証明書は、クライアントとサーバの間にセキュアな接続を確立するためにWebサイトの所有者を識別します。Web Services Proxyがインストールされているホスト システムの認証局(CA)証明書を生成してインポートするには、APIエンドポイントを使用します。
開始する前に
- 対話型のAPIドキュメントにログインしておきます。
タスク概要
ホスト システムの証明書を管理するには、APIを使用して次のタスクを実行します。
- ホスト システムの証明書署名要求(CSR)を作成します。
- CSRファイルをCAに送信し、証明書ファイルが送られてくるのを待ちます。
- 署名済み証明書をホスト システムにインポートします。
注:証明書はUnified Managerインターフェイスでも管理できます。詳細については、Unified Managerのオンライン ヘルプを参照してください。
手順
- 対話型のAPIドキュメントで、右上のドロップダウン メニューから[v2]を選択します。
- [Administration]リンクを展開し、下にスクロールして[/certificates]エンドポイントまで移動します。
- CSRファイルを生成します。
- [POST:/certificates]を選択し、[Try it out]を選択します。
Webサーバで自己署名証明書が再生成されます。各フィールドに情報を入力して、CSRの生成に使用する共通名、組織、組織単位、代替IDなどの情報を定義できます。
- [Example values]ペインに必要な情報を追加して有効なCA証明書を生成し、コマンドを実行します。
注:CSRの再生成が必要になるため、POST:/certificatesとPOST:/certificates/resetは繰り返し呼び出さないでください。POST:/certificatesまたはPOST:/certificates/resetを呼び出すと、そのたびに新しい秘密鍵を使用して新しい自己署名証明書が生成されます。サーバで秘密鍵がリセットされる前に生成されたCSRを送信した場合、新しいセキュリティ証明書は機能しません。CSRを生成し直して新しいCA証明書を要求する必要があります。
- GET:/certificates/serverエンドポイントを実行して、現在の証明書がPOST:/certificatesコマンドで追加した情報を含む自己署名証明書であることを確認します。
サーバ証明書(「jetty」という別名で表示)は、この時点ではまだ自己署名証明書です。
- [POST:/certificates/export]エンドポイントを展開し、[Try it out]を選択してCSRファイルのファイル名を入力し、[Execute]をクリックします。
- fileUrlをブラウザの新しいタブにコピーしてCSRファイルをダウンロードし、そのCSRファイルを有効なCAに送信して新しいWebサーバ証明書チェーンを要求します。
- CAから新しい証明書チェーンが発行されたら、証明書管理ツールを使用してルート証明書、中間証明書、およびWebサーバ証明書に分割し、それらの証明書をWeb Services Proxyサーバにインポートします。
- [POST:/sslconfig/server]エンドポイントを展開し、[Try it out]を選択します。
- [alias]フィールドにCAルート証明書の名前を入力します。
- [replaceMainServerCertificate]フィールドで[false]を選択します。
- 新しいCAルート証明書を参照して選択します。
- [Execute]をクリックします。
- 証明書のアップロードが成功したことを確認します。
- CA中間証明書について、CA証明書のアップロード手順を繰り返します。
- 新しいWebサーバ セキュリティ証明書ファイルについて、証明書のアップロード手順を繰り返します。ただし、[replaceMainServerCertificate]ドロップダウンでは[true]を選択します。
- Webサーバ セキュリティ証明書のインポートが成功したことを確認します。
- キーストアに新しいルート証明書、中間証明書、およびWebサーバ証明書があることを確認するために、GET:/certificates/serverを実行します。
- [POST:/certificates/reload]エンドポイントを選択して展開し、[Try it out]を選択します。両方のコントローラを再起動するかどうかを確認するメッセージが表示されたら、[false]を選択します (trueはデュアル アレイ コントローラの場合にのみ選択)。[Execute]をクリックします。
通常、/certificates/reloadエンドポイントは要求が成功したことを示すHTTP応答202を返します。ただし、Webサーバの信頼ストアとキーストアの証明書をリロードする際、APIのプロセスとWebサーバの証明書リロード プロセスの間でまれに競合が発生します。その場合、Webサーバ証明書のリロードがAPIの処理よりも優先されることがあり、 その場合はリロードが正常に完了していても失敗したように表示されます。この場合も次の手順にそのまま進んでください。実際にリロードに失敗していれば、次の手順も失敗します。
- Web Services Proxyの現在のブラウザ セッションを閉じて新しいブラウザ セッションを開き、Web Services Proxyへの新しいセキュアなブラウザ接続を確立できることを確認します。
incognitoモードまたはin-privateモードのブラウズ セッションを使用すると、以前のブラウズ セッションで保存されたデータを使用せずにサーバへの接続を開くことができます。