私たちの組織は、新しいFullTextサービスを使用する際にSolrインスタンスのセキュリティを強化したいと考えています。
解決策:
Fulltextサービスを使用する際にシステムのセキュリティを高めるために、SolrインスタンスをSSL(Secure Sockets Layer)証明書で実行することができます。この実装方法については、以下のガイドを参照してください。
1.まず、FulltextのBasic Authenticationを有効にします。 この方法については、KBA-37185を参照してください 。
2. コマンドラインインターフェイスを開き、keytool.exeに移動します(KeytoolはJDKパッケージのbinディレクトリにあり、パスはC:◆Program FilesDocuWare ◆Full-Text Server (x64)◆OpenJDK ◆jdk-xxxxx ◆binのようになるはず)。
3.開いたCMDで以下のコマンドを実行し、キーストアを作成します。
keytool -genkeypair -alias solr-ssl -keyalg RSA -keysize 2048 -keypass <your_password> -storepass <your_password> -validity 9999 -keystore solr-ssl.keystore.p12 -storetype PKCS12 -ext SAN=DNS:MACHINENAME -dname "CN=MACHINENAME, OU=Organizational Unit, O=Organization, L=Location, ST=State, C=Country"
keypassとstorepass(どちらも6文字以上)を編集し、上記のコマンドでマシンのMACHINENAMEを編集してください。このコマンドを実行すると、同じディレクトリにsolr-ssl.keystore.p12というファイルが作成されます。
以下は、localhostアドレスを利用する例 です。
keytool -genkeypair -alias solr-ssl -keyalg RSA -keysize 2048 -keypass secret -storepass secret -validity 9999 -keystore solr-ssl.keystore.p12 -storetype PKCS12 -ext SAN=DNS:localhost -dname "CN=localhost, OU=Organizational Unit, O=Organization, L=Location, ST=State, C=Country"
4. solr-ssl.keystore.p12 ファイルをC:◆Program FilesDocuWare ◆Full-Text Server (x64)◆solr-server◆にコピー する。
5.Windowsの証明書管理を開き、Trusted Root Certificate Authorities内に新しく作成した証明書(solr-ssl.keystore.p12 )をインポートします。
6.Solr 8のbinディレクトリ (C:◆Program FilesDocuWare ◆Full-Text Server (x64)◆solr◆bin)にあるsolr.in.cmdファイルを探します。
7.ファイルをメモ帳で開き、先頭の「REM」を削除して以下の設定を編集します。各行の先頭に "set"値があることを確認する。
set SOLR_SSL_ENABLED=true
set SOLR_SSL_KEY_STORE=etc/solr-ssl.keystore.p12
set SOLR_SSL_KEY_STORE_PASSWORD=<your_password>
set SOLR_SSL_TRUST_STORE=etc/solr-ssl.keystor e.p12
set SOLR_SSL_TRUST_STORE_PASSWORD=<your_password>
set SOLR_SSL_NEED_CLIENT_AUTH=false
set SOLR_SSL_CHECK_PEER_NAME=true
クライアント認証の設定に関する注意事項。SOLR_SSL_NEED_CLIENT_AUTHまたはSOLR_SSL_WANT_CLIENT_AUTHのどちらかを有効にし、両方を同時に有効にしないでください。これらは相互に排他的であり、Jettyはどちらかを選択しますが、期待したものとは異なる場合があります。
例
8.solr.in.cmd ファイルの変更点を保存します。
9.DocuWare Service ControlまたはWindows Servicesを使用してSolrを再起動します。
10.https://MACHINENAME:9012/solrt に移動すると、メッセージが表示される場合があります。
Fulltext ServerへのSSL追加に成功しました。
11.DocuWare AdministrationツールでFulltext Connectionsの正しいURLが使用されていることを確認します。
KBAは、オンプレミス組織のみに適用されます。
ご注意:この記事は英語からの翻訳です。この記事に含まれる情報は、オリジナルの英語版製品に基づくものです。翻訳版の記事で使用されている文法などには、細かい誤りがある場合があります。翻訳の正確さを完全に保証することは出来かねますが、ほとんどの場合、十分な情報が得られると思われます。万が一、疑問が生じた場合は、英語版の記事に切り替えてご覧ください。