Hitachi

JP1 Version 10 JP1/Cm2/Network Node Manager i セットアップガイド

8.2 認証機関証明書を生成する

CA(認証機関)を使用する場合は,次の手順でCA証明書を生成します。

参考

NNMiでCAを使用する場合は,RSAアルゴリズムを使用して証明書に署名します。DSAアルゴリズムはサポートされていません。

  1. nnm.keystoreおよびnnm.truststoreファイルが存在するNNMi管理サーバーのディレクトリに移動する。

    • Windows:%NNM_DATA%\shared\nnm\certificates

    • UNIX:$NNM_DATA/shared/nnm/certificates

  2. nnm.keystoreファイルのバックアップコピーを保存する。

  3. システムからプライベートキーを生成する。このプライベートキーを生成するには,keytoolコマンドを使用する。

    a 次のコマンドを実行します。

    Windows

    %NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe \

    -genkeypair -validity 36500 -keyalg rsa -keystore \

    nnm.keystore -storepass nnmkeypass \

    -keypass nnmkeypass -keysize 2048 -alias \

    myserver.mydomain

    UNIX

    $NnmInstallDir/nonOV/jdk/nnm/bin/keytool \

    -genkeypair -validity 36500 -keyalg rsa -keystore \

    nnm.keystore -storepass nnmkeypass \

    -keypass nnmkeypass -keysize 2048 -alias \

    myserver.mydomain

    (凡例)

    行の最後の\は,行が続いていることを示します。

    参考

    • 別名(この例ではmyserver.mydomain)は,この新規作成キーを識別する名前です。別名は任意の文字列にできますが,myserver.mydomain別名の変数として,ご使用のシステムのFQDN(完全修飾ドメイン名)を使用するようお勧めします。

    • Linuxオペレーティングシステムには,この手順で使用されるkeytoolコマンドまたはコマンドオプションと互換性のないkeytoolコマンドがあります。

    b 必要な情報を入力します。

    注意事項

    姓名の入力を求められたら,システムのFQDN(完全修飾ドメイン名)を入力してください。

  4. 次のコマンドを実行してCSR(証明書署名要求)ファイルを作成する。

    Windows

    %NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe \

    -keystore nnm.keystore -certreq -storepass nnmkeypass \

    -alias myserver.mydomain -file CERTREQFILE

    UNIX

    $NnmInstallDir/nonOV/jdk/nnm/bin/keytool -keystore \

    nnm.keystore -certreq -storepass nnmkeypass -alias \

    myserver.mydomain -file CERTREQFILE

    (凡例)

    行の最後の\は,行が続いていることを示します。

    参考

    keytoolコマンドの詳細については,http://www.oracle.com/technetwork/java/index.htmlで「鍵と証明書の管理ツール」を検索してください。

  5. CA署名機関にCSRを送信する。

    次のどちらかが発行されます。

    • myserver.crtという名前の署名付き証明書

      myserver.crtファイルには,サーバー証明書(ファイルに含まれている最上位の証明書)と,1つ以上のCA(認証機関)証明書の両方が含まれています。CA証明書を新しいファイルであるmyca.crtファイルにコピーします。サーバー証明書をnnm.keystoreファイルにインポートする場合はmyserver.crtファイルを使用し,CA証明書をnnm.truststoreファイルにインポートする場合はmyca.crtファイルを使用します。

    • myserver.crtCA.crtという名前の2つのファイル

      CA.crtファイルの内容をmyserver.crtファイルの最後に追加します。サーバー証明書をnnm.keystoreファイルにインポートする場合はmyserver.crtファイルを使用し,CA証明書をnnm.truststoreファイルにインポートする場合はmyca.crtファイルを使用します。

    次に,CA署名機関から受け取るファイルの例を示します。

    独立サーバーで,複数のCA証明書ファイルがある場合

    -----BEGIN CERTIFICATE-----

    Sample/AVQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3Js

    eGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw

    ................................................................

    ................................................................ TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNb

    pSo6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt==

    -----END CERTIFICATE-----

    結合サーバーで,1つのファイルに複数のCA証明書がある場合

    -----BEGIN CERTIFICATE-----

    Sample1/VQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3Js

    eGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw

    ................................................................

    ................................................................ TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNbp

    So6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt==

    -----END CERTIFICATE-----

    -----BEGIN CERTIFICATE-----

    Sample2/Gh0dHA6Ly9jb3JwMWRjc2cyLnNnLmludC5wc2FnbG9iYWwuY29tL0Nlc

    RaOCApwwggKYMB0GA1UdDgQWBBSqaWZzCRcpvJWOFPZ/Be9b+QSPyDAfBgNVHSMC

    ................................................................

