FAQ

TCPポート80、SSLを使用する際はTCPポート443を外部からアクセスできるように設定してください。Webサーバーを構築する場合と同じ設定です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq106/

(最終更新日：2024/01/10)

はい、SAML認証オプションVer5.22以降より以下手順を実施することで使用可能となります。
※Ver5.21以前をお使いの場合は最新バージョンへアップデートしてください。

1. 管理者ユーザーでProselfにログインして管理画面に移動します。
   
2. メニューより SAML 設定 - SP証明書設定 の順で画面を移動します。
   
3. SSL証明書の複製 のところにある「実行」ボタンをクリックすると確認ダイアログが表示されますので「インポート」をクリックします。
   

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq410/

(最終更新日：2023/11/22)

はい、可能です。
Proselfの管理画面にある「SSL証明書設定」よりSSL証明書をインポート可能です。
なお、上記設定に際しては、Proself上で生成したCSRを認証局に申請して送られてきたSSL証明書を用いる必要がありますのでご注意ください。

Proself上で生成したCSRを申請せずに発行されたSSL証明書適用に関する情報については、以下URLをご参照ください。
https://www.proself.jp/support/faq276/
https://www.proself.jp/support/faq362/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq222/

(最終更新日：2023/11/22)

弊社では動作保証せず、自己責任となってはしまいますが以下の手順でキーストアに変換し、使用することは可能です。
※注意　JDK1.6以降で可能です。

本手順では、

1. キー証明書ペアをpkcs12形式に変換
   ※キー証明書ペアをpkcs12形式に変換する際にパスワードをchangeitとしてください。
   
   # openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
   Enter Export Password: changeit
   Verifying - Enter Export Password:changeit
   
   ※各ファイル名はお客様環境によって変更してください。
   
   【インポートする中間証明書が複数ある場合】
   インポートする中間証明書が複数ある場合は、各証明書ファイルを1ファイルに連結する必要があります。
   証明書ファイルの連結方法は以下となります。
   ※ここでは中間証明書1をca1.crt、中間証明書2をca2.crtとして説明します。
   (証明書の階層の深さは中間証明書1、2の順に深くなります。)
   
   ■Linux OSの場合
   以下コマンドを実行し、証明書ファイルを連結します。
   
   # cat ca2.crt ca1.crt > ca.crt
   
   
   証明書ファイルを連結後以下コマンドを実行します。
   
   # openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
   Enter Export Password: changeit
   Verifying - Enter Export Password:changeit
   
   
   ■Windows OSの場合
   ca2.crtをテキストエディタ等で開き、「-----END CERTIFICATE-----」の次の行に
   ca1.crt内の内容を貼り付けます。
   編集後ファイル名をca.crtとして保存し以下コマンドを実行します。
   
   C:\> openssl pkcs12 -export -in server.pem -inkey certs.key -out certs.p12 -certfile ca.crt
   Enter Export Password: changeit
   Verifying - Enter Export Password:changeit
   
2. pkcs12形式をキーストア形式に変換
   
   # keytool -importkeystore -srckeystore certs.p12 -srcstoretype pkcs12 -destkeystore certs.jks -deststoretype jks
   
   出力先のキーストアのパスワードは「changeit」にしてください。
   
3. certs.jksのエイリアス及び証明書チェーンの長さ確認
   
   # keytool -list -v -keystore certs.jks
   
   を実行し、「別名:」、「証明書チェーンの長さ:」に表示されている内容を確認します。
   「別名:」は4.の作業時に必要となります。
   「証明書チェーンの長さ:」に表示されている内容がインポートする中間証明書の数 ＋ SSL証明書の数と同じであることを確認します。
   
4. certs.jksのエイリアスを変更
   
   # keytool -changealias -alias XXXXXXX -destalias tomcat -keystore certs.jks
   
   を実行します。
   ※XXXXXXXの部分は3.で確認したエイリアスに置き換えてください。
   
5. certs.jksをkeystore.sslにリネームしProselfインストールフォルダ/conf にコピーします。
   ※あらかじめkeystore.sslをバックアップしてください。
   
6. Proselfを再起動します。
   

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq276/

(最終更新日：2023/11/22)

注意点としては、Proself管理画面上で行うCSRの再設定からSSL証明書のインポートまでの間にProselfの再起動が発生すると、自己署名証明書が適用された状態でProselfが起動してしまうという点がございます。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq409/

(最終更新日：2023/11/22)

ProselfではSSL証明書、中間証明書、秘密鍵一式をJKS形式のキーストアファイル(keystore.ssl)に格納しているため秘密鍵のみを取得することはできませんが、本キーストアファイルをpkcs12形式にコンバート後、そのpkcs12形式ファイルよりopensslコマンド等で秘密鍵を抽出することは可能です。

しかしながら、秘密鍵の抽出については弊社サポートの範疇を超える内容であるため、お客様の自己責任にてお願い申し上げます。

弊社よりご案内できるのは、以下に記載するProselfのキーストアファイル(JKS形式)をpkcs12形式にコンバートするための手順までとなりますため、秘密鍵の抽出手順につきましてはお客様ご自身でお調べいただきますようお願い申し上げます。

