13.11.2 通信暗号化機能に必要な証明書
通信を暗号化する必要があるマネージャーホストは,マネージャーホストごとに秘密鍵,およびサーバ証明書が必要です。異なるホスト間で同一のサーバ証明書を共有することはできません。ただし,ワイルドカード証明書を使用した場合は,異なるホスト間で同一のサーバ証明書を共有することができます。ワイルドカード証明書については「(1) ワイルドカード証明書について」を参照してください。
サーバ証明書に対応するルート証明書は,各マネージャーホストで異なる場合でも問題ありません。ただし,ルート証明書が同一であればマネージャーホスト,ビューアーホストに配置するルート証明書は1つになり,操作手順が容易になります。
通信を暗号化する必要がないマネージャーホストは,秘密鍵,およびサーバ証明書の作成は不要です。通信を暗号化するマネージャーホストと暗号化しないマネージャーホストが混在する構成については「13.11.6(2) 複数のマネージャーホストに接続するシステム構成」を参照してください。
通信暗号化機能の運用後にマネージャーホストのホスト名を変更し,変更後のホスト名がサーバ証明書のCNおよびSANと異なる場合は,サーバ証明書を作成し直してください。
サーバ証明書を作成し直す場合の手順については,マニュアル「JP1/Integrated Management 2 - Manager 構築ガイド」の「9.4.2 設定済みの証明書を変更する」を参照してください。
(1) ワイルドカード証明書について
通信暗号化機能では,ワイルドカード証明書に対応します。
ワイルドカード証明書とは,サーバ証明書のCNやSANにワイルドカード「*(アスタリスク)」を使用することで,1枚のサーバ証明書で複数のサブドメイン(ホスト)に対応できる証明書です。
サーバ証明書のCNやSANのホスト名部分の先頭が「*」になっているサーバ証明書の場合,同一ドメインであれば,ホスト名の異なる複数のホストで単一のサーバ証明書を使用できます。「*」は,CNまたはSANの先頭(ホスト名部分)だけに使用でき,「*」のすぐ後ろには「.」が必要です。「*」を先頭以外に使用したり,正規表現のように「a*」(aから始まるホスト名)を指定したりできません。トップレベルドメイン,および汎用ドメイン内のホスト名にはワイルドカード「*」を使用できません。ワイルドカード証明書に指定できるCNおよびSANの指定値について,表で示します。
|
項番 |
CNおよびSANの指定値 |
JP1/IMのサポート可否 |
|---|---|---|
|
1 |
*.example.com |
○ |
|
2 |
**.example.com |
× |
|
3 |
t*.example.com |
× |
|
4 |
*t.example.com |
× |
|
5 |
test.*.com |
× |
|
6 |
*.com |
× |
|
7 |
*.co.jp |
× |
|
8 |
*.168.0.2 |
× |
- (凡例)
-
○:サポートします。
×:サポートしません。
(2) 自己署名証明書について
通信暗号化機能では,認証局から署名を受けた証明書だけでなく,自己署名証明書も使用できます。自己署名証明書を使用する場合は,自己署名証明書と,公的な認証局の証明書を使用した場合の特性の違いを理解した上で,運用してください。
(3) 証明書のメンテナンスについて
通信暗号化機能では,証明書を検証し,証明書が有効期間内であるかをチェックします。有効期限が過ぎる前に証明書を入れ替えるなど,メンテナンスをしてください。手順については,マニュアル「JP1/Integrated Management 2 - Manager 運用ガイド」の「1.6.1 サーバ証明書の有効期限の管理」を参照してください。
証明書の有効期限については,「13.11.4 サーバ証明書の検証」,および「13.11.5 ルート証明書の検証」を参照してください。