Hitachi

JP1 Version 12 JP1/Network Node Manager i セットアップガイド

10.3.2 CA 署名証明書の生成

注意

NNMi 11-50以降のバージョンでは,証明書を保存するためにPublic Key Cryptography Standards (PKCS) #12リポジトリが導入されています。NNMi 11-50以降の新しいインスタンスをシステムにインストールすると,新しいPKCS #12ファイルベースの証明書管理方法を利用できます。以前のバージョンのNNMiからアップグレードした環境では,引き続きJKSリポジトリが証明書の格納に使用されます。

アップグレードした環境で,PKCS #12リポジトリに移行するには,「10.2 アップグレードされたNNMi環境で新しいキーストアーを使用するための設定」の手順に従います。

CA 署名証明書を取得してインストールするには,次の手順を実行します。

  1. 自己署名証明書を生成します。詳細については,「10.3.1 自己署名証明書の生成」を参照してください。

  2. 次のコマンドを実行して,CSR(証明書署名要求)ファイルを作成します。

    • Windowsの場合:
      %NnmInstallDir%bin\nnmkeytool.ovpl -keystore nnm-key.p12 -certreq -storetype PKCS12 -storepass nnmkeypass -alias <alias_name> -file CERTREQFILE
    • Linuxの場合:
      $NnmInstallDir/bin/nnmkeytool.ovpl -keystore nnm-key.p12 -certreq -storetype PKCS12 -storepass nnmkeypass -alias <alias_name> -file CERTREQFILE
    メモ

    • 上記のコマンドでは,<alias_name>は証明書の生成時に指定したエイリアスです。

    • CSRファイルの内容を確認するには,次のコマンドを実行します。

      • Windowsの場合:

        %NnmInstallDir%bin\nnmkeytool.ovpl -printcertreq -file CERTREQFILE -storetype PKCS12

      • Linuxの場合:

        $NnmInstallDir/bin/nnmkeytool.ovpl -printcertreq -file CERTREQFILE -storetype PKCS12

  3. CA 署名機関に CSR を送信します(CA 署名機関が証明書ファイルに署名して返します)。各種の CA 証明書についての詳細は,「(1) CA 署名証明書のタイプ」を参照してください。

    CA署名機関から,次のどちらかが返されます。

    • 単一の署名付きサーバー証明書ファイル(このセクションではmyserver.crtファイル)。サーバー証明書(CA署名NNMi証明書),1つ以上の中間CA証明書,およびルートCA証明書を含む単一のファイル。この単一のファイル内のすべての証明書が証明書チェーンを形成します。

    • 次の一対のファイル。一方が署名付きサーバー証明書ファイル(このセクションではmyserver.crtファイル)で,もう一方(myca.crtファイル)にCA証明書が含まれています。myserver.crtファイルには,1つのサーバー証明書または証明書チェーンが含まれていますが,myca.crtファイル内にあるルートCA証明書は含まれていません。

    メモ

    CAから返される証明書のフォームがこれと異なる場合は,証明書チェーンおよびルートCA証明書を取得する方法の詳細をCA提供者に問い合わせてください。なお,サポートしている証明書の形式は PEM (Privacy Enhanced Mail) 形式のみです。PEM 形式の証明書を入手してください。

  4. 証明書ファイルを用意します。

    証明書チェーンをキーストアーファイルにインポートし,ルートCA証明書をトラストストアーファイルにインポートしてください。

    • 手順3.で単一のファイルを受け取った場合

      そのファイル内のすべてのルートCA証明書を別のmyca.crtファイルにコピーします。

    • 手順3.で一対のファイルを受け取った場合

      myca.crt(ルートCA証明書)ファイルの内容をmyserver.crtファイルの末尾に追加します。また,不要な中間証明書があればそれらをmyca.crtファイルからすべて削除します。これにより,完全な証明書チェーンを含んでいる1つのファイルmyserver.crtファイルと,ルートCA証明書を含んでいる1つのファイルmyca.crtファイルが生成されます。

  5. これらの証明書が記録されているファイルを NNMi 管理サーバーの任意の場所にコピーします。

    この例では,次の場所にファイルをコピーします。

    • Windowsの場合:%NnmDataDir%shared\nnm\certificates

    • Linuxの場合:$NnmDataDir/shared/nnm/certificates

  6. キーストアーおよびトラストストアーファイルの存在する NNMi 管理サーバー上のディレクトリに移動します。

    • Windowsの場合:%NnmDataDir%shared\nnm\certificates

    • Linuxの場合:$NnmDataDir/shared/nnm/certificates

  7. 次のコマンドを実行して,証明書をキーストアーファイルにインポートします。

    • Windowsの場合:
      %NnmInstallDir%bin\nnmkeytool.ovpl -importcert -trustcacerts -keystore nnm-key.p12 -storetype PKCS12 -storepass nnmkeypass -alias <alias_name> -file <path_to_myserver.crt>
    • Linuxの場合:
      $NnmInstallDir/bin/nnmkeytool.ovpl -importcert -trustcacerts -keystore nnm-key.p12 -storetype PKCS12 -storepass nnmkeypass -alias <alias_name> -file <path_to_myserver.crt>
    メモ

    上記のコマンドで,

    • <path_to_myserver.crt>は,CA署名サーバー証明書を保存した場所への絶対パスです。
    • <alias_name>は,証明書の生成時に指定したエイリアスです。

