Helix Coreサーバユーザーガイド (2019.1)

SSL暗号化接続

現在のインストール環境にSSL接続が必要な場合は、P4PORTを必ずssl:hostnameportという形式で設定してください。SSL接続が有効化されているHelixサーバでプレーンテキストによる通信を行おうとすると、次のエラーメッセージが表示されます。

クライアントの接続に失敗しました。サーバはSSLを使用しています。
クライアントで、SSLプロトコルのプレフィックスをP4PORTに追加する必要があります。

P4PORTssl:hostname:portという形式で設定し、サーバへの再接続を試みてください。

SSL接続が有効化されたサーバへの暗号化接続を初めて確立するときに、サーバのフィンガープリントを検証するように求められます。

The authenticity of '10.0.0.2:1818' can't be established,
this may be your first attempt to connect to this P4PORT.
The fingerprint for the key sent to your client is
CA:BE:5B:77:14:1B:2E:97:F0:5F:31:6E:33:6F:0E:1A:E9:DA:EF:E2

管理者は、表示されたフィンガープリントが正しいかどうかを確認することができます。フィンガープリントが正しい場合にのみ、p4 trustコマンドを使用してそのフィンガープリントを自分のP4TRUSTファイルに追加します。P4TRUSTが未設定である場合、このファイルはユーザのホームディレクトリ内の.p4trustであると想定されます。

$ p4 trust
The fingerprint of the server of your P4PORT setting
'ssl:example.com:1818' (10.0.0.2:1818) is not known.
That fingerprint is
CA:BE:5B:77:14:1B:2E:97:F0:5F:31:6E:33:6F:0E:1A:E9:DA:EF:E2
Are you sure you want to establish trust (yes/no)?
Added trust for P4PORT 'ssl:example.com:1818' (10.0.0.2:1818)

フィンガープリントが正しい場合は、yesと入力してこのサーバを信頼します。フィンガープリントをコマンドラインからtrustファイルに直接インストールすることもできます。次のコマンドを実行します。

$ p4 trust -p ssl:hostname:port -i fingerprint

ここでssl:hostname:portは現在のP4PORTの設定、fingerprintは管理者が検証したフィンガープリントです。

これ以降は、example.com:1818のサーバから報告されるフィンガープリントが、P4TRUSTファイル内に記録されたフィンガープリントと同じである限り、ssl:example.com:1818へのSSL接続が信頼されます。

Helixサーバから報告されたフィンガープリントが、信頼済みのフィンガープリントと異なる場合は、次のエラーメッセージが表示されます。

******* WARNING P4PORT IDENTIFICATION HAS CHANGED! *******
It is possible that someone is intercepting your connection
to the Perforce P4PORT '10.0.50.39:1667'
If this is not a scheduled key change, then you should contact
your Perforce administrator.
The fingerprint for the mismatched key sent to your client is
18:FC:4F:C3:2E:FA:7A:AE:BC:74:58:2F:FC:F5:87:7C:BE:C0:2D:B5
To allow connection use the 'p4 trust' command.

このエラーメッセージは、P4TRUSTファイルに保存されているフィンガープリントに変更が加えられたものがサーバで使用されていること、およびサーバのSSL証明書に変更が加えられたことを示します。

フィンガープリントの変更に正当性がある場合でも(例えば、サーバのSSL証明書の有効期間を管理者が制御しており、証明書が期限切れになった場合など)、セキュリティ上のリスクがあると通知されることがあります。

警告

Helixサーバ管理者からサーバのキーと証明書のペアを変更したという連絡がないにもかかわらず、このエラーメッセージが表示された場合は、報告されたフィンガープリントが正しいかどうかをユーザが個別に検証する必要があります。

新しいフィンガープリントの正確さを個別に(社内のイントラネットサイトで確認するか、個人的に管理者に問い合わせるなど、帯域外の手段で)確認できない場合は、変更されたフィンガープリントを信頼しないでください。

このセクションも参照してください。