2013年1月 2日 (水)

Office Web Apps Server 2013 と SSL

新年あけましておめでとうございます。今年もよろしくお願いいたします!

新年早々、SharePoint 2013 関連情報から折を見て公開していきますね。最初は Office Web Apps についてです。

SharePoint Server 2013 で Office Web Apps Server 2013 を使用する際には SSL で通信を保護することが推奨されています。Exchange Server 2013 や Lync Server 2013 と Office Web Apps Server 2013 を接続する場合も SSL による通信保護が必要です(厳密にいうと、 Exchange と SharePoint の場合はSSLをバイパスできますが、Lync 連携の場合はSSLが必須です)。

Office Web Apps Server 2013 上にはIIS Webサーバーが構築され、SharePointをはじめとする各サーバーがこのWebサーバーを経由します。したがってSSLを利用するためにIIS Web サーバー上にデジタル証明書をインストールする必要があります。また、SharePoint 側もSSLを使うように構成する必要があります。

単一の Office Web Apps Server をSSL で保護した状態でセットアップする際の手順を備忘録を兼ねて以下にまとめておきます。

  1. SSL を使用するにはWebサーバーにデジタル証明書が必要です。そのため、デジタル証明書を管理するために証明機関を用意します。検証環境ではWindows Server 2012 ベースで構築したActive Directory の Domain Controller に証明機関を追加し、エンタープライズ ルートCAとします。ルートCAの証明書はOffice Web Apps サーバー上で信頼されたルート証明機関として登録しておきます。
  2. Office Web Apps をインストールするための専用サーバーを用意します。Windows Server 2012 を使用すると更新プログラムの追加インストールなどが不要であるため、おすすめです。ちなみに、Office Web Apps サーバーはSharePointサーバーやDCなどとの兼任はサポートされていません。
  3. Office Web Apps サーバーに管理者としてログオンし、Windows PowerShell を使って必要な役割とサービスをインストールします。次のコマンドを実行します。

    Add-WindowsFeature Web-Server,Web-Mgmt-Tools,Web-Mgmt-Console,Web-WebServer,Web-Common-Http,Web-Default-Doc,Web-Static-Content,Web-Performance,Web-Stat-Compression,Web-Dyn-Compression,Web-Security,Web-Filtering,Web-Windows-Auth,Web-App-Dev,Web-Net-Ext45,Web-Asp-Net45,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Includes,InkandHandwritingServices
  4. Office Web Apps 2013 のインストール メディアを挿入し、Setup.exe を実行します。
  5. "「マイクロソフト ソフトウェア ライセンス条項」に同意します" チェックボックスをオンにして、[続行]をクリックします。

    WAC01


  6. インストールするファイルの場所を確認し、[今すぐインストール]ボタンをクリックします。これでインストールが開始されます。

    WAC02

  7. 正常にインストールできたら、[閉じる]ボタンをクリックします。
  8. 次に IIS サーバーに証明書をインストールします。 IISマネージャーツールを起動し、[サーバー証明書]をクリックします。

    WAC03

  9. [ドメイン証明書の作成]をクリックします。

    WAC04
  10. 識別名のプロパティを指定し、[次へ]をクリックします。一般名はIISサーバーのFQDNと一致するように指定します。

    WAC05

  11. オンライン証明機関としてすでに構築しているオンラインCAを選択します。続いてフレンドリ名を指定し、[終了]ボタンをクリックします。

    WAC06

  12. 証明書が取得できたことを確認し、IISマネージャーを最小化しておきます。

    WAC07

  13. Windows PowerShell を管理者として起動し、次のコマンドを実行します。-EditingEnabled オプションを指定することで SharePoint 上でOfficeアプリケーションをWebブラウザー上で編集できるようになります(編集用のライセンスは必要です)。Lync や Exchange 上では編集はできません。閲覧だけです。

    New-OfficeWebAppsFarm -InternalUrl "https://wac2013" -ExternalUrl "https://wac2013.contoso.com" -CertificateName "wac2013.contoso.com" -EditingEnabled

    WAC08


  14. 以上でOffice Web Apps Server 2013 側の設定は完了です。IISマネージャーを確認すると次のようにHTTP80とHTTP809という名前の2つのWebサイトが作成されます。HTTP809 サイトは複数の Office Web Apps サーバーが複数ある場合にサーバー同士が通信する際に使用します。

    WAC10


    また、Web ブラウザーを使って " https://wac2013.contoso.com/hosting/discovery" にアクセスし、次のように構成が表示されることを確認します。

    WAC11
  15. 次はSharePoint Server 2013 側で設定をします。サーバーに管理者としてログオンし、SharePoint管理シェルを管理者として起動します。ただし、システムアカウントとしてログオンしてはいけません。※ここが重要!
  16. 次のコマンドを実行します。

    New-SPWOPIBinding -ServerName "wac2013.contoso.com"

  17. URLには内部と外部の2つのゾーンがありますが、既定でどちらのゾーンとなっているか確認するために 次のコマンドを実行します。

    Get-SPWOPIZone
  18. external-https となっていればOKです。もし異なっている場合は、「Set-SPWOPIZone -zone "external-https"」を実行します。
  19. さらに次のコマンドをSharePoint管理シェルから実行します。※ここが重要!

    $config = (Get-SPSecurityTokenServiceConfig)
    $config.AllowOAuthOverHttp = $true
    $config.Update()

  20. 上記のコマンドを実行後、(Get-SPSecurityTokenServiceConfig).AllowOAuthOverHttp を実行し、True がかえることを確認します。
  21. IISを再起動します。

以上で設定は完了です。

ちなみに、Office Web Apps Server 2013 の構成を確認する場合は、Office Web Apps サーバー上で Windows PowerShell 使って、「Get-OfficeWebAppsFarm 」を実行します。構成を変更する場合、たとえばInternalURLを変更したい場合は、「Set-OfficeWebAppsFarm -internalUrl "変更後のURL"」を実行します。また、クリップアートの利用を有効にする場合は「Set-OfficeWebAppsFarm -clipartenabled:$true」または「Set-OfficeWebAppsFarm -clipartenabled」を実行します。構成変更後は IIS を再起動する必要があります。

《Office Web Apps 2013 に関する PowerShell コマンドのリファレンス》

http://technet.microsoft.com/en-us/library/ee890080.aspx

《Technet 上の参考資料》 Office web Apps サーバーへの接続解除方法など掲載されていますので、必見です。

http://technet.microsoft.com/en-us/library/ff431687.aspx

 

トラックバック

このページのトラックバックURL: http://bb.lekumo.jp/t/trackback/718613/34255575

Office Web Apps Server 2013 と SSLを参照しているブログ:

コメント