    ................................................................ Wp5Lz1ZJAOu1VHbPVdQnXnlBkx7V65niLoaT90Eqd6laliVlJHj7GBriJ90uvVGu

    BQagggEChoG9bGRhcDovLy9DTj1jb3JwMWRjc2cyL==

    -----END CERTIFICATE-----

  6. これらの証明書が記録されているファイルをNNMi管理サーバーにコピーする。この例では,次の場所にファイルをコピーする。

    • Windows:%NNM_DATA%\shared\nnm\certificates

    • UNIX:$NNM_DATA/shared/nnm/certificates

前の手順で生成した証明書を使用して,自己署名証明書を置き換えます。

  1. nnm.keystoreおよびnnm.truststoreファイルが存在するNNMi管理サーバーのディレクトリに移動する。

    • Windows:%NNM_DATA%\shared\nnm\certificates

    • UNIX:$NNM_DATA/shared/nnm/certificates

  2. 次のコマンドを実行して,サーバー証明書およびCA証明書をNNMiのnnm.keystoreファイルにインポートする。

    Windows

    %NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe -importcert \

    -trustcacerts -keystore nnm.keystore -storepass nnmkeypass \

    -alias myserver.mydomain -file myserver.crt

    UNIX

    $NnmInstallDir/nonOV/jdk/nnm/bin/keytool -importcert \

    -trustcacerts -keystore nnm.keystore -storepass nnmkeypass \

    -alias myserver.mydomain -file myserver.crt

    (凡例)

    行の最後の\は,行が続いていることを示します。

    参考

    -storepassオプションを使用し,パスワードを入力する場合,キーストアプログラムはキーストアパスワードの入力を要求しません。-storepassオプションを使用しない場合は,キーストアパスワードの入力を求められたときにnnmkeypassと入力してください。

  3. 証明書の信頼を確認するメッセージが表示されたら,yと入力する。

    証明書をキーストアにインポートするときの出力例

    このコマンドによる出力形式は次のとおりです。

    Owner: CN=NNMi_server.example.com
Issuer: CN=NNMi_server.example.com
Serial number: 494440748e5
Valid from: Tue Oct 28 10:16:21 MST 2008 until: Thu Oct 04 11:16:21 MDT 2108
Certificate fingerprints:
MD5: 29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
SHA1: C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03
Trust this certificate? [no]: y
Certificate was added to keystore

  4. 次のコマンドを実行して,CA証明書をNNMiのnnm.truststoreファイルにインポートする。

    Windows

    %NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe -import \

    -alias myca -keystore nnm.truststore -file myca.crt

    UNIX

    $NnmInstallDir/nonOV/jdk/nnm/bin/keytool -import -alias myca \

    -keystore nnm.truststore -file myca.crt

    (凡例)

    行の最後の\は,行が続いていることを示します。

  5. トラストストアのパスワードの入力を求められたら,ovpassと入力する。

  6. トラストストアの内容を確認する。

    Windows

    %NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe -list \

    -keystore nnm.truststore

    UNIX

    $NnmInstallDir/nonOV/jdk/nnm/bin/keytool -list \

    -keystore nnm.truststore

    (凡例)

    行の最後の\は,行が続いていることを示します。

    トラストストアのパスワードの入力を求められたら,ovpassと入力します。

    トラストストアの出力例

    トラストストアの出力形式は次のとおりです。トラストストアには複数の証明書を含めることができます。 

    Keystore type: jks
Keystore provider: SUN
Your keystore contains 1 entry
nnmi_ldap, Nov 14, 2008, trustedCertEntry,
Certificate fingerprint (MD5):
29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02

  7. myca.crtファイルに次の2つの証明書エントリがあるとする。 

    -----BEGIN CERTIFICATE-----
IntermediateCert/lots of content
      :
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
RootCAcert/lots of content
      :
-----END CERTIFICATE-----

    手順4.から手順6.までで,最初の証明書がnnm.truststoreファイルにインポートされました。ほかの証明書をインポートするには,一度に1つずつ,nnm.truststoreファイルにインポートする必要があります。

    例えば,この例の2つ目以降の証明書をインポートするには,次のようにします。

    a

    2つ目の証明書エントリをmyca.crtから新しいファイルrootCa.crtにコピーします。

    トラストストアは複数の証明書を含むことができます。

    手順4.から手順6.までで,最初の証明書がmyca.crtファイルからインポートされます。myca.crtファイルに複数の証明書があり,複数のBEGIN CERTIFICATEEND CERTIFICATEのブロックによって示されている場合,それらの証明書もnnm.truststoreファイルにインポートする必要があります。

    b

    2つ目の証明書を個別にnnm.truststoreファイルにインポートします。

    • Windows

      %NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe -import -alias \

      myrootca -keystore nnm.truststore -file rootCA.crt

    • UNIX

      $NnmInstallDir/nonOV/jdk/nnm/bin/keytool -import -alias \

      myrootca -keystore nnm.truststore -file rootCA.crt

    (凡例)

    行の最後の\は,行が続いていることを示します。

    c

    nnm.truststoreファイルにインポートする必要がある追加の証明書のそれぞれについて,手順aから手順bまでを繰り返します。

  8. 次のファイルを編集する。

    • Windows:%NNM_CONF%\nnm\props\nms-local.properties

    • UNIX:$NNM_CONF/nnm/props/nms-local.properties

  9. com.hp.ov.nms.ssl.KEY_ALIAS変数を,myserver.mydomainで使用した値に更新する。

    忘れずに設定内容を保存してください。

  10. 次のコマンドを実行してNNMiを再起動する。

    ovstop
ovstart

  11. 構文https://<fully_qualified_domain_name>:<port_number>/nnm/を使用して,NNMiコンソールへのHTTPSアクセスをテストする。

    ブラウザによってCAが信頼されると,NNMiコンソールへのHTTPS接続が信頼されます。

ページの先頭へ

他社商品名称に関する表示

All Rights Reserved. Copyright (C) 2012, 2014, Hitachi, Ltd.

Copyright (C) 2009 Hewlett-Packard Development Company, L.P.

This software and documentation are based in part on software and documentation under license from Hewlett-Packard Company.