8.2 認証機関証明書を生成する
CA(認証機関)を使用する場合は,次の手順でCA証明書を生成します。
- 参考
-
NNMiでCAを使用する場合は,RSAアルゴリズムを使用して証明書に署名します。DSAアルゴリズムはサポートされていません。
-
nnm.keystoreおよびnnm.truststoreファイルが存在するNNMi管理サーバーのディレクトリに移動する。
-
Windows:%NNM_DATA%\shared\nnm\certificates
-
UNIX:$NNM_DATA/shared/nnm/certificates
-
-
nnm.keystoreファイルのバックアップコピーを保存する。
-
システムからプライベートキーを生成する。このプライベートキーを生成するには,keytoolコマンドを使用する。
a 次のコマンドを実行します。
- Windows
-
%NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe \
-genkeypair -validity 36500 -keyalg rsa -keystore \
nnm.keystore -storepass nnmkeypass \
-keypass nnmkeypass -keysize 2048 -alias \
myserver.mydomain
- UNIX
-
$NnmInstallDir/nonOV/jdk/nnm/bin/keytool \
-genkeypair -validity 36500 -keyalg rsa -keystore \
nnm.keystore -storepass nnmkeypass \
-keypass nnmkeypass -keysize 2048 -alias \
myserver.mydomain
- (凡例)
-
行の最後の\は,行が続いていることを示します。
- 参考
-
-
別名(この例ではmyserver.mydomain)は,この新規作成キーを識別する名前です。別名は任意の文字列にできますが,myserver.mydomain別名の変数として,ご使用のシステムのFQDN(完全修飾ドメイン名)を使用するようお勧めします。
-
Linuxオペレーティングシステムには,この手順で使用されるkeytoolコマンドまたはコマンドオプションと互換性のないkeytoolコマンドがあります。
-
b 必要な情報を入力します。
- 注意事項
-
姓名の入力を求められたら,システムのFQDN(完全修飾ドメイン名)を入力してください。
-
次のコマンドを実行してCSR(証明書署名要求)ファイルを作成する。
- Windows
-
%NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe \
-keystore nnm.keystore -certreq -storepass nnmkeypass \
-alias myserver.mydomain -file CERTREQFILE
- UNIX
-
$NnmInstallDir/nonOV/jdk/nnm/bin/keytool -keystore \
nnm.keystore -certreq -storepass nnmkeypass -alias \
myserver.mydomain -file CERTREQFILE
- (凡例)
-
行の最後の\は,行が続いていることを示します。
- 参考
-
keytoolコマンドの詳細については,http://www.oracle.com/technetwork/java/index.htmlで「鍵と証明書の管理ツール」を検索してください。
-
CA署名機関にCSRを送信する。
次のどちらかが発行されます。
-
myserver.crtという名前の署名付き証明書
myserver.crtファイルには,サーバー証明書(ファイルに含まれている最上位の証明書)と,1つ以上のCA(認証機関)証明書の両方が含まれています。CA証明書を新しいファイルであるmyca.crtファイルにコピーします。サーバー証明書をnnm.keystoreファイルにインポートする場合はmyserver.crtファイルを使用し,CA証明書をnnm.truststoreファイルにインポートする場合はmyca.crtファイルを使用します。
-
myserver.crtとCA.crtという名前の2つのファイル
CA.crtファイルの内容をmyserver.crtファイルの最後に追加します。サーバー証明書をnnm.keystoreファイルにインポートする場合はmyserver.crtファイルを使用し,CA証明書をnnm.truststoreファイルにインポートする場合はmyca.crtファイルを使用します。
次に,CA署名機関から受け取るファイルの例を示します。
- 独立サーバーで,複数のCA証明書ファイルがある場合
-
-----BEGIN CERTIFICATE-----
Sample/AVQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3Js
eGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw
................................................................
................................................................ TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNb
pSo6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt==
-----END CERTIFICATE-----
- 結合サーバーで,1つのファイルに複数のCA証明書がある場合
-
-----BEGIN CERTIFICATE-----
Sample1/VQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3Js
eGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw
................................................................
................................................................ TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNbp
So6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Sample2/Gh0dHA6Ly9jb3JwMWRjc2cyLnNnLmludC5wc2FnbG9iYWwuY29tL0Nlc
RaOCApwwggKYMB0GA1UdDgQWBBSqaWZzCRcpvJWOFPZ/Be9b+QSPyDAfBgNVHSMC
................................................................
