FAQ

以下に手順を記載いたします。
なお、クライアント証明書、失効リストの作成方法につきましては弊社のサポート外となりますので、あらかじめお含みおきください。

• クライアント認証を有効にした瞬間に接続できなくなるのを防ぐため、ProselfをインストールしたサーバーのWebブラウザから管理画面に接続します。詳細につきましては以下FAQをご参照ください。
  https://www.proself.jp/support/faq391/
  
• サーバーのWebブラウザをご利用できない場合は、クライアント認証を有効設定時でも暫定的にhttp接続できるようにするため以下設定を行っておきます。これにより、万が一設定に誤りがあってもhttpで接続して設定を戻すことが可能です。
  
  
  1. Proselfインストールフォルダ/conf/proself.propertiesのバックアップを取得します。
     
     ※バックアップファイル名はproself.properties.backup.YYYYMMDD等としてください。
     
  2. Proselfインストールフォルダ/conf/proself.properties内の末尾に以下を追記します。
     
     proself.security.clientauth.http = true
     
     ※本設定は即時反映されます。Proselfのサービス再起動は必要ありません。
     
     ※クライアント認証の設定が終わり次第この設定は消去ください。
     
     ※Proselfインストールフォルダの確認方法につきましては以下FAQをご参照ください。
     https://www.proself.jp/support/faq433/
     

1. 自己認証局(プライベート認証局)を作成します。
   
   自己認証局(プライベート認証局)を作成済みの場合は読み飛ばしてください。
   
   
   以下コマンドを順に実行して/etc/ssl配下にディレクトリを作成します。
   
   mkdir /etc/ssl/private
   mkdir /etc/ssl/private/client
   
   既にディレクトリが存在する場合は上記コマンドの実行は必要ございません。
   
   以下コマンドを実行し、自身が認証局となるための認証局のキーと証明書署名要求を作成します。
   
   openssl req -new -newkey rsa:2048 -nodes -out /etc/ssl/private/ca.csr -keyout /etc/ssl/private/ca.key
   
   注意：上記を1行で記述します。
   
   次に、以下コマンドを実行し、証明書に自己署名を行いX.509デジタル証明書を作成します。本例では期限として3650日(=10年)を指定しています。
   
   openssl x509 -trustout -signkey /etc/ssl/private/ca.key -days 3650 -req -in /etc/ssl/private/ca.csr -out /etc/ssl/ca.pem
   
   注意：上記を1行で記述します。
   
2. クライアント証明書を作成します。
   クライアントにインストールする証明書を作成します。
   
   本手順は作成するクライアント証明書の数だけ実施する必要があります。
   そのため、以下で記載している「client1.key」「client1.pem」「client1.p12」については、クライアント証明書を作成する度に別ファイル名とする必要があります。
   
   
   最初に、認証局が使用するシリアルナンバーファイルを作成します。
   
   echo "02" > /etc/ssl/private/ca.srl
   
   
   次に、クライアント証明書のキーと証明書署名要求を作成します。本例では期限として365日(=1年間)を指定しています。
   
   ※手順1で作成した認証局の証明書よりも必ず期限を短くしてください。そうしないとクライアント証明書が有効になりません。
   
   openssl req -new -newkey rsa:2048 -nodes -out /etc/ssl/private/client/client1.req -keyout /etc/ssl/private/client/client1.key -days 365
   
   注意：上記を1行で記述します。
   
   認証局の証明書とキーを使ってX.509クライアント証明書の作成と署名を行います。本例では期限として365日(=1年間)を指定しています。
   
   ※手順1で作成した認証局の証明書よりも必ず期限を短くしてください。そうしないとクライアント証明書が有効になりません。
   
   openssl x509 -CA /etc/ssl/ca.pem -CAkey /etc/ssl/private/ca.key -CAserial /etc/ssl/private/ca.srl -req -in /etc/ssl/private/client/client1.req -out /etc/ssl/private/client/client1.pem -days 365
   
   注意：上記を1行で記述します。
   
   X.509クライアント証明書から、PKCS12形式のクライアント証明書を作成します。
   
   openssl pkcs12 -export -clcerts -in /etc/ssl/private/client/client1.pem -inkey /etc/ssl/private/client/client1.key -out /etc/ssl/private/client/client1.p12
   