なお、以下手順はProselfをインストールしているサーバー上で実施ください。

1. 以下ファイルを任意のフォルダにコピーします。
   Proselfインストールフォルダ(※)/conf/keystore.ssl
   
   ※Proselfインストールフォルダの確認方法は以下をご参照ください。
   https://www.proself.jp/support/faq433/
   
2. コマンドライン上で以下コマンドを実行します。
   
   # cd {1.でkeystore.sslをコピーしたフォルダ}
   
   # keytool -importkeystore -srckeystore keystore.ssl -destkeystore mystore.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass changeit -deststorepass changeit -srcalias tomcat -destalias tomcat -srckeypass changeit -destkeypass changeit -noprompt
   
3. 2.のコマンド実行後、コマンドを実行したフォルダ内に「mystore.p12」ファイルが作成されますので、opensslコマンド等を用いてこちらのファイルから秘密鍵を抽出ください。
   

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq468/

(最終更新日：2023/11/22)

以下のフォルダを除外対象としてください。

• 最低限除外すべきフォルダ
  
  • Proselfストアフォルダ/logdb
    
  • Proselfインストールフォルダ/work (Mail Proxyオプション利用時のみ)
    
• 除外推奨フォルダ
  
  • Proselfインストールフォルダ/logs
    
  • Proselfストアフォルダ/work (※)
    
  ※以下FAQの手順でウイルススキャン連携機能と組み合わせている場合は、必ずスキャン対象にしてください。
  https://www.proself.jp/support/faq353/
  

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq445/

(最終更新日：2023/11/22)

以下手順を実施することで、WebDAVクライアントソフトウェアからのアクセスをすべて拒否するように設定可能です。

1. Proselfに管理者ユーザーでログインします。
   
2. 画面右上の歯車のアイコンをクリックして管理画面に移動します。
   
3. 管理画面の左メニューよりシステム設定 - セキュリティ - アクセス制限の設定の順に画面を移動して、クライアントアクセス制限設定の「設定」をクリックします。
   
4. クライアントアクセス制限設定画面で設定を行います。以下のようにVer5.40以降とVer5.31以前で設定内容が異なります。
   
   • Ver5.40以降の場合
     クライアントアクセス制限設定画面において「ブラウザ(PC)」「ブラウザ(スマホ)」以外をチェックOFFに変更して「設定」ボタンをクリックします。
     
   • Ver5.31以前の場合
     クライアントアクセス制限設定画面にある「アクセス拒否」欄に以下を入力して「設定」ボタンをクリックします。
     
     0.0.0.0/0.0.0.0
     

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq430/

(最終更新日：2022/11/30)

以下手順を実施いただくことで、TLS1.0及びTLS1.1を使用した暗号化通信を無効化することができます。

1. Proselfのサービスを停止します。
   
2. Proselfインストールフォルダ/conf/server.xml を編集して保存します。
   ※編集前に「server.xml.yyyymmdd」のようなファイル名でバックアップを取得してください。
   
   • Ver5.50以上の場合
     【編集前】
     
     <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
     maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
     >
     <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1+TLSv1.1+TLSv1.2"
     ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
     certificateVerification="none"
     truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
     
     【編集後】(赤字の記述を削除します)
     
     <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
     maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
     >
     <SSLHostConfig sslProtocol="TLS" protocols="+TLSv1.2"
     ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
     certificateVerification="none"
     truststoreFile="${catalina.base}/conf/ca.ssl" truststorePassword="changeit">
     
     ※上記のようにprotocols="～"の部分より「+TLSv1+TLSv1.1」を削除します。
     
   • Ver5.50未満の場合
     【編集前】
     
     <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
     maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
     clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
     ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
     keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
     truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
     
     【編集後】(赤字の記述を削除します)
     
     <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
     clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2"
     ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
     keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
     truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
     
     ※上記のようにsslEnabledProtocols="～"の部分より「TLSv1,TLSv1.1,」を削除します。
     
3. Proselfのサービスを起動します。
   
4. WebブラウザでProselfにアクセスして正常に表示できることを確認します。
   なお、古いWebブラウザではTLS1.2に対応していないことがあり、その場合はProselfにアクセスしても表示できませんのでご留意ください。
   

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq447/

(最終更新日：2022/11/30)

はい、可能です。
標準出荷状態ではStrict-Transport-Securityヘッダを付与しない設定となっておりますが、以下手順を実施することでStrict-Transport-Securityヘッダを付与することが可能です。

1. Proselfのサービスを停止します。
   
2. Proselfインストールフォルダ/conf/proself.properties のバックアップを取得します。
   ※バックアップファイル名はproself.properties.backup.20200217 等としておきます。
   
3. Proselfインストールフォルダ/conf/proself.propertiesを以下例のように編集します。
   
   • 【編集前】
     
     ～省略～
     proself.ajax.userlistmax = 100
     proself.ajax.grouplistmax = 100
     proself.ajax.filelistmax = 100
     proself.session.renew = true
     proself.server.weblink = true
     proself.keystore.signature.algorithm = SHA256withRSA
     
   • 【編集後】
     
     ～省略～
     proself.ajax.userlistmax = 100
     proself.ajax.grouplistmax = 100
     proself.ajax.filelistmax = 100
     proself.session.renew = true
     proself.server.weblink = true
     proself.keystore.signature.algorithm = SHA256withRSA
     proself.security.stricttransportsecurity.enable = true
     
     ※「proself.security.stricttransportsecurity.enable = true」を追記します。
     
4. Proselfのサービスを起動します。
   
5. Strict-Transport-Securityヘッダが付与されていることを確認します。
   ※Webブラウザの開発者ツール等で確認することができます。
   

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq418/

(最終更新日：2022/11/30)