3.3.14 CAが発行した証明書を使用する場合の設定
CA(認証局)が発行した証明書を使用する場合の設定手順を次に示します。
-
Webサーバの秘密鍵ファイルを作成する
openssl.bat genrsaまたはopenssl.sh genrsaコマンドを使用して,Webサーバの秘密鍵ファイルを作成します。コマンドのパスを次に示します。
Windowsの場合
$SSO_JRE\httpsd\sbin\openssl.bat
Linuxの場合
$SSO_JRE/httpsd/sbin/openssl.sh
Webサーバの秘密鍵ファイル名は「ssoconsole.key」にしてください。
-
パスワードを無効化する
手順1で暗号種別を指定した場合は,openssl.bat rsaまたはopenssl.sh rsaコマンドを使用して,Web サーバの秘密鍵ファイルのパスワード保護を無効化します。コマンドのパスを次に示します。
Windowsの場合
$SSO_JRE\httpsd\sbin\openssl.bat
Linuxの場合
$SSO_JRE/httpsd/sbin/openssl.sh
パスワードファイル名は「certpass.key」にしてください。
-
CSR(証明書発行要求)を作成する
openssl.bat reqまたはopenssl.sh reqコマンドを使用して,CSRを作成します。コマンドのパスを次に示します。
Windowsの場合
$SSO_JRE\httpsd\sbin\openssl.bat
Linuxの場合
$SSO_JRE/httpsd/sbin/openssl.sh
-
CSRの内容を確認する
openssl.bat reqまたはopenssl.sh reqコマンドを使用して,必要に応じてCSRの内容を確認します。コマンドのパスを次に示します。
Windowsの場合
$SSO_JRE\httpsd\sbin\openssl.bat
Linuxの場合
$SSO_JRE/httpsd/sbin/openssl.sh
-
署名済み証明書を入手する
CSRをCAに送付して,PEM形式の署名済み証明書を入手します。
-
CAが発行した証明書の内容を確認する
openssl.bat x509またはopenssl.sh x509コマンドを使用して,必要に応じてCAが発行した証明書の内容を確認します。コマンドのパスを次に示します。
Windowsの場合
$SSO_JRE\httpsd\sbin\openssl.bat
Linuxの場合
$SSO_JRE/httpsd/sbin/openssl.sh
-
CAが発行した証明書を編集する
CAが発行した証明書の"-----BEGIN CERTIFICATE-----"から,"-----END CERTIFICATE-----"の部分を切り出し,「ssoconsole.crt」というファイル名で保存します。
-
CAが発行した証明書とWebサーバの秘密鍵ファイルを所定のディレクトリに配置する
CAが発行した証明書(ssoconsole.crt)と秘密鍵ファイル(ssoconsole.key)を次のディレクトリに配置します。デフォルトでは自己署名証明書と秘密鍵ファイルが配置されているので上書きします。また,パスワードファイル(certpass.key)を作成した場合も,同じディレクトリに配置します。
Windowsの場合
$SSO_JRE\httpsd\conf\ssl\server
Linuxの場合
$SSO_JRE/httpsd/conf/ssl/server
-
中間CA証明書をCAが発行した証明書を編集し,反映する
チェーンしたCAで発行されたSSLサーバ証明書を使用する場合は,中間CA証明書(チェーンCAの証明書)をCAが発行した証明書(ssoconsole.crt)に追加します。
CAが発行した中間証明書の"-----BEGIN CERTIFICATE-----"から,"-----END CERTIFICATE-----"の部分を切り出し,CAが発行した証明書(ssoconsole.crt)の"-----END CERTIFICATE-----"の次の行に貼り付け,そのままのファイル名で保存します。
-
ssoconsoled動作定義ファイルを編集する
チェーンしたCAで発行されたSSLサーバ証明書を使用する場合は,ssoconsoled動作定義ファイルの「ssl-ca-cert」キーを「on」に設定します。
-
URLアクション定義をカスタマイズする
表3-2の#3または#4のURLアクションを登録した場合は,URLアクション定義を変更する必要があります。※
- 注※
-
NNMiコンソールの[メニュー項目]で変更します。[メニュー項目]の詳細は,NNMiコンソールのヘルプを参照してください。
URLアクション定義の「起動アクション」のフルURLについて,次の部分をCA証明書が証明するサーバのホスト名(FQDN)に変更します。
マップ連携機能(アクション連携)のURLアクション定義の場合
${customAttributes[name=jp.co.hitachi.jp1.sso.address].value}
インシデント連携機能(アクション連携)のURLアクション定義の場合
${cias[name=event-issuer-ip-address].value}
ただし,分散構成でSSOが複数台ある場合はカスタマイズしないでください。WebブラウザとJavaでセキュリティプロンプトが表示されますが,URLアクション連携は使用できます。
-
SSOを再起動する
SSOを再起動します。