自己署名証明書の利用（SSL/TLS）

FileBlogでSSL/TLS通信（HTTPS）で使用するサーバー証明書を作成して運用することができます。

WEBサーバー（Fb5Webサービス）の開始時に、自己署名証明書を動的に生成してWEBサーバーに読み込ませることで、サーバー証明書のインストール不要でHTTPS接続を簡単に実現できます。

年1回のWEBサーバーの再起動実施でサーバー証明書の有効期限（1年）が自動延長されます。

運用条件

注意点

以下の設定にてAutoCertificateMode（SSL/TLSサーバー証明書の自動生成）を有効にすると、［WebServer/Kestrel/Https/Certificate］に設定されるサーバー証明書は無視されます。

サーバー側の準備

［管理ツール > 設定全般 > WEBサーバー > Httpサーバー設定 (Kestrel) > HTTPS設定 (SSL/TLS) > SSL/TLSサーバー証明書の自動生成 > SSL/TLSサーバー証明書の発行元となるルート証明書］を選択します。
［WebServer/Kestrel/Https/AutoCertificateMode/RootCertificate］を選択します。
［ルート証明書を作成する］を選択して必要情報を入力します。
- CommonName：組織内で認識しやすい文字列に変更します。（標準既定のままでもかまいません）
- 有効年数：ルート証明書の有効期間は長期に設定することができます。（20年程度も可能）
- パスワード：証明書を保護するためのパスワードとなります。
［OK］を実行すると証明書が作成され、［CerttificatePlain］と［Password］に3.で入力した値が登録されます。
［ルート証明書インストール用ファイルをダウンロード］を実行します。ダウンロードされたZipファイルはクライアント側の設定で使用します。
［保存する］を選択して設定を保存します。

［管理ツール > 設定全般 > WEBサーバー > Httpサーバー設定 (Kestrel) > HTTPS設定 (SSL/TLS) > SSL/TLSサーバー証明書の自動生成］を選択します。

［WebServer/Kestrel/Https/AutoCertificateMode/Enabled］にチェックを入れて有効化します。
［WebServer/Kestrel/Https/AutoCertificateMode/ServerAddresses］の［追加］を選択して、FileBlog接続URLのホスト名やIPアドレスを登録します。（複数登録できます）
- https://PC01/で接続 → PC01
- https://192.168.0.19/で接続する → 192.168.0.19
［保存する］を選択してサービスを再起動します。

https://のURLで接続できるようにSSL/TLS通信を有効化します。

FileBlogに接続する各端末で必要な設定です。

［ルート証明書インストール用ファイルをダウンロード］で取得したZipファイルを解凍します。
「install.bat」を［右クリック > 管理者として実行］します。（管理者権限が必要です）
- ルート証明書をWindows証明書ストアの「信頼されたルート証明書」へのインストールが実行されます。
- 「WindowsによってPCが保護されました」のダイアログが表示されたら、［詳細情報 > 実行］を選択します。

インストールに成功すると下図の結果になります。

========================================================
 信頼されたルート証明書ストアに証明書をインストールしました。
========================================================

FileBlogに「ServerAddresses」で登録したホスト名/IPアドレスを用いたURLで接続します。

開いているWEBブラウザは再起動してください。（インストールした証明書を認識させます）
証明書の警告がWEBブラウザのアドレスバーに表示されずに接続できていれば設定成功です。

上記方法の「install.bat」ファイルを利用せずに、ルート証明書をインストールすることもできます。取得したZipファイルに含まれる「certificate.cer」ファイルがルート証明書なので、端末に配布して使用してください。