  8. 証明書の信頼を確認するメッセージが表示されたら,yを入力します。

    証明書をキーストアにインポートするときの出力例

    このコマンドによる出力形式は次のとおりです。

    Owner:CN=NNMi_server.example.com
Issuer:CN=NNMi_server.example.com
Serial number:494440748e5
Valid from:Tue Oct 28 10:16:21 MST 2008 until:Thu Oct 04 11:16:21 MDT 2108
Certificate fingerprints:
MD5:29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
SHA1:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03
Trust this certificate?[no]:y
Certificate was added to keystore

  9. 次のコマンドを実行して,ルート証明書をトラストストアーファイルにインポートします。

    • Windowsの場合:
      %NnmInstallDir%bin\nnmkeytool.ovpl -import -alias <alias_name> -storetype PKCS12 -keystore nnm-trust.p12 -file <path_to_myca.crt> -storepass ovpass
    • Linuxの場合:
      $NnmInstallDir/bin/nnmkeytool.ovpl -import -alias <alias_name> -storetype PKCS12 -keystore nnm-trust.p12 -file <path_to_myca.crt> -storepass ovpass
    メモ
    上記のコマンドで,

    • <path_to_myca.crt>は,ルート証明書を保存した場所の絶対パスです。

    • <alias_name>は,証明書の生成時に指定したエイリアスです。

  10. トラストストアーの内容を確認します。

    • Windowsの場合:
      %NnmInstallDir%bin\nnmkeytool.ovpl -list -keystore nnm-trust.p12 -storetype PKCS12 -storepass ovpass
    • Linuxの場合:
      $NnmInstallDir/bin/nnmkeytool.ovpl -list -keystore nnm-trust.p12 -storetype PKCS12 -storepass ovpass

    トラストストアーの出力例

    トラストストアーの出力形式は次のとおりです。

    Keystore type: PKCS12
Keystore provider:BCFIPS
Your keystore contains 1 entry
nnmi_ldap, Nov 14, 2008, trustedCertEntry,
Certificate fingerprint (MD5):29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
    ヒント

    トラストストアーには複数の証明書を含めることができます。

〈この項の構成〉

(1) CA 署名証明書のタイプ

[図データ]

メモ

CA によって証明書が別のフォームで返される場合は,証明書チェーンとルート CA 証明書を取得する方法について,CA 提供者に問い合わせてください。

認証機関(CA)からは次のどちらかが提供されます。

NNMi に新しい証明書を設定するには,証明書チェーンをnnm-key.p12ファイルにインポートし,ルート CA 証明書をnnm-trust.p12ファイルにインポートする必要があります。サーバー証明書をnnm-key.p12ファイルにインポートする場合はmyserver.crtファイルを使用し,CA 証明書をnnm-trust.p12ファイルにインポートする場合はmyca.crtファイルを使用します。

メモ

CA によって証明書が別のフォームで返される場合は,別個の証明書チェーンとルート CA 証明書を取得する方法について, CA 提供者に問い合わせてください。

完全な証明書チェーンを含んでいる 1 つのファイルで提供された場合,そのファイルからルート CA 証明書フォームをmyca.crtファイルにコピーします。myca.crtファイルを使用してnnm-trust.p12ファイルへインポートすると,NNMi が証明書を発行した CA を信頼するようになります。

2 つのファイルで提供された場合,myca.crtファイルの内容をmyserver.crtファイルの末尾に追加します(ファイルに含まれていない場合)。また,余分な中間証明書がある場合は,それらをmyca.crtファイルからすべて削除します。これにより,次のファイルが生成されます。

  • myserver.crt(完全な証明書チェーンを含んでいる)

  • myca.crt(ルート CA 証明書を含んでいる)

メモ

CA だけを使用している場合,一般にルート CA 証明書がnnm-trust.p12ファイルに追加されます。中間 CA またはサーバー証明書を nnm-trust.p12ファイルに追加すると,それらの証明書は明示的に信頼済みとなり,取り消しなどの追加情報についてのチェックはされません。 CA が要求する場合には,追加の証明書だけをnnm-trust.p12ファイルに追加してください。

CA 署名機関から受け取るファイルの例を次に示します。

独立サーバーで,複数の CA 証明書ファイルがある場合

-----BEGIN CERTIFICATE-----
Sample/AVQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3JseGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw
................................................................
................................................................
TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNbpSo6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt==
-----END CERTIFICATE-----

結合サーバーで,1つのファイルに複数のCA証明書がある場合

-----BEGIN CERTIFICATE-----
Sample1/VQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3JseGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw
................................................................
................................................................
TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNbpSo6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Sample2/Gh0dHA6Ly9jb3JwMWRjc2cyLnNnLmludC5wc2FnbG9iYWwuY29tL0NlcRaOCApwwggKYMB0GA1UdDgQWBBSqaWZzCRcpvJWOFPZ/Be9b+QSPyDAfBgNVHSMC
................................................................
................................................................
Wp5Lz1ZJAOu1VHbPVdQnXnlBkx7V65niLoaT90Eqd6laliVlJHj7GBriJ90uvVGuBQagggEChoG9bGRhcDovLy9DTj1jb3JwMWRjc2cyL==
-----END CERTIFICATE-----

ページの先頭へ

© Copyright 2009-2021 Micro Focus or one of its affiliates.

All Rights Reserved. Copyright (C) 2019, 2021, Hitachi, Ltd.

This software and documentation are based in part on software and documentation under license from Micro Focus or one of its affiliates.