................................................................ Wp5Lz1ZJAOu1VHbPVdQnXnlBkx7V65niLoaT90Eqd6laliVlJHj7GBriJ90uvVGu
BQagggEChoG9bGRhcDovLy9DTj1jb3JwMWRjc2cyL==
-----END CERTIFICATE-----
-
-
これらの証明書が記録されているファイルをNNMi管理サーバーにコピーする。この例では,次の場所にファイルをコピーする。
-
Windows:%NNM_DATA%\shared\nnm\certificates
-
UNIX:$NNM_DATA/shared/nnm/certificates
-
前の手順で生成した証明書を使用して,自己署名証明書を置き換えます。
-
nnm.keystoreおよびnnm.truststoreファイルが存在するNNMi管理サーバーのディレクトリに移動する。
-
Windows:%NNM_DATA%\shared\nnm\certificates
-
UNIX:$NNM_DATA/shared/nnm/certificates
-
-
次のコマンドを実行して,サーバー証明書およびCA証明書をNNMiのnnm.keystoreファイルにインポートする。
- Windows
-
%NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe -importcert \
-trustcacerts -keystore nnm.keystore -storepass nnmkeypass \
-alias myserver.mydomain -file myserver.crt
- UNIX
-
$NnmInstallDir/nonOV/jdk/nnm/bin/keytool -importcert \
-trustcacerts -keystore nnm.keystore -storepass nnmkeypass \
-alias myserver.mydomain -file myserver.crt
- (凡例)
-
行の最後の\は,行が続いていることを示します。
- 参考
-
-storepassオプションを使用し,パスワードを入力する場合,キーストアプログラムはキーストアパスワードの入力を要求しません。-storepassオプションを使用しない場合は,キーストアパスワードの入力を求められたときにnnmkeypassと入力してください。
-
証明書の信頼を確認するメッセージが表示されたら,yと入力する。
証明書をキーストアにインポートするときの出力例
このコマンドによる出力形式は次のとおりです。
Owner: CN=NNMi_server.example.com Issuer: CN=NNMi_server.example.com Serial number: 494440748e5 Valid from: Tue Oct 28 10:16:21 MST 2008 until: Thu Oct 04 11:16:21 MDT 2108 Certificate fingerprints: MD5: 29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02 SHA1: C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03 Trust this certificate? [no]: y Certificate was added to keystore
-
次のコマンドを実行して,CA証明書をNNMiのnnm.truststoreファイルにインポートする。
- Windows
-
%NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe -import \
-alias myca -keystore nnm.truststore -file myca.crt
- UNIX
-
$NnmInstallDir/nonOV/jdk/nnm/bin/keytool -import -alias myca \
-keystore nnm.truststore -file myca.crt
- (凡例)
-
行の最後の\は,行が続いていることを示します。
-
トラストストアのパスワードの入力を求められたら,ovpassと入力する。
-
トラストストアの内容を確認する。
- Windows
-
%NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe -list \
-keystore nnm.truststore
- UNIX
-
$NnmInstallDir/nonOV/jdk/nnm/bin/keytool -list \
-keystore nnm.truststore
- (凡例)
-
行の最後の\は,行が続いていることを示します。
トラストストアのパスワードの入力を求められたら,ovpassと入力します。
Keystore type: jks Keystore provider: SUN Your keystore contains 1 entry nnmi_ldap, Nov 14, 2008, trustedCertEntry, Certificate fingerprint (MD5): 29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
-
myca.crtファイルに次の2つの証明書エントリがあるとする。
-----BEGIN CERTIFICATE----- IntermediateCert/lots of content : -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- RootCAcert/lots of content : -----END CERTIFICATE-----
手順4.から手順6.までで,最初の証明書がnnm.truststoreファイルにインポートされました。ほかの証明書をインポートするには,一度に1つずつ,nnm.truststoreファイルにインポートする必要があります。
例えば,この例の2つ目以降の証明書をインポートするには,次のようにします。
- a
-
2つ目の証明書エントリをmyca.crtから新しいファイルrootCa.crtにコピーします。
トラストストアは複数の証明書を含むことができます。
手順4.から手順6.までで,最初の証明書がmyca.crtファイルからインポートされます。myca.crtファイルに複数の証明書があり,複数のBEGIN CERTIFICATEとEND CERTIFICATEのブロックによって示されている場合,それらの証明書もnnm.truststoreファイルにインポートする必要があります。
- b
-
2つ目の証明書を個別にnnm.truststoreファイルにインポートします。
-
Windows
%NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe -import -alias \
myrootca -keystore nnm.truststore -file rootCA.crt
-
UNIX
$NnmInstallDir/nonOV/jdk/nnm/bin/keytool -import -alias \
myrootca -keystore nnm.truststore -file rootCA.crt
- (凡例)
-
行の最後の\は,行が続いていることを示します。
- c
-
nnm.truststoreファイルにインポートする必要がある追加の証明書のそれぞれについて,手順aから手順bまでを繰り返します。
-
次のファイルを編集する。
-
Windows:%NNM_CONF%\nnm\props\nms-local.properties
-
UNIX:$NNM_CONF/nnm/props/nms-local.properties
-
-
com.hp.ov.nms.ssl.KEY_ALIAS変数を,myserver.mydomainで使用した値に更新する。
忘れずに設定内容を保存してください。
-
次のコマンドを実行してNNMiを再起動する。
ovstop ovstart
-
構文https://<fully_qualified_domain_name>:<port_number>/nnm/を使用して,NNMiコンソールへのHTTPSアクセスをテストする。
ブラウザによってCAが信頼されると,NNMiコンソールへのHTTPS接続が信頼されます。