ツイートシェアはてブ LINE Pocket

コマンドラインから TLS を構成する

このページの手順は、コマンドライン引数を使用して既存のインストール用に組み込み TLS を構成する方法を示しています。

コマンドラインを使用して、次の接続モードを切り替えることができます。

モード	説明
HTTP	デフォルトの HTTP モード。TLS は無効です。 HTTP モードは、テストインストール、または YouTrack への接続が SSL 終端のリバースプロキシサーバーを介してルーティングされる場合にのみ適しています。
HTTPS	安全な HTTPS モード。TLS が有効になっています。構成パラメーターを使用すると、次のファイル形式を使用してサーバー接続を保護できます。 JKS(英語) または PKCS#12(英語) 形式の秘密鍵 / 証明書データを含むキーストア。 PEM(英語) 形式の別個のファイルとしての秘密鍵、証明書、（オプションの）証明書チェーン。

モード

説明

HTTP

デフォルトの HTTP モード。TLS は無効です。

HTTP モードは、テストインストール、または YouTrack への接続が SSL 終端のリバースプロキシサーバーを介してルーティングされる場合にのみ適しています。

HTTPS

安全な HTTPS モード。TLS が有効になっています。

構成パラメーターを使用すると、次のファイル形式を使用してサーバー接続を保護できます。

JKS(英語) または PKCS#12(英語) 形式の秘密鍵 / 証明書データを含むキーストア。
PEM(英語) 形式の別個のファイルとしての秘密鍵、証明書、（オプションの）証明書チェーン。

モードを切り替えるには、YouTrack を停止し、configure コマンドを実行します。コマンドの各パラメーターに指定する値は、選択する構成を定義します。詳細な手順と各構成のプロパティの完全なリストについては、以下を参照してください。

HTTP モードに切り替える

プレーン HTTP モードで YouTrack を実行すると、Web ブラウザーとサーバー間の接続は SSL/TLS で保護されません。YouTrack は、ほとんどのサーバーが HTTPS 接続のみをサポートする HTTP/ 2 プロトコルを使用するように最適化されています。最適なパフォーマンスを得るには、プレーン HTTP の使用を強くお勧めします。

HTTPS モードから HTTP に切り替えるのが安全なケースの 1 つは、サーバー環境を変更して SSL 終了リバースプロキシを使用する場合です。この場合、YouTrack を切り替えて HTTP モードで実行します。組み込みの TLS を使用する代わりに、リバースプロキシを構成して、サーバートラフィックを保護し、HTTP/ 2 接続をサポートします。

HTTP モードに切り替えるには:

YouTrack サービスを停止します。
次のコマンドを入力してください。
このコマンドは、Linux および macOS 用にフォーマットされています。Windows 環境では、.sh を .bat に置き換え、バックスラッシュを使用します。
末尾のスラッシュと改行も削除する必要があります。例: <youtrack>\bin\youtrack.bat configure --listen-port=8080 --base-url...
<youtrack>/bin/youtrack.sh configure \ --listen-port=8080 \ --base-url=<new base URL> \ --secure-mode=disable
HTTP モードへの切り替えの結果としてサーバーのベース URL が変更された場合、--base-url=<new base URL> パラメーターを使用してこの値を設定します。
ベース URL を変更する場合は、インストールに統合されている各サービスに YouTrack を再登録する必要があります。これには、サードパーティの認証モジュール用の新しいクライアント ID とシークレット、VCS 用のアクセストークンの生成、サーバー統合の構築が含まれます。
このコマンドで使用されるパラメーターの詳細については、構成パラメーターを参照してください。
YouTrack サービスを開始します。

HTTPS モードに切り替える

configure コマンドを使用すると、HTTP モードから HTTPS モードに切り替えることができます。セキュア HTTPS モードを有効にするには、YouTrack に秘密鍵と証明書を提供する必要があります。秘密鍵と証明書は次のように提供できます。

JKS(英語) または PKCS#12(英語) 形式の秘密鍵 / 証明書データを含むキーストア。
PEM(英語) 形式の別個のファイルとしての秘密鍵、証明書、（オプションの）証明書チェーン。

開始する前に、安全なファイルを YouTrack サーバーが利用できる場所にコピーします。

configure コマンドは、これらのファイルタイプに固有のさまざまなプロパティをサポートしています。利用可能なファイルの種類に該当する手順に従ってください。

HTTPS をすでに構成していて、新しい証明書と秘密キーを YouTrack サーバーに単に適用したい場合は、これらの手順に従うこともできます。

SSL キーストアファイルを使用して HTTPS モードに切り替えるには:

