問題: Apple の App Transport Security (ATS)導入後に iOS アプリケーションや特定の Mac OS クライアントから LiveCycle/AEM フォームサーバーへの接続が失敗する

クライアントは HTTPS を使用して LiveCycle/AEM Forms サーバーに接続します。HTTPS 経由で LiveCycle/AEM フォームサーバーに接続する iOS 9 または Mac OS 10.11 クライアントの場合、Apple の要件に応じて、サーバーは ATS (App Transport Security) に準拠するする必要があります。サーバーが ATS に準拠していない場合、Apple はサーバーへのすべての HTTPS 接続をブロックします。 

サーバーの ATS 準拠については、以下を確認してください。

  • LiveCycle/AEM フォームサーバーは HTTPS 経由で TLS 1.2 標準を使用する接続をサポートすること。
  • TLS 1.2 接続は Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)鍵交換を介して完全な前方秘匿性をサポートする暗号が使用すること。このプロパティを持つ暗号のリストについては、Apple のプレリリース版の「情報プロパティリストキーリファレンス」ページにある「NSAppTransportSecurity」を参照してください。
  • サーバー証明書は最小ダイジェスト長 256 ビットの SHA-2 で署名されていること。
  • リーフサーバー証明書は次の種類の鍵のいずれかで署名されていること。
    • 2048 バイト以上の鍵長の鍵
    • 256 バイト以上の鍵長の ECC 鍵

アップルのプレリリース版を参照してください。

セキュリティ上の理由からも、ATS に準拠させる点からも、すべての通信に対して(Apple 以外のデバイスからの通信であっても)、TLS 1.2 標準の使用をお勧めします。

次のいずれかの方法を使用して、サーバーが ATS に準拠しているかどうかを確認できます。

  • サーバーの URL が公開されている場合は SSL Lab を使用する
  • Mac マシンを使用する

次の手順を実行して、サーバーが SSL ラボを使用して ATS に準拠しているかどうかを確認します。

  1. ブラウザーで、https://www.ssllabs.com/ssltest/analyze.html を開きます。

  2. 「ホスト名」フィールドにサーバーの URL を入力し、「送信」をクリックします。

    acrobat.com と入力するか、使用可能なオプションのいずれかを選択して、その動作を確認できます。 

  3. SSL レポートページで、Apple ATS 9/iOS 9 を検索します。

    ご使用のサーバーが ATS に準拠している場合は、ATS 9/iOS 9 に対してメッセージが緑色で表示されます。サーバーが ATS 9/iOS 9 に準拠していない場合は、メッセージが赤色で表示されます。 

次の手順を実行し、サーバーが Mac OS X 10.11 El Capitan を搭載した Mac マシンを使用して ATS に対する準拠をテストします。

  1. ターミナルで、次のように入力します。/usr/bin/nscurl --ats-diagnostics <url>

    <url> を、ATS に対する準拠を検証するサーバーの URL に置き換えます。

  2. 次のメッセージが表示された場合、サーバーは ATS に準拠しています。

    ---
    
    ATS Default Connection
    
    Result: PASS
    
    ---
    

上記のいずれかの手順を使用して、ATS に対する準拠を検証できます。 

サーバーが ATS に対する準拠のテストに失敗した場合

以下の手順を実行して、ATS に対する準拠の問題を解決します。 

  • Apache プロキシなどのプロキシを使用します。
    設定でロードバランサまたはプロキシを既に使用している場合、または新しいプロキシサーバーを導入した場合は、プロキシ設定を変更して SSL 接続エラーの問題を解決できます。
    新しいプロキシサーバーの場合: LiveCycle/AEM フォームサーバーと同じドメイン名であることを確認し、プロキシサーバー/ロードバランサのマニュアルを読んで、プロキシサーバーを ATS 準拠にします。

