Spotfire 14.6 LTSにおける、Mods利用時の仕様変更について情報を整理いたします。
変更点概要:
- SpotfireコミュニティのMods利用時、署名検証のためのインターネット接続が不要になりました。(14.5以降)
- Mods署名者を信頼する際、ダウンロードされる中間証明書を制限するオプションが追加されました。(14.3以降)
動作確認環境
- Spotfire Server 14.6.2 LTS
- Spotfire application for Windows 14.6.2 LTS
- Spotfire Web Player 14.6.2 LTS
- Spotfire Automation Services 14.6.2 LTS
仕様変更点①、コミュニティMods署名用コードサイニング証明書の同梱
Spotfire 14.5以降のバージョンより、SpotfireコミュニティのMods署名に使用されているコードサイニング証明書が、Spotfire製品にあらかじめ同梱される仕様へと変更されております。
SpotfireコミュニティのModsは、以下のサイトからダウンロード可能です(※事前にアカウント登録が必要です)。
- Visualization Mod:https://community.spotfire.com/files/category/7-visualization-mods/
- Action Mod:https://community.spotfire.com/files/category/20-actions/
この仕様変更により、SpotfireコミュニティのMods利用時における署名検証が、完全にSpotfire製品内部で完結する形となります。したがって、中間証明書の取得や証明書の失効検証(CRL/OCSP等の確認)のために、Spotfire製品(Spotfire application for Windows、Web PlayerやAutomation Servicesサーバー等)がインターネットへ接続することはございません。
なお、Spotfire製品に同梱されているコードサイニング証明書は仕様として固定されております。そのため、ユーザー側で追加、変更、または削除することはできませんのでご留意ください。
SpotfireコミュニティのMods署名の詳細情報には、以下のメッセージが表示されます。
次のルート証明書で検証済み: N/A – 固定された証明書によって検証済み例:
この仕様変更に伴い、Spotfire製品(サーバーおよびクライアント)がインターネットへ接続できない環境の場合、以下の設定変更を1箇所実施するだけで、SpotfireコミュニティのModsを制限なく信頼・利用できるようになります。
config.bat set-config-prop -n "security.code-trust.validate-uploaded-cert" -v "false"変更手順については、別紙「Spotfire Server設定変更手順」内の「Spotfire Server設定変更手順(コマンドライン使用)」の項をご参照の上、ステップ3にて上記のコマンドを実行してください。
本設定の変更により、署名者を信頼する際にコードサイニング証明書の検証が行われず、確実に信頼することが可能です。
仕様変更点②、中間証明書ダウンロード可否の制御
Spotfire バージョン14.3以降より、署名者の信頼時に実行されるコードサイニング証明書検証において、中間証明書のダウンロード可否を制御する機能が追加されています。
注意点として、「仕様変更点①」部分の記載通りに設定「security.code-trust.validate-uploaded-cert」を「false」に変更した場合は、署名者の信頼時のコードサイニング証明書の検証自体が無効化されるため、本仕様変更で導入された「中間証明書ダウンロード可否の制御」は適用されません。
| 設定項目 | 説明 |
|---|---|
| security.code-trust.use-only-allowed-issuers | 旧環境からバージョン14.3以降へアップグレードした場合、デフォルト値は「false」に設定され、すべてのダウンロードが許可されます(従来と同様の挙動となります)。 一方、バージョン14.3以降の環境を新規構築した場合は、デフォルト値が「true」となり、下記の設定項目で許可したURLのみがダウンロード可能となります。 |
| security.code-trust.allowed-issuers | 証明書のダウンロードを許可するURLを指定します(複数指定可能)。 上記の設定項目が「false」に指定されている場合は、こちらの設定は無視されます。 |
上記の各種設定項目を変更する際は、別紙「Spotfire Server設定変更手順」内の「Spotfire Server設定変更手順(コマンドライン使用)」の項をご参照の上、ステップ3にて以下を参考に設定変更用のコマンドを実行してください。
・すべてのダウンロードを許可(従来の動作と同様)する場合は、以下のコマンドを実行してください。
config.bat set-config-prop -n "security.code-trust.use-only-allowed-issuers" -v false・特定のURLのみダウンロードを許可する場合は、以下に示す2つのコマンドを順番に実行してください。
config.bat set-config-prop -n "security.code-trust.use-only-allowed-issuers" -v true
config.bat set-config-list-prop -n "security.code-trust.allowed-issuers" -i issuer -VfirstURL -VsecondURL -VthirdURL引数「-Vxxx」を1つ、または複数回指定することにより、許可するURLを登録します。
注意事項として、「set-config-list-prop」コマンドは既存の設定を上書きします。そのため、URLを追加したい場合は、すでに設定されているURLも含めて改めて引数で指定してください。
SpotfireコミュニティのModsでは、以下に示す2種類の中間証明書が使用されています。これら2つのURLのダウンロードを許可することにより、該当Modsの署名者を正常に信頼できるようになります。
- http://cacerts.digicert.com/DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crt
- http://cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt
中間証明書のURLは、以下の画面を参考に確認できます。
なお、署名者を信頼する際にトラブル等が発生している場合には、以下の記事を参照ください。
参考資料
- Mods certificate verification in Spotfire: Pinned vs. Windows Store Certificates.
- Configuring allowed issuers for code trust