YouTrack サービスを停止します。
次のコマンドを実行します。
このコマンドは、Linux および macOS 用にフォーマットされています。Windows 環境では、.sh を .bat に置き換え、バックスラッシュを使用します。
末尾のスラッシュと改行も削除する必要があります。例: <youtrack>\bin\youtrack.bat configure --listen-port=8080 --base-url...
<youtrack>/bin/youtrack.sh configure \ --listen-port=443 \ --base-url=<new base URL> \ --secure-mode=tls \ --tls-server-cert-keystore-file=<path-to-keystore> \ --tls-server-cert-keystore-password=<keystore password> \ --tls-server-cert-keystore-key-alias=<private key entry alias> \ [--tls-server-cert-keystore-key-password=<private key entry password>] \ --tls-redirect-from-http=<[true|false]> \ [--tls-redirect-from-http-listen-port=8080]
- HTTPS モードへの切り替えの結果としてサーバーのベース URL が変更された場合、--base-url=<new base URL> パラメーターを使用してこの値を設定します。
  ベース URL を変更する場合は、インストールに統合されている各サービスに YouTrack を再登録する必要があります。これには、サードパーティの認証モジュール用の新しいクライアント ID とシークレット、VCS 用のアクセストークンの生成、サーバー統合の構築が含まれます。
- HTTP モードから HTTPS モードに切り替える場合、リダイレクトリスンポートを指定できます。この非セキュアポートはすべての HTTP リクエストを受信し、セキュアリスンポートにリダイレクトします。これを行うには、tls-redirect-from-http=true を使用して、tls-redirect-from-http-listen-port=<your redirect port number> プロパティの値を指定します。
このコマンドで使用されるパラメーターの詳細については、構成パラメーターを参照してください。
YouTrack サービスを開始します。

秘密鍵と証明書を使用して HTTPS モードに切り替えるには:

YouTrack サービスを停止します。
次のコマンドを実行します。
このコマンドは、Linux および macOS 用にフォーマットされています。Windows 環境では、.sh を .bat に置き換え、バックスラッシュを使用します。
末尾のスラッシュと改行も削除する必要があります。例: <youtrack>\bin\youtrack.bat configure --listen-port=8080 --base-url...
<youtrack>bin/youtrack.sh configure \ --listen-port=443 \ --base-url=<new base URL> \ --secure-mode=tls \ --tls-server-cert-key-file=<path-to-private-key-file> \ --tls-server-cert-file=<path-to-certificate-file> \ [--tls-server-cert-chain-file=<path-to-certificate-chain-file>] \ --tls-redirect-from-http=<[true|false]> \ [--tls-redirect-from-http-listen-port=8080]
- HTTPS モードへの切り替えの結果としてサーバーのベース URL が変更された場合、--base-url=<new base URL> パラメーターを使用してこの値を設定します。
  ベース URL を変更する場合は、インストールに統合されている各サービスに YouTrack を再登録する必要があります。これには、サードパーティの認証モジュール用の新しいクライアント ID とシークレット、VCS 用のアクセストークンの生成、サーバー統合の構築が含まれます。
- 秘密鍵が暗号化されている場合、tls-server-cert-private-key-passphrase プロパティを追加して、鍵のパスフレーズを提供します。
- 証明書ファイルへの相対パスを定義する場合は、tls-server-cert-key-file、tls-server-cert-file、tls-server-cert-chain-file を使用します。追加の tls-server-cert-folder プロパティの値を、ディレクトリへの絶対パスで設定します。相対パスは、指定された絶対パスに対して解決されます。
- HTTP モードから HTTPS モードに切り替える場合、リダイレクトリスンポートを指定できます。この非セキュアポートはすべての HTTP リクエストを受信し、セキュアリスンポートにリダイレクトします。これを行うには、tls-redirect-from-http=true を使用して、tls-redirect-from-http-listen-port=<your redirect port number> プロパティの値を指定します。
このコマンドで使用されるパラメーターの詳細については、構成パラメーターを参照してください。
YouTrack サービスを開始します。

TLS サーバー証明書を更新する

Hub サーバーを保護する TLS 証明書の有効期限が近づいているか、有効期限が過ぎている場合は、コマンドラインから直接更新できます。

現在の TLS 証明書がすでに構成されている場合は、コマンドで証明書ファイルを指定するだけで済みます。他のすべてのパラメーターは安全に無視できます。

秘密鍵と PEM 形式の証明書を使用して証明書を更新するには:

YouTrack を停止。
次のコマンドを実行します。
<youtrack_home>/bin/youtrack.sh configure --tls-server-cert-key-file=<path-to-private-key-file> --tls-server-cert-file=<path-to-certificate-file> [--tls-server-cert-chain-file=<path-to-certificate-chain-file>]
秘密鍵が暗号化されている場合は、tls-server-cert-private-key-passphrase プロパティを使用して、鍵のパスフレーズを指定します。
YouTrack を再起動します。

JKS または PKCS#12 形式で保存されている証明書を更新するには:

YouTrack を停止。
次のコマンドを実行します。
<youtrack_home>/bin/youtrack.sh configure --tls-server-cert-keystore-file=<path-to-keystore> --tls-server-cert-keystore-password=<keystore password> --tls-server-cert-keystore-key-alias=<private key entry alias> [--tls-server-cert-keystore-key-password=<private key entry password>]
YouTrack を再起動します。

構成パラメーター

次の表に、組み込み TLS の構成に使用できるパラメーターのリストを示します。

プロパティ	値	説明
secure-mode	`disable` \| `tls`	YouTrack サーバーに適用される接続モード。このプロパティは次の値をサポートします。 `disable` — TLS は無効になっています。これは、このプロパティのデフォルト値です。 `tls` — TLS が有効になっています。
listen-port		YouTrack が HTTP トラフィックをリッスンするポート。
base-url		エンドユーザーが YouTrack インストールへのアクセスを要求する URL。例: `https://youtrack.mydomain.com` `secure-mode` プロパティの値が `tls` である場合、または YouTrack インストールが SSL 終了リバースプロキシサーバーの背後で保護されている場合、URL は `https` で始まる必要があります。それ以外の場合（プレーン HTTP を使用して YouTrack を実行する場合）、URL は `http` で始まります。
tls-redirect-from-http	`true` \| `false`	true に設定すると、追加のポート（プロパティ `tls-redirect-from-http-listen-port` で定義）が暗号化されていない HTTP トラフィックを受け入れ、プロパティ `listen-port` で定義された安全なポートにリダイレクトできるようになります。デフォルト値は `false` です。
tls-redirect-from-http-listen-port		追加のポートを指定して、暗号化されていない HTTP トラフィックを受け入れ、プロパティ `listen-port` で定義された安全なポートにリダイレクトします（このポートを有効にするには、プロパティ `tls-redirect-from-http` を `true` に設定します）。
tls-server-cert-folder		存在する場合、他のコマンドラインパラメーターで定義された相対パスを解決するための（オプションの）絶対パス他のプロパティで指定されたサーバー証明書ファイルへの相対パスは、このディレクトリに対して解決されます。相対パスを参照できるプロパティは次のとおりです。 `tls-server-cert-key-file` `tls-server-cert-file` `tls-server-cert-chain-file` `tls-server-cert-keystore-file`
tls-server-cert-keystore-file		JKS(英語) または PKCS#12(英語) 形式のキーストアファイルの場所。
tls-server-cert-keystore-password		キーストアの整合性パスワード
tls-server-cert-keystore-key-alias		サーバー証明書と秘密鍵を含むキーストアのエントリのエイリアス。キーストアが PKCS#12(英語) 形式を使用する場合、次のガイドラインに従ってください。キーストアに `friendlyName` として保存されている値を使用します。秘密鍵と証明書のペアが生成中に `friendlyName` でマークされなかった場合、このパラメーターを使用して、キーストア内のこのペアの連続番号を提供します。1 つの証明書と秘密鍵のペアのみを含むキーストアの場合、値を `1` に設定します。
tls-server-cert-keystore-key-password		キーストア内のサーバーの秘密鍵エントリを保護するパスワード。
tls-server-cert-key-file		PEM(英語) 形式で保存された秘密鍵（PKCS#1(英語) または PKCS#8(英語)）ファイルの場所。
tls-server-cert-file		PEM(英語) 形式で保存された証明書ファイルの場所。
tls-server-cert-chain-file		PEM(英語) 形式で保存された、証明書チェーンを含むファイルの（オプションの）場所。
tls-server-cert-private-key-passphrase	文字列	暗号化された秘密鍵を使用する場合、このプロパティを使用して、暗号化に使用されたパスフレーズを提供します。PKCS#1(英語) および PKCS#8(英語) 形式の両方でサポートされています。

最終更新日: 2024 年 6 月 19 日

YouTrack サーバー 2024.2 ヘルプ