プロキシサーバーを使用できない場合は、ご使用のアプリケーションサーバーに応じて手順を実行します。

JBoss

Jboss サーバーで TLS 1.2 を設定する

特定の Java バージョンでは、TLS 1.2 は互換性がありません。互換性のトラブルシューティングを行うには、TLS を有効にする前に、Java と TLS 1.2 の互換性に関するトラブルシューティングを参照してください。

設定で TLS 1.2 がサポートされている場合は、JBoss サーバーで TLS を有効にする以下の手順を実行します。

  1. LCM を使用して SSL を設定します。

  2. エディターで lc_turnkey.xml ファイルを開きます。

    パス:

    LiveCycle の場合: <LC-install-directory>\jboss\server\lc_turnkey\deploy\jbossweb.sar\server.xml

    AEM フォームの場合: <AEM-install-directory>\jboss\standalone\configuration\lc_turnkey.xml

  3. 以下のように、ssl プロトコル値を TLSv1.2 に変更します。

    <connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/>
    <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
    <ssl name="lc-ssl" password="password" protocol="TLSv1.2" key-alias="AEMformsCert" certificate-key-file="C:/Adobe/Adobe_Experience_Manager_Forms/jboss/standalone/configuration/aemformses.keystore" />
    </connector>
  4. サーバーを再起動します。

ブラウザーが更新済みの TLS を使用していることを確認する手順

  1. Firefox で secure adminui ページを開く:

    URL: https://<サーバー>:<ポート>/adminui

  2. URL の左側にある緑色のロックアイコンをクリックし、次のボタン/「詳細情報」をクリックします。

    技術的な詳細情報で TLS バージョンを確認できます。 

Java と TLS 1.2/ATS の互換性のトラブルシューティング:

Oracle Java 6 アップデート 26 またはアップデート 31 に同梱されている JBoss Turnkey を使用している場合、または Oracle Java 6 を手動でインストールした場合:

  • LiveCycle ES4 以前をお持ちの場合:
    • Apache プロキシなどのプロキシを使用します。前述の手順を参照してください。

Oracle Java 6 アップデート 26 またはアップデート 31 に同梱されている JBoss Turnkey を使用している場合、または Oracle Java 6 を手動でインストールした場合:

  • LiveCycle ES4 以前をお持ちの場合:
    • Apache プロキシなどのプロキシを使用します。前述の手順を参照してください。

WebLogic

WebLogic サーバーで TLS 1.2 を設定する

特定の Java バージョンでは、TLS 1.2 は互換性がありません。互換性のトラブルシューティングを行うには、TLS を有効にする前に、Java と TLS 1.2 の互換性に関するトラブルシューティングを参照してください。

設定で TLS 1.2 がサポートされている場合は、WebLogic サーバーで TLS を有効にする以下の手順を実行します。

  1. SSL を設定するには、「WebLogic Server に対する SSL 設定」を参照してください。

  2. すべてのサーバーを再起動します。

  3. ドメインの設定で、「サーバー/管理対象サーバー/設定/サーバーの開始」タブをクリックします。

  4. 引数ボックスに、-Dweblogic.security.SSL.protocolVersion=TLSV1.2 を追加します。

  5. 保存」をクリックします。

ブラウザーが更新済みの TLS を使用していることを確認する手順

  1. Firefox で secure adminui ページを開く:

    URL: https://<サーバー>:<ポート>/adminui

  2. URL の左側にある緑色のロックアイコンをクリックし、次のボタン/「詳細情報」をクリックします。

    技術的な詳細情報で TLS バージョンを確認できます。 

SSL ラボまたは Mac マシンを使用して ATS に対する準拠を確認します。ATS に対する準拠を確認する手順は前述のとおりです。 

Java と TLS 1.2/ATS の互換性のトラブルシューティング:

WebLogic 10.x.x と、インストール済みの Jrockit Java 6 R28 を使用している場合:

