておりますので、手順の前提環境に則る記載になっている点はご容赦ください。

詳細な設定はEricom社が公開しているWebマニュアルをご参照下さい。

図1. ESG構成概念図

../_images/securegateway01.jpg

5.6.2. 使用環境について

本項は、ESGサーバをインストールする手順書になっています。 簡易インストール手順書としての位置づけのため、冗長化を考慮した環境構築手順書にはなっておりません。 また、前提として、ESGサーバのOSが Windows Server 2012 R2 となっております。Windows Server 2008 R2 で構築する場合は、弊社にお問い合わせください。

事前に準備するもの

  • 評価に必要なサーバ環境

  • Ericom Connect Secure Gatewayサーバ (物理/仮想いずれも可)

    ※ ESGサーバはWORKGROUPでも構築可能です

  • Ericom Connect 8.1インストールメディア

  • 構築済みの Ericom Connectサーバ

  • Active Directoryサーバ

  • Active Directoryのドメイン管理者アカウント(ドメイン環境で利用する場合)

  • 接続用デバイス(PC、シンクライアント端末、iPad等)

参考

【評価のための参考スペック】

  • OS : Windows Server 2012 R2, Window Server 2008 R2, Windows Server 2016
  • CPU : 4 Core 以上
  • メモリ : 8 GB 以上
  • HDD : 80 GB 以上

※ 上記のスペックは検証用の参考値です。

※ アプリケーションの性質やユーザ数によって、必要なリソースは異なります。

5.6.3. Ericom Connect Secure Gateway インストールの事前作業

Active Directory(以下AD)ドメイン環境で構築する場合の準備

  • ESGをAD環境で構築する場合は、事前に以下の準備を行ってください。

    尚、本手順ではESGはAD環境で構築しております。

    • ESGサーバをドメインへ参加させる。
    • ESGサーバのインストール作業用として、ドメイン管理者アカウントを用意する。
    • ESGサーバインストール用のアカウントにUPN(User Principal Name)を登録する。

    ※ Ericom Connectのコンポーネントは基本的にAD参加が必要ですが、ESGはドメインに参加させていなくても利用可能です。 「図1. ESG構成概念図」を参照の上、ファイアウォールに必要なポートが開放されていることを必ずご確認ください。 また、ESGからEricom Connectに対して、FQDNで名前解決できる必要がありますので、適切なDNS設定を実装いただくか、hostsへの追記等をご検討ください。

ADの参加手順については、「事前準備」の「Active Directory (以下 AD)ドメインの準備」を参照ください。

Windowsファイアウォールの受信規則

Windowsファイアウォールの受信規則の設定を行います。 詳しい手順については、「事前準備」の「Windowsファイアウォールの受信規則」をご参照ください。

5.6.4. Ericom Connect Secure Gateaway のインストールと設定

ESGのインストールとグリッドへの参加

本章では、ESGのインストールおよび既存グリッドへの参加を実施します。 本手順書では EricomConnect.exe を使用しインストールします。

  1. EricomConnect.exeを実行します。
    注意)[.NET Framework 4.5.2 Features]以上がインストールされている必要があります。SecureGatewayインストール前にインストールしてください。インストールメディア内の以下フォルダにインストーラーがございます。
    [.NET Framework 4.5.2]フォルダ
securegateway-02
  1. インストールウィザードが起動するので、[Next]をクリックします。
securegateway-03
  1. [I accept…]にチェックを入れ、[Next]をクリックします。
securegateway-04
  1. [Custom]をクリックします。
securegateway-05
  1. 「Ericom Connect Data Grid」と「Ericom Connect Secure Gateway」 以外 のチェックを外し、[Install]をクリックします。
securegateway-06
  1. インストールが開始されます。終了まで数分かかります。
securegateway-07
  1. インストールが完了したら[Finish]をクリックし、ウィザードを終了します。
securegateway-08
  1. 「Ericom Connect Configuration Tool」が自動で起動するので、[Join existing grid]をクリックします。
securegateway-09
  1. 「Grid」の項に既存のGrid名を入力し、[Continue] をクリックします。
    [My Host or IP]はこのESGサーバ自身のIPアドレスであることを確認し、[Lokup Service Hosts]は全てのConnectサーバのIPアドレスをカンマ(,)区切りで設定してください。
    ※9.x以降では、[My Hostname or IP]及び[Lookup Service Hosts]には、ホスト名ではなくIPアドレスを設定することが推奨されています。また、9.2以降では、IPアドレス以外を設定して進めた場合、警告が表示されます。
    (9.x以降では、複数のConnectサーバが存在する場合、[Lokup Service Hosts]には下記[注意]の通りカンマで区切ってConnectサーバアドレスを記入してください。8.xでは、ConnectサーバとESGサーバを同一セグメント内に構築する限りにおいては、空欄でも問題ありません。)
securegateway-10

注意

2台目以降のConnectサーバを別セグメントに構築される場合[Lookup Service Hosts]には、[自分自身のIP],[他サーバのIP]の順番でConnectサーバのIPアドレスをカンマ(,)区切りで記述します。
(例)1台目:「192.168.100.1,192.168.200.1」
2台目:「192.168.200.1,192.168.100.1」
※[Lookup Service Hosts]の内容は、同一Gridに参加しているマシンで、可能な限り均一に設定する必要があります。
 例えばConnectサーバ2台、RDSサーバ4台の6台で構成する場合、Connect1台とRDSサーバ2台が「192.168.100.1,192.168.200.1」、残り3台が「192.168.200.1,192.168.100.1」となるように設定します。
  1. グリッドの検索が開始されます。
securegateway-11
  1. Gridが見つかるとConnectサーバの管理者の認証情報を求められます。[User]と[Password]にConnectサーバ管理者の認証情報を入力し、 [OK]をクリックします。
securegateway-12
  1. グリッドへの接続が正常終了すると、「*** Completed ***」と表示されます。「*** Completed ***」の表示を確認後、[Exit]をクリックし、Configuration Tool を[Exit]で終了します。
securegateway-13

