本記事は英語版の翻訳をベースとしたものです。

How to Create a Certificate Using Your Enterprise CA for PI Web-based Products

 

PI Web APIを使用するにあたり、SSL証明書が必要となります。(PI Visionもhttpsで使用する場合は必要となります)

デフォルトのインストールでは自己証明書を作成しますが、ユーザーからみると証明書エラーが表示されてしまいます。

クライアントからはクリックしてエラー回避が可能ですが、ブラウザを危険にさらす可能性もあります。

よって日常的にこのように対処するのはあまりいい方法ではありません。

もっともシンプルに解決するためにはドメインにてEnterprise Certificate Authorityを使用し、証明書を作成することです。

ユーザーはグリーンのアイコンが表示され問題なく閲覧できるようになります。

このポストではどのようにドメイン証明書を作成するかを説明します。

PI VisionPI WebAPIのサーバーのことをPI Web Serverと記載します。

PI Web ServerLocal Administrators権限を持つドメインアカウントを用意します。

ドメインのAdministrator権限が必要になる場合があります。

Active Directory Certificate Servicesにて証明書を作成できる権限が必要となります。(ご自身の会社のITチームに確認することとなります)

 

手順

1.PI Web ServerLocal Administrators権限を持つドメインアカウントでログインします

2.スタートをクリック

3.プログラム検索ボックスでmmc.exeと入力し、Enterをクリックします。

4.File > Add/Remove Snap-inをクリックします。

5.リストの中からCertificatesを選択し、Addをクリックします

6.Computer accountをクリックし、次へをクリック

7.Local computerをクリックし、Finishをクリック

8.OKをクリック

9.コンソールツリーからCertificates(Local Computer)をダブルクリックします。

10.Personalを右クリックし、All Tasksを展開し、Request New Certificateをクリックし、Certificate Enrollmentウィザードを開始します

11.次へをクリック

12.次へをクリック

13.Web Serverテンプレートを探します。

もし、以下のスクリーンショットのようにテンプレートが見つからない場合、またはStatusがUnavailableの場合、

キャンセルをクリックし、Appendix 1に行ってください。手順を実行してからStep 10から再度実行します。

14.Web Serverテンプレートを選択します。WarningのMore information is required to enrol for this certificate. Click here to configure settingsのリンクをクリックします。

15.Subject nameの下にあるTypeにてCommon Nameをクリックします

16.Subject nameの下にあるValueにてサーバーのFQDN名を入力します。(FQDNはドメイン名までを含んだサーバー名です。ホスト名.ドメイン名)

17.Alternative nameの下にあるTypeにてDNSをクリックします

18.Alternative nameの下にあるValueにてPI Web ServerのFQDN名を入力します。

19.Alternative nameの下にあるValueにてPI Web Serverのマシン名(ホスト名)を入力します。

20.他の名前も登録したい場合、上記Alternative nameの手順を繰り返します。

21.OKをクリックします

22.Enrollをクリックします

23.Finishをクリックします

24.Personal > Certificates内にある、Certificate TemplateがWeb Serverの新しい証明書をダブルクリックします。

詳細タブにてSubject Alternative Name部分に上記入力した名前がすべて表示されている必要があります。

[Appendix 1]

  1. Certificate Authority Server(通常はDomain Controller)にてDomain AdministratorCA Administratorとしてログインします。
  2. CAコンピューター上でスタートからプログラムの検索ボックスにてcerttmpl.mscと入力し、Enterをクリックします。
  3. Certificate Templates Consoleにて表示されたWeb Server Templateを右クリックし、プロパティを開きます。

4.Securityタブをクリックします。

5.PI Web Serverのコンピューターアカウントをこちらに追加し、Enrollの権限を与えます。

あとはOKをクリックし、元の手順に戻ります。

 

 

[PI Web APIの証明書を変更する]

PI Web API Admin Utilityを起動し、CertificateにてChangeボタンをクリックします。

ドメインが発行しているCertificateを選びます。

 

[SHA1について]

SHA1は2017年2月以降、ChromeにてErrorとなります。

Active Directory Certificate Serviceのインストールおよび構成時に別のものを指定します。

本件はActive Directoryの知識ですが、質問があればコメントにご連絡ください。