ONLYOFFICE Workspace コミュニティ版をHTTPSプロトコルに切り替える
はじめに
通常、HTTPSプロトコルを使用してポータルにアクセスする方が、デフォルトで使用されるHTTPよりも安全です。しかし、ポータルのアクセス方法を変更するには、特定の操作が必要です。
ONLYOFFICE Workspace CommunityをHTTPSプロトコルに切り替える前に、.pem形式のセキュリティ証明書を作成する必要があります。
証明書を取得したら、以下の手順に従ってONLYOFFICE Workspace CommunityをHTTPSプロトコルに切り替える方法を確認してください。
提供されたスクリプトを使用してONLYOFFICE Workspace CommunityをHTTPSに切り替える
ONLYOFFICE Workspace CommunityをHTTPSに切り替える最も速い方法は、提供されたスクリプトを使用することです。この方法についてはこの記事を参照してください。
ONLYOFFICE Community Serverバージョン8.5以降を手動でHTTPSに切り替える
スクリプトの操作を手動で実行することもできます。そのためには、以下の手順に従ってください。
バージョン8.5は独自の特性を持つIIS 7を使用しています。組み込みのIISツールを使用して、セキュリティ証明書をONLYOFFICE Community Serverにバインドする必要があります。
セキュリティ証明書(自己署名または第三者発行のもの)をお持ちの場合は、それをONLYOFFICE Community Serverにバインドできます:
- インターネット インフォメーション サービス (IIS) マネージャーに入ります。
- 証明書をバインドする必要があるサイト(ONLYOFFICEポータル)を選択します。
- 右側のメニューのバインド...オプションを使用して、サイト バインドダイアログウィンドウを開きます。
- 開いたウィンドウで追加...ボタンをクリックします。
- タイプを
httpsに変更し、SSL証明書ドロップダウンメニューから先に作成した証明書を選択します。 - OKをクリックし、その後サイト バインドウィンドウを閉じます。
これで証明書がONLYOFFICE Community Serverにバインドされます。IIS 7の証明書に関する質問がある場合は、適切なMicrosoftのナレッジベース記事を参照してください。
- インターネット インフォメーション サービス (IIS) マネージャーに入ります。
- サーバー名に移動し、それを選択します。
- IISセクションのサービス証明書オプションをダブルクリックします。
- 右側のメニューの自己署名証明書の作成オプションを使用して、対応するダイアログウィンドウを開きます。
- 希望する証明書名を入力し、OKをクリックします。
次に、サーバーがHTTPリクエストではなくHTTPSリクエストを処理するように、リライトルールを有効にする必要があります。これを行うには:
- インターネット インフォメーション サービス (IIS) マネージャーに入ります。
- HTTPSを有効にする必要があるサイトを選択します。
- 右側のメニューのURLリライトオプションを使用して、URLリライトウィンドウを開きます。
- 次のルールを見つけます:
HTTP to HTTPSとAdd Strict-Transport-Security when HTTPS、それぞれの右側のパネルでルールを有効にするを選択します。
次のステップは必須ではありませんが、ONLYOFFICE Community Serverのインストールを保護したい場合は、強くお勧めします。IIS Cryptoのウェブページにアクセスしてください。これは、管理者がWindows Server 2008、2012、2016上でプロトコル、暗号、ハッシュ、キー交換アルゴリズムを有効または無効にすることができる無料ツールです。また、IISが提供するSSL/TLS暗号スイートを再注文し、ワンクリックでベストプラクティスを実装し、カスタムテンプレートを作成し、ウェブサイトをテストすることもできます。ダウンロードして実行し、ベストプラクティスを選択して適用をクリックします。その後、サーバーを再起動してください。
これで、次の方法で正しく設定されているか確認できます:
- https://プレフィックスを使用してポータルを開きます。開いて動作する場合は、すべてが正しく行われています。
- ONLYOFFICE Community Serverがインターネット経由で利用可能な場合は、SSL Server Testウェブサイトを使用してセキュリティをテストできます。ドメイン名をホスト名フィールドに入力し、送信をクリックします。結果を待ちます。セキュリティ評価はA以上であるべきです。
ONLYOFFICE Community Serverバージョン7.7.1以降をHTTPSに切り替える(8.5以前)
c:\Program Files\Ascensio System SIA\ONLYOFFICE\Router\ディレクトリにssl_certフォルダを作成します。- この新しく作成したディレクトリに
.pem形式の証明書をコピーします。 - ONLYOFFICE Routerサービスを再起動します。
ポータルの正しい操作にはポート443が開いている必要があります。
WebStudioフォルダ内のWeb.configファイルを見つけて開きます(変更を保存するには管理者アクセス権が必要です)、以下のセクションを見つけます:
このセクション内のすべて(上記の「...」で示されている部分)を次のルールに置き換えます:<rewrite> <rules> ... </rules> </rewrite><rule name="HTTP to HTTPS" stopProcessing="true"><match url=".*" /><conditions><add input="{HTTPS}" pattern="off" /><add input="{REQUEST_URI}" pattern="^/api/2.0/" negate="true" /><add input="{REQUEST_URI}" pattern="products/files/services/wcfservice/service.svc.*" negate="true" /></conditions><action type="Redirect" url="https://{HTTP_HOST}/{R:0}" appendQueryString="true" redirectType="Temporary" /></rule><rule name="WCF files HTTPS to HTTP" stopProcessing="true"><match url="products/files/services/wcfservice/service.svc.*" /><conditions><add input="{HTTPS}" pattern="on" /></conditions><action type="Rewrite" url="http://{HTTP_HOST}/{R:0}" appendQueryString="true" /></rule>
古いバージョンのONLYOFFICE Community ServerをHTTPSに切り替える(7.7.1以前)
古いONLYOFFICE Community ServerバージョンをHTTPSに切り替えるには、以下の手順が必要です:
- プライベートキーを含む
.pem形式の証明書を、ONLYOFFICE Community Serverがインストールされているコンピュータの任意のフォルダに配置します。 c:\Program Files\Ascensio System SIA\ONLYOFFICE\Router\フォルダに移動し、テキストエディタでconfig.jsファイルを開きます。変更を保存するためには管理者権限が必要です。- 次の行を探します:
config.sslCertPath = '../Cert/https-cert.pem';../Cert/https-cert.pemを証明書を配置したパスに置き換えます。証明書ファイルへの絶対パス(例:C:/Cert/mycertificate.pem)を記述する必要があり、パスにはスラッシュ(バックスラッシュではありません!)を使用する必要があります。例に示されている通りです。 - ONLYOFFICE Routerサービスを再起動します。
適切なポートが開かれていることを確認し、
node.jsをファイアウォールの例外または許可ルールに追加する必要があります。
config.sslCertPathパラメータ行でsslCertPathをsslCertに変更する必要がある場合もあります。