   注意：上記を1行で記述します。
   
3. Proselfのクライアント認証をONにします。
   Proselfに管理者でログインし、管理画面 - システム設定 - セキュリティ - クライアント認証設定の順にクリックしてクライアント認証設定画面へ移動します。
   
   
   クライアント認証設定画面では「クライアント認証を使用する」をONにし「設定」をクリックします。ONにした場合は、必要に応じて「クライアント認証時のみ利用できる画面/機能」と「クライアント認証オプション」を適宜設定ください。
   
   クライアント認証時のみ利用できる画面/機能
   対象とする画面/機能にチェックを入れます。なお、管理画面のチェックを外すことはできません。
   

   項目名	説明
   ユーザー画面	チェックすると「ファイル一覧」、「ファイル送信」、「ファイル受信」すべての機能でクライアント認証が有効になります。有効にさせたい機能を限定させたい場合は該当機能のチェックボックスを変更してください。
   Web公開画面	チェックするとWeb公開画面含めたProselfのすべての画面/機能でクライアント認証が有効になります。

   
   クライアント認証オプション
   必要に応じて設定ください。
   

   項目名	説明
   無し	オプションを利用しません。
   Auto(※)	クライアント認証のCNのIDで自動ログインします。(Webブラウザのみの機能です。)
   Force	クライアント認証のCNとログインIDが一致しない場合、ログインができなくなります。

   ※Autoを選択する場合は、追加で以下手順を実施します。
   
   1. Proselfを停止します。
      
   2. Proselfインストールフォルダ/conf内にあるjaas.configをjass.config.bakにリネームします。
      
   3. インストールメディア内のAppendix/confフォルダ内にあるjaas.configをProselfインストールフォルダ/conf内にコピーします。
      
   4. Proselfを起動します。
      
4. ルート証明書を設定します。
   手順3の設定を行うと、クライアント認証設定画面に「ルート証明書の設定」が表示されますので、「ルート証明書の設定」の「インポート」をクリックし「ルート証明書インポート」を表示します。
   
   次に、手順1で作成した自己署名した証明書(ca.pem)をエディタで開き、「-----BEGIN TRUSTED CERTIFICATE-----」から「-----END TRUSTED CERTIFICATE-----」までをコピーして画面のテキストエリア内に貼り付け、「インポート」をクリックします。
   
   
5. ルート証明書インポートのダイアログが表示されます。
   インポートするルート証明書の内容を確認し、「続行」をクリックします。
   
   
6. ルート証明書のインポートが行われます。
   「クライアント認証設定」 - 「ルート証明書の設定」内のステータスが設定済に変わり、インポートしたルート証明書の内容が表示されていることを確認します。
   
   
7. (Ver5.64以下の場合)Proselfの再起動を行います。
   クライアント認証を適用するためにProselfを再起動します。
   
8. クライアント証明書を用いたログインが行えることを確認します。
   クライアント証明書をインストールしたWebブラウザからProselfにHTTPS接続を行い、クライアント証明書の選択ダイアログが表示されること、選択したクライアント証明書を使用してProselfにアクセスできることを確認します。
   

1. 証明書失効リストを用意します。
   
   ※最低でも1つ以上のクライアント証明書を失効させた状態の証明書失効リストをご用意ください。空の失効リストを読み込ませた場合、クライアント認証自体ができなくなってしまいます。
   
2. 証明書失効リストをProselfインストールフォルダ/conf内にcrl.pemとして保存します。
   
   ※Proselfインストールフォルダの確認方法につきましては以下FAQをご参照ください。
   https://www.proself.jp/support/faq433/
   
3. Proselfインストールフォルダ/conf/server.xmlを開き、94行目付近のcertificateVerification行とtruststoreFile行の間に行を追加します。
   (変更前)
   
   <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1.2+TLSv1.3"
   ciphers="TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"
   certificateVerification="optional"
   truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
   <Certificate certificateKeystoreFile="${catalina.base}/conf/keystore.ssl" certificateKeystorePassword="changeit" certificateKeyAlias="tomcat"/>
   </SSLHostConfig>
   
   (変更後)
   
   <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1.2+TLSv1.3"
   ciphers="TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"
   certificateVerification="optional"
   certificateRevocationListFile="${catalina.base}/conf/crl.pem"
   truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
   <Certificate certificateKeystoreFile="${catalina.base}/conf/keystore.ssl" certificateKeystorePassword="changeit" certificateKeyAlias="tomcat"/>
   </SSLHostConfig>
   
