Skip to main content
Active IQ Unified Manager 9.14
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

外部ツールを使用して生成されたHTTPS証明書のインストール

共同作成者
PDF

自己署名証明書