10.3.2 CA 署名証明書の生成
- 注意
-
NNMi 11-50以降のバージョンでは,証明書を保存するためにPublic Key Cryptography Standards (PKCS) #12リポジトリが導入されています。NNMi 11-50以降の新しいインスタンスをシステムにインストールすると,新しいPKCS #12ファイルベースの証明書管理方法を利用できます。以前のバージョンのNNMiからアップグレードした環境では,引き続きJKSリポジトリが証明書の格納に使用されます。
アップグレードした環境で,PKCS #12リポジトリに移行するには,「10.2 アップグレードされたNNMi環境で新しいキーストアーを使用するための設定」の手順に従います。
CA 署名証明書を取得してインストールするには,次の手順を実行します。
-
自己署名証明書を生成します。詳細については,「10.3.1 自己署名証明書の生成」を参照してください。
-
次のコマンドを実行して,CSR(証明書署名要求)ファイルを作成します。
-
Windowsの場合:
%NnmInstallDir%bin\nnmkeytool.ovpl -keystore nnm-key.p12 -certreq -storetype PKCS12 -storepass nnmkeypass -alias <alias_name> -ext SAN=DNS:<FQDN> -file CERTREQFILE
-
Linuxの場合:
$NnmInstallDir/bin/nnmkeytool.ovpl -keystore nnm-key.p12 -certreq -storetype PKCS12 -storepass nnmkeypass -alias <alias_name> -ext SAN=DNS:<FQDN> -file CERTREQFILE
- メモ
-
-
上記のコマンドでは,<alias_name>,<FQDN>は証明書の生成時に指定したエイリアス,およびシステムのFQDNです。
-
CSRファイルの内容を確認するには,次のコマンドを実行します。
-
Windowsの場合:
%NnmInstallDir%bin\nnmkeytool.ovpl -printcertreq -file CERTREQFILE -storetype PKCS12
-
Linuxの場合:
$NnmInstallDir/bin/nnmkeytool.ovpl -printcertreq -file CERTREQFILE -storetype PKCS12
-
-
-
-
CA 署名機関に CSR を送信します(CA 署名機関が証明書ファイルに署名して返します)。各種の CA 証明書についての詳細は,「(1) CA 署名証明書のタイプ」を参照してください。
- 注意
-
Microsoft EdgeやGoogle ChromeなどのブラウザでJP1/IM3のインテリジェント統合管理基盤のカスタムUI連携を使用する,かつ,コンソール画面への通信にSSLを使用する場合,証明書のSubject Alternative Name (SAN) にシステムのFQDNを設定し,そのFQDNを使用してブラウザにアクセスする必要があります。
そのため,JP1/IM3のインテリジェント統合管理基盤のカスタムUI連携を使用する場合は,CA署名機関へCSRを送信する際にSANが付加された証明書を発行するように依頼し,必ず証明書にSANを付加するようにしてください。
JP1/IM3のインテリジェント統合管理基盤については,「26.1 JP1/IM3のインテリジェント統合管理基盤との連携」を参照してください。
CA署名機関から,次のどちらかが返されます。-
単一の署名付きサーバー証明書ファイル(このセクションではmyserver.crtファイル)。サーバー証明書(CA署名NNMi証明書),1つ以上の中間CA証明書,およびルートCA証明書を含む単一のファイル。この単一のファイル内のすべての証明書が証明書チェーンを形成します。
-
次の一対のファイル。一方が署名付きサーバー証明書ファイル(このセクションではmyserver.crtファイル)で,もう一方(myca.crtファイル)にCA証明書が含まれています。myserver.crtファイルには,1つのサーバー証明書または証明書チェーンが含まれていますが,myca.crtファイル内にあるルートCA証明書は含まれていません。
- メモ
-
CAから返される証明書のフォームがこれと異なる場合は,証明書チェーンおよびルートCA証明書を取得する方法の詳細をCA提供者に問い合わせてください。なお,サポートしている証明書の形式は PEM (Privacy Enhanced Mail) 形式のみです。PEM 形式の証明書を入手してください。
-
証明書ファイルを用意します。
証明書チェーンをキーストアーファイルにインポートし,ルートCA証明書をトラストストアーファイルにインポートしてください。
-
手順3.で単一のファイルを受け取った場合
そのファイル内のすべてのルートCA証明書を別のmyca.crtファイルにコピーします。
-
手順3.で一対のファイルを受け取った場合
myca.crt(ルートCA証明書)ファイルの内容をmyserver.crtファイルの末尾に追加します。また,不要な中間証明書があればそれらをmyca.crtファイルからすべて削除します。これにより,完全な証明書チェーンを含んでいる1つのファイルmyserver.crtファイルと,ルートCA証明書を含んでいる1つのファイルmyca.crtファイルが生成されます。
-
-
これらの証明書が記録されているファイルを NNMi 管理サーバーの任意の場所にコピーします。