   ※certificateRevocationListFile="${catalina.base}/conf/crl.pem"を追記します。
   
   ※編集内容は即時反映されますので、Proselfの再起動は必要ありません。
   
4. 管理画面 - システム設定 - セキュリティ - クライアント認証設定内に「失効リストのファイル登録設定」が表示されることを確認します。
   
   
5. 失効リストに証明書を追加した場合は、上記crl.pemファイルを上書きし、「失効リストのファイル登録設定」内にある「設定」クリック後の画面で「適用」をクリックします。
   
   ※Ver5.64以下の場合は「適用」ではなく「Proselfの再起動」となっておりますので、「Proselfの再起動」をクリックします。
   
   
6. ダイアログが表示されますので、内容を確認後「適用」クリックします。
   
   ※Ver5.70以上のみ
   
   
7. 失効リストが適用されますので、ダイアログ内のメッセージに従いWebブラウザを閉じて開きなおします。
   
   ※Ver5.70以上のみ
   
   
8. WebブラウザでProselfにHTTPSでアクセスし、クライント証明書選択ダイアログから失効済みのクライアント証明書を選択した場合にページが表示されないことを確認します。
   

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq472/

(最終更新日：2024/04/24)

ウイルススキャン機能はありませんが、ウイルススキャンソフトウェアと連携してウイルスを検知したファイルのアップロードを拒否する機能を有しています。
本機能は、コマンドラインで指定したファイルをチェックできるウイルススキャンソフトウェアがサーバー上にインストールされている場合に利用できます。

なお、弊社で動作確認済みのウイルススキャンソフトウェアは以下の通りです。

• Linux Security 64
  「エフセキュア Linuxセキュリティコマンドラインエディション」の後継製品です。
  
• ClamAV
  
• ESET Server Security for Linux / Windows Server
  

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq109/

(最終更新日：2024/04/19)

以下手順を実施することで変更することが可能です。
変更内容を反映するにはProselfの再起動が必要ですのでご注意ください。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq368/

(最終更新日：2024/01/10)

以下手順で設定を行うことでクライアント証明書のCNのIDによる自動ログインが可能となります。
※Webブラウザのみの機能です。

1. 管理者ユーザーでProselfにログインします。
   
2. 画面右上の歯車のアイコンをクリックして管理画面に移動します。
   
3. システム設定内、クライアント認証設定に移動します。
   
4. 「クライアント認証を使用する」のチェックをONとし、クライアント認証オプションでは「Auto」を選択した上で[設定]のボタンを押下して設定を保存します。
   
5. 上記設定で自動ログイン可能とするために、Proselfの設定ファイルを差し替えます。
   差し替え方法につきましては、Ver5.10以降のインストールメディアに同梱しているインストールガイドの記載内容をご参照ください。
   

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq221/

(最終更新日：2024/01/10)

はい、接続できます。
実際に利用されているお客様もいらっしゃいます。
ただし、設定等につきましては弊社サポート対象外となっておりますのでご了承ください。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq219/

(最終更新日：2024/01/10)

PUT/DELETEメソッドは有効になっています。
この2つはWebDAVで使用するため無効にはできません。

ただしシステム全体でWebDAVクライアントソフトウェアからの接続を拒否する設定は可能です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq317/

(最終更新日：2024/01/10)

はい、以下の手順を実施すればHTTPS接続のみ可能となります。

1. Proselfのサービスを停止します。
   
2. Proselfインストールフォルダ/conf/server.xml のバックアップを取得します。
   
   ※バックアップファイル名は server.xml.yyyymmdd 等とし、末尾が.xmlとならないようにします。(yyyymmddは日付形式)
3. Proselfインストールフォルダ/conf/server.xml の67行目から70行目までをコメントアウトします。
   ＜編集前＞
   
   <Connector port="80" protocol="HTTP/1.1"
   maxThreads="150"
   connectionTimeout="60000"
   disableUploadTimeout="true" URIEncoding="UTF-8"/>
   
   ＜編集後＞
   
   <!--
   <Connector port="80" protocol="HTTP/1.1"
   maxThreads="150"
   connectionTimeout="60000"
   disableUploadTimeout="true" URIEncoding="UTF-8"/>
   -->
   
   ※<!--と-->で挟むことによりコメントアウトできます。
   
4. Proselfのサービスを起動します。
   

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq427/

(最終更新日：2024/01/10)

以下のサーバー側条件を満たす場合にご案内する手順を実施することで、TLS1.3による接続が可能となります。

• サーバー条件
  
  • Proself Ver5.20以上が必要となります。
    なお、Proself Ver5.31以上を新規インストールした場合は最初からTLS1.3が利用可能であるため、以下記載の手順実施は必要ありません。
    