ESGの設定

本項では、Connectサーバの管理コンソールからESG利用に関する設定を実施します。 製品インストール時に作成される自己証明書を用いてテストをする場合、後述の「アプリケーションの公開」のあとAccessPadまたはAccessPortalから接続確認を実施してください。本マニュアル「5.3.4」に各接続確認手順が記載されていますので、ご参照ください。 個別の認証局にて証明書を発行する場合は、「アプリケーションの公開」のあと、続けて「CSRの作成と証明書のインストール」の手順を実施してください。

アプリケーションの公開

本項では、Connectサーバの管理コンソールからアプリケーションの公開設定を実施します。

  1. Webブラウザから下記URLにアクセスします。
    https://<Connectサーバアドレス>:8022/admin
    管理コンソールの表示言語を変更できます。本手順書では日本語に変更しています。
    [縦3点リーダー]をクリックします。
securegateway-14
  1. Languageをクリックします。
securegateway-15
  1. プルダウンで日本語に変更したのち「<」をクリックして戻ります。
securegateway-16
  1. 「<」をクリックして戻ります。
securegateway-17
  1. 「<」をクリックして戻ります。
securegateway-18
  1. [Create New Grid]で指定した[Connect Administrator]のConnectサーバ管理者でログインします。
securegateway-19
  1. 左ペインから、[サービス] を選択します。
securegateway-20
  1. [ESGサービス]の欄に、今追加したESGサーバのIPアドレスが存在し、[ステータス]が[実行中]であることを確認します。
securegateway-21
  1. [歯車マーク]をクリックし、ESGサービスの設定を表示します。
securegateway-22
  1. 右側の[設定]タブ内で、スクロールし[ネットワーク]-[セキュアポート]に443が設定されていることを確認します。
securegateway-23
  1. 次に左側の[設定]-[システム設定]を選択します。
securegateway-24
  1. [ESGホストアドレス]を確認し、実際に外部に公開されるFQDNを入力し、[保存] をクリックします。
    ※ [ESGホストアドレス]にIPアドレスは設定できません。
securegateway-25
  1. [システム]-[グループ]にも[ESGホストアドレス]の設定が存在します。ここで値を設定した場合、利用されるシステムグループ毎に、ESGのFQDNを変更することが可能です。
    ※ この設定は、複数の拠点のリソースを1つのConnectサーバで管理している場合など、ロケーションが大きく離れている場合に有用です。
securegateway-26

CSRの作成と証明書のインストール

本章では、ESGサーバ上で証明書発行に必要なCSRの作成と、証明書のインストールを実施します。 製品インストール時に作成される自己証明書を用いてテストをする場合、本手順をスキップし、AccessPadまたはAccessPortalから接続確認を実施してください。本マニュアル「5.3.4」に各接続確認手順が記載されていますので、ご参照ください。

  1. CSR発行用のinfファイルを作成します。本資料ではESGサーバ上に c:\work\CSRconfig.infとして作成し、保存しています。
    ※ SubjectおよびExtentionsのdnsは環境に合わせて変更してください。
[NewRequest]
Subject = "C=JP,ST=Tokyo,L=Chitoda-ku,O=K.K.Ashisuto,CN=esg.ashisuto.co.jp"
Exportable = TRUE
Hashalgorithm = sha256
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=esg.ashisuto.co.jp&"

  1. c:\windows\certreq.exeを利用し、CSRの発行を行います。
    コマンド例> c:\windows\system32\Certreq.exe –New –f CSRconfig.inf CSR.req
securegateway-28
  1. 作成したCSRを認証局へ送り署名をしてもらいます。署名済みの証明書を受け取ったらESGサーバの適当なフォルダへ証明書を配置し、次の手順へすすみます。
securegateway-29
  1. MMCを起動し、「スナップインの追加と削除」をクリックします。
securegateway-30
  1. 「証明書」を選択し「追加」をクリックします。
securegateway-31
  1. 「コンピューターアカウント」を選択し「次へ」をクリックします。
securegateway-32
  1. 「ローカルコンピューター」を選択し「完了」をクリックします。
securegateway-33
  1. 「証明書(ローカルコンピューター)」が表示されたことを確認し、「OK」をクリックします。
securegateway-34
  1. 「個人」-「証明書」を右クリックし、「すべてのタスク」から「インポート」をクリックします。
securegateway-35
  1. 「証明書のインポートウィザード」が起動したら[次へ] クリックします。
securegateway-36
  1. [参照]をクリックし、「ファイル名」に発行された署名済み証明書のパスを設定して[次へ]をクリックします。
securegateway-37
  1. 「証明書ストア」に「個人」が表示されていることを確認し、[次へ]をクリックします。
securegateway-38
  1. [完了]をクリックします。
securegateway-39
  1. 証明書がインポートされたことを確認します。
securegateway-40
  1. 証明書をダブルクリックし、秘密鍵が存在することを確認します。
securegateway-41
  1. 「詳細」タブを開き、「拇印」の文字列を確認し、控えておきます。
securegateway-42
  1. Connectの管理コンソールに接続し、「サービス」-「ESGサービス」の[歯車マーク]をクリックし、ESGサービスの設定を表示します。
securegateway-43
  1. 「セキュリティ」「証明書の設定方法」を「Thumbprintで検索」に変更し、「証明書の設定値」に先に控えた「拇印」の文字列を入力して[保存]をクリックします。
securegateway-44