この例では,次の場所にファイルをコピーします。
-
Windowsの場合:%NnmDataDir%shared\nnm\certificates
-
Linuxの場合:$NnmDataDir/shared/nnm/certificates
-
-
キーストアーおよびトラストストアーファイルの存在する NNMi 管理サーバー上のディレクトリに移動します。
-
Windowsの場合:%NnmDataDir%shared\nnm\certificates
-
Linuxの場合:$NnmDataDir/shared/nnm/certificates
-
-
次のコマンドを実行して,証明書をキーストアーファイルにインポートします。
-
Windowsの場合:
%NnmInstallDir%bin\nnmkeytool.ovpl -importcert -trustcacerts -keystore nnm-key.p12 -storetype PKCS12 -storepass nnmkeypass -alias <alias_name> -file <path_to_myserver.crt>
-
Linuxの場合:
$NnmInstallDir/bin/nnmkeytool.ovpl -importcert -trustcacerts -keystore nnm-key.p12 -storetype PKCS12 -storepass nnmkeypass -alias <alias_name> -file <path_to_myserver.crt>
- メモ
-
上記のコマンドで,
- <path_to_myserver.crt>は,CA署名サーバー証明書を保存した場所への絶対パスです。
- <alias_name>は,証明書の生成時に指定したエイリアスです。
-
-
証明書の信頼を確認するメッセージが表示されたら,yを入力します。
証明書をキーストアにインポートするときの出力例
このコマンドによる出力形式は次のとおりです。
Owner:CN=NNMi_server.example.com Issuer:CN=NNMi_server.example.com Serial number:494440748e5 Valid from:Tue Oct 28 10:16:21 MST 2008 until:Thu Oct 04 11:16:21 MDT 2108 Certificate fingerprints: MD5:29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02 SHA1:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03 Trust this certificate?[no]:y Certificate was added to keystore
-
次のコマンドを実行して,ルート証明書をトラストストアーファイルにインポートします。
-
Windowsの場合:
%NnmInstallDir%bin\nnmkeytool.ovpl -import -alias <alias_name> -storetype PKCS12 -keystore nnm-trust.p12 -file <path_to_myca.crt> -storepass ovpass
-
Linuxの場合:
$NnmInstallDir/bin/nnmkeytool.ovpl -import -alias <alias_name> -storetype PKCS12 -keystore nnm-trust.p12 -file <path_to_myca.crt> -storepass ovpass
- メモ
-
上記のコマンドで,
-
<path_to_myca.crt>は,ルート証明書を保存した場所の絶対パスです。
-
<alias_name>は,証明書の生成時に指定したエイリアスです。
-
-
-
トラストストアーの内容を確認します。
-
Windowsの場合:
%NnmInstallDir%bin\nnmkeytool.ovpl -list -keystore nnm-trust.p12 -storetype PKCS12 -storepass ovpass
-
Linuxの場合:
$NnmInstallDir/bin/nnmkeytool.ovpl -list -keystore nnm-trust.p12 -storetype PKCS12 -storepass ovpass
トラストストアーの出力例
トラストストアーの出力形式は次のとおりです。
Keystore type: PKCS12 Keystore provider:BCFIPS Your keystore contains 1 entry nnmi_ldap, Nov 14, 2008, trustedCertEntry, Certificate fingerprint (MD5):29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
- ヒント
-
トラストストアーには複数の証明書を含めることができます。
-
- 〈この項の構成〉
(1) CA 署名証明書のタイプ
- メモ
-
CA によって証明書が別のフォームで返される場合は,証明書チェーンとルート CA 証明書を取得する方法について,CA 提供者に問い合わせてください。
認証機関(CA)からは次のどちらかが提供されます。
-
サーバー証明書(CA によって署名された NNMi 証明書)と 1 つ以上の CA 証明書が含まれる署名付きサーバー証明書ファイル。このセクションでは,署名付きサーバー証明書をmyserver.crtファイルとして示しています。