  • JDK11.0.1以上、またはJDK 8u261以上が必要です。
    
• ブラウザ条件
  
  • Microsoft Edge 79以上
  • Google Chrome 70以上
  • Firefox 63以上
  • Safari 12.1.1以上
  ※Safariについては公式情報不明につき弊社で確認の取れたバージョンになっております。
  
• 適用手順
  
  1. Proselfのサービスを停止します。
     
  2. Proselfインストールフォルダ/conf/server.xml を編集して保存します。
     ※編集前に「server.xml.yyyymmdd」のようなファイル名でバックアップを取得してください。
     
     • Ver5.50以上の場合
       【編集前】
       
       <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
       maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
       >
       <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1+TLSv1.1+TLSv1.2"
       ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
       certificateVerification="none"
       truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
       
       【編集後】(赤字の記述を追加します)
       
       <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
       maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
       >
       <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1+TLSv1.1+TLSv1.2+TLSv1.3"
       ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384"
       certificateVerification="none"
       truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
       
       ※上記のようにprotocols="～"の部分に「+TLSv1.3」を、ciphers="～"の部分に「, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384」を追加します。
       
     • Ver5.50未満の場合
       【編集前】
       
       <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
       maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
       clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
       ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
       keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
       truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
       
       【編集後】(赤字の記述を追加します)
       
       <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
       clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2,TLSv1.3"
       ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384"
       keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
       truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
       
       ※上記のようにsslEnabledProtocols="～"の部分に「,TLSv1.3」を、ciphers="～"の部分に「, TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384」を追加します。
       
  3. Proselfのサービスを起動します。
     
  4. WebブラウザでProselfにアクセスして正常に表示できることを確認します。
     
     ※Google ChromeやFirefoxの場合、Webブラウザの開発者ツールで「Security」「暗号化」という名前のタブ選択の際、接続時のプロトコルに「TLS1.3」と表示されていればTLS1.3で接続されております。
     

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq404/

(最終更新日：2024/01/10)

アップロードを行ったクライアントに対して
ウイルスが混入している旨のメッセージが含まれたステータス
「550 The mail may contain a computer virus.」が返されます。

・クライアントがメーラーの場合
上記エラーが何らかの形で画面に表示されます。

・クライアントがMTAの場合
mailer-deamonから送信者に対して上記メッセージが含まれたメールが送信されます。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq318/

(最終更新日：2024/01/10)

以下のソフトウェアについては留意が必要です。

• Java
  Proselfは動作環境としてJDK(Oracle JDKまたはOpenJDK)を使用するため、Javaの脆弱性がProselfに影響する場合があります。
  そのため最新バージョンのJDKを使用することを推奨します。
  
  以下のURLをご参照ください。
  →https://www.proself.jp/support/faq454/
  
  ただし、最新バージョンのJDKリリース直後は弊社での動作確認が取れていない場合があるため、動作確認状況を知りたい場合はお問い合わせください。
  →お問い合わせページへ
  
• Tocmat
  ProselfはWebサーバーとしてApache Tomcatを同梱しており、Tomcatの脆弱性がProselfに影響する場合があります。
  そのため、Tomcatの脆弱性がProselfにも影響があることを確認した場合は、弊社ホームページ等でアナウンスを行った後にTomcatをアップデートしたProselfをリリースします。
  
• SSL、TLSによる暗号化通信
  ProselfではJavaの標準ライブラリを用いて実現しており、OpenSSLは使用しておりません。
  そのため最新バージョンのJDKを使用することを推奨します。
  また、上記に伴い暗号技術の組み合わせである暗号スイートを適切な内容に設定する必要があります。
  
  暗号スイートの設定方法については以下URLをご参照ください。
  →https://www.proself.jp/support/faq368/
  
  ただし、最新バージョンのJDKリリース直後は弊社での動作確認が取れていない場合があるため、動作確認状況を知りたい場合はお問い合わせください。
  →お問い合わせフォーム
  
• 開発フレームワーク
  弊社独自のフレームワークを使用して実装しており、Apache Struts等のオープンソースフレームワークは使用しておりません。
  そのためApache Strutsに関する脆弱性の影響を受けませんが、弊社フレームワークにおける脆弱性を確認した場合は弊社ホームページ等でアナウンスを行った後、脆弱性対応を行ったProselfをリリースします。
  

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq301/

(最終更新日：2024/01/10)