コアロールにHTTPSを強制する
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
|
適用対象 |
すべての 主要な役割 |
|
Sitecoreインストールフレームワーク |
HTTPSは、Content Deliveryを除くすべてのロールにデフォルトで適用されます。 |
|
Azure ツールキット |
HTTPSは、デフォルトではContent Managementロールにのみ適用されます。 |
HTTPを使用しても、データの傍受や改ざんは保護されません。したがって、コンテンツ管理環境とコンテンツ配信環境の両方でHTTPSを使用することをお勧めします。
Sitecoreには、設定済みのHTTPSバインディングは含まれていません。
Sitecore環境にHTTPSを適用するには:
-
認証局からのX.509証明書があることを確認します。
-
インターネット インフォメーション サービス (IIS) マネージャーで、Core役割サイトを右クリックし、Edit bindingsをクリックしてSite Bindingsウィンドウを開きます。
-
「 Add 」をクリックして、Add Site Bindingウィンドウを開きます。
-
バインドの種類としてhttpsをクリックします。
-
Host nameフィールドにWebサイトのドメインとトップレベルドメインを入力します。たとえば、sitecore.com.
-
SSL certificateメニューからX.509証明書を選択します。
-
「 OK 」をクリックしてAdd Site Bindingウィンドウを閉じ、「 Close 」をクリックしてSite Bindingsウィンドウを閉じます。
-
すべてのトラフィックがSSL/TLS経由で提供されるようにするには、Sitecore web.configファイルを開き、<system.web> セクションを編集して次の属性を含めます。
RequestResponse<system.web> <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" /> </system.web> -
AllowedCorsOriginsセクションでのみURLのprotocol+domain+port部分を指定するには、Config\Sitecore.IdentityServer.Host.xmlで{AllowedCorsOrigin}トークンを使用します。
RequestResponse<?xml version="1.0" encoding="utf-8"?> <Settings> <Sitecore> <IdentityServer> <Clients> <DefaultClient> ... <AllowedCorsOrigins> <AllowedCorsOriginsGroup1>https://host1|http://host1</AllowedCorsOriginsGroup1> <AllowedCorsOriginsGroup2>https://host2</AllowedCorsOriginsGroup2> <AllowedCorsOriginsGroup3>https://host3</AllowedCorsOriginsGroup3> </AllowedCorsOrigins> ...Sitecoreは、AllowedCorsOriginsリストで指定されたすべてのオリジンに対して許可される {AllowedCorsOrigin}トークンを使用して、RedirectUri*ノードとPostLogoutRedirectUri*ノードの値を拡張します。
この構成では、次のことを行います。
-
サイト全体でCookieが保護されていることを確認します。
-
クライアント側のスクリプトがCookieを読み取れないようにします。
-
追加の構成によってこれらの設定が上書きされるのを防ぎます。
IIS WebサイトへのHTTPSバインドの構成の詳細については、次のサイトを参照してください。