CA 証明書には,次のどちらかを指定できます。
-
ルート CA 証明書:サーバーおよびクライアントの証明書の署名について信頼できる機関を示します。
-
中間 CA 証明書:サーバーまたはユーザーではなく,ルート CA または中間 CA(それ自体が署名機関)のどちらかで署名される証明書。
- メモ
-
中間 CA 証明書を含め, NNMi サーバー証明書からルート CA 証明書までの証明書のリストは,証明書チェーンと呼ばれます。
-
-
署名付きサーバー証明書と,1 つ以上の CA 証明書が含まれる別のファイル。このセクションでは,署名付きサーバー証明書をmyserver.crtファイル,CA 証明書をmyca.crtファイルとして示しています。myserver.crtファイルは,1 つのサーバー証明書または証明書チェーンを含んでいる必要がありますが,myca.crtファイル内にあるルート CA 証明書を含んでいる必要はありません。
NNMi に新しい証明書を設定するには,証明書チェーンをnnm-key.p12ファイルにインポートし,ルート CA 証明書をnnm-trust.p12ファイルにインポートする必要があります。サーバー証明書をnnm-key.p12ファイルにインポートする場合はmyserver.crtファイルを使用し,CA 証明書をnnm-trust.p12ファイルにインポートする場合はmyca.crtファイルを使用します。
- メモ
-
CA によって証明書が別のフォームで返される場合は,別個の証明書チェーンとルート CA 証明書を取得する方法について, CA 提供者に問い合わせてください。
完全な証明書チェーンを含んでいる 1 つのファイルで提供された場合,そのファイルからルート CA 証明書フォームをmyca.crtファイルにコピーします。myca.crtファイルを使用してnnm-trust.p12ファイルへインポートすると,NNMi が証明書を発行した CA を信頼するようになります。
-
myserver.crt(完全な証明書チェーンを含んでいる)
-
myca.crt(ルート CA 証明書を含んでいる)
- メモ
-
CA だけを使用している場合,一般にルート CA 証明書がnnm-trust.p12ファイルに追加されます。中間 CA またはサーバー証明書を nnm-trust.p12ファイルに追加すると,それらの証明書は明示的に信頼済みとなり,取り消しなどの追加情報についてのチェックはされません。 CA が要求する場合には,追加の証明書だけをnnm-trust.p12ファイルに追加してください。
CA 署名機関から受け取るファイルの例を次に示します。
独立サーバーで,複数の CA 証明書ファイルがある場合
-----BEGIN CERTIFICATE----- Sample/AVQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3JseGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw ................................................................ ................................................................ TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNbpSo6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt== -----END CERTIFICATE-----
結合サーバーで,1つのファイルに複数のCA証明書がある場合
-----BEGIN CERTIFICATE----- Sample1/VQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3JseGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw ................................................................ ................................................................ TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNbpSo6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt== -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Sample2/Gh0dHA6Ly9jb3JwMWRjc2cyLnNnLmludC5wc2FnbG9iYWwuY29tL0NlcRaOCApwwggKYMB0GA1UdDgQWBBSqaWZzCRcpvJWOFPZ/Be9b+QSPyDAfBgNVHSMC ................................................................ ................................................................ Wp5Lz1ZJAOu1VHbPVdQnXnlBkx7V65niLoaT90Eqd6laliVlJHj7GBriJ90uvVGuBQagggEChoG9bGRhcDovLy9DTj1jb3JwMWRjc2cyL== -----END CERTIFICATE-----