前提
FileMaker の公式サイト「テスト済み証明書」について
FileMakerの公式サイトには、「テスト済み証明書」の一覧に DigiCert が公認証明書として記載されていません。
けれど使えるはず! と思い、試してみたところ、無事に動作してくれました。よって、以下自己責任ということで。
FileMaker Server 15 以降でのセキュリティ設定
DigiCert の EVマルチドメイン証明書
以下です。国内の代理店だと RMSさん が対応が親切で良いです。(といっても決して他が悪いとかではありません)
EVマルチドメイン SSL/TLSサーバ証明書:DigiCert(デジサート)正規代理店 | 国内最安値
既にこちらを取得して運用しているものとして話を進めます。取得していなかったら申請からおこなってください。もちろん、マルチドメインでの運用が想定されないのであれば、ただの EVSSL で良いと思います。
その他、SSL 関連の基礎は飛ばしていきます。
環境
今回用いた環境は以下です。
- FileMakerServer16(複数マシン展開はしない)
- WindowsServer2012
- IIS10
FileMakerServer からCSRを発行する
まず、CSR を発行します。このマルチドメインは、公式ページに書いてあるワイルドカード証明書とは別モノなので、以下の手順で普通に発行してください。
なお、IISを触り慣れている場合、IISでCSRの発行をおこなってしまいがちですが、これだと途中で詰みます。FileMakerServerからの発行をおこないます。
- FileMakerServer の Admin Console を起動。
- データベースサーバー → セキュリティ を開く。
- 「データベース接続に SSL を使用する」にチェックを入れて、一度、「適用」ボタンを押す。
- 【注意】公式の手順には書いていないけれど、これをしないと、「要求の作成」ボタンが enable 状態にならない。
- 「要求の作成」ボタンを押して以下の入力を進める。
- 「ドメイン名」: hogehoge.fugafuga (実際にこのサーバで使うドメインを指定)
- 「会社名」:日本語でもOKです。
- 「プライベートキーのパスワード」:後で使うので忘れないように。
- それ以外の情報は任意です。なくてもOK。
- 次のファイルが インストール先Path/FileMaker Server/CStore/ フォルダに生成される。
- serverRequest.pem:これがCSRです。
- serverKey.pem:証明書をインポートする際に必要なプライベートキーファイル。後で使う。
- 「ダウンロード」を押して serverRequest.pem を取得。
RMS の担当者さんへ依頼
書くまでもなさそうな段ですが……
- 依頼は担当者さんへメールで連絡、上記 serverRequest.pem の中身を開いてコピーしてメールに貼付して送っています。ウチでは。
- しばらくすると、DigiCert 社から認証依頼メールが届くので、承認します。
- さらにしばらくすると、担当者からメールで CRT 含む各種一式送られてきます。その一式の中に、ルート証明書と中間証明書がなかったら、担当者にくださいとお願いしてください。
FileMakerServer へのインポート
いよいよインポートです。その前に、ルート証明書と中間証明書とを連結させる必要があります。
ルート証明書と中間証明書の連結
- 名前は分かりやすければ何でもよいのですが、chain.pem を連結後のファイル名としましょうか。
- ルート証明書ファイルの名前を上記へリネーム。
- ルート証明書ファイルを開いて、末尾に、中間証明書の中身を貼り付けます。で、保存。
- 以上。
インポート
- Admin Console で先ほど CSR 発行した画面を開く。
- 「証明書のインポート」ボタンを押す。
- 「署名済みの証明書ファイル」:CRT ファイルを指定。
- 「中間証明書ファイル」:上記 chain.pem を指定。
- 「プライベートキーファイル」:上記で「後で使う」と書いておいた serverKey.pem を指定。
- 「プライベートキーパスワード」:上記で入力したパスワード。
- 「保存」ボタンを押す。
- FileMakerServerの再起動で完了。
確認
WebDirect の URL https://hogehoge.fugafuga/fmi/webd/ などにアクセスしてみて、問題なくアドレスバーのところが EVSSL 対応されて緑色になり自分の組織名が表示されていれば OK です!