  • Apache プロキシなどのプロキシを使用します。前述の手順を参照してください。

WebSphere

WebSphere Application Server で TLS 1.2 を設定する

特定の Java バージョンでは、TLS 1.2 は互換性がありません。互換性のトラブルシューティングを行うには、TLS を有効にする前に、Java と TLS 1.2 の互換性に関するトラブルシューティングを参照してください。

設定で TLS 1.2 がサポートされている場合は、WebSphere Application Server で TLS を設定する以下の手順を実行します。

  1. SSL を設定するには、「WebSphere Application Server に対する SSL 設定」を参照してください。

  2. サーバーを再起動します。 

  3. TLS で SSL を設定するには、「TLS 1.2 をサポートするように WebSphere Application Server を設定する」の手順を参照してください。

  4. サーバーを再起動します。 

ブラウザーが更新済みの TLS を使用していることを確認する手順

  1. Firefox で secure adminui ページを開く:

    URL: https://<サーバー>:<ポート>/adminui

  2. URL の左側にある緑色のロックアイコンをクリックし、次のボタン/「詳細情報」をクリックします。

    技術的な詳細情報で TLS バージョンを確認できます。 

SSL ラボまたは Mac マシンを使用して ATS に対する準拠を確認します。ATS に対する準拠を確認する手順は前述のとおりです。 

Java と TLS 1.2 の互換性のトラブルシューティング:

WebSphere Application Server 7.0.0.x、およびインストール済みの IBM Java 6 を使用している場合:

  • WebSphere Application Server を 7.0.0.35 に更新し、IBM Java 6 も更新します。
  • Bouncy Castle Provider (1.5.4)を追加する
  • WebSphere で ECDHE 暗号を有効にする:
    1. WebSphere Application Server Integrated Solutions Console にログインします。
    2. セキュリティ/ SSL 証明書と鍵管理/ SSL 構成/ NodeDefaultSSLSettings /保護の品質(QoP 設定)」に移動します。
    3. 暗号スイートグループをカスタムと指定し、適切な ECDHE 暗号を追加します。
    4. サーバーを保存して再起動します。

WebSphere Application Server 8.0.0.x、および インストール済みの IBM WebSphere Java SDK 1.6 を使用している場合:

  • WebSphere Application Server を 8.0.0.10 に更新します。
  • Java の更新
    デフォルトでは、強い暗号スイートグループには ECDHE 暗号があります。
  • TLS 1.2 を有効にしてサーバーを再起動します。 

WebSphere Application Server 8.x.x.x、および インストール済みの IBM J9 Virtual Machine (ビルド 2.6 & 2.7、JRE 1.7.0)を使用している場合:

  • Bouncy Castle Provider (1.5.4)を追加します。以下の手順を実行し、Java セキュリティファイルに Bouncy Castle Provider (1.5.4)を追加します。
    1. Bouncy Castle Provider jar をサーバーインストールにある JDK フォルダーにコピーします。 例: C:\Adobe\Adobe LiveCycle ES4\Java\jdk1.6.0_31\jre\lib\ext.
      jar ファイルをダウンロードするには、ここをクリックしてください。
    2. 下記を入力して $JAVA_HOME/jre/lib/security/java.security
      にある config ファイルを更新します:
      security.provider.N=org.bouncycastle.jce.provider.BouncyCastleProvider
      (N を次の論理番号に置き換える)
      既知の署名問題のため、Bouncy Castle Provider 1.5.5 はインストールしないでください。

注意:

Bouncy Castle は、必要な暗号が管理コンソールに表示される暗号リストに表示されない場合にのみ追加します。 

  • WebSphere で ECDHE 暗号を有効にする:

    1. WebSphere Application Server Integrated Solutions Console にログインします。
    2. セキュリティ/ SSL証明書と鍵管理/ SSL構成/ NodeDefaultSSLSettings /保護の品質(QoP設定)」に移動します。
    3. 暗号スイートグループをカスタムと指定し、適切な ECDHE 暗号を追加します。
    4. サーバーを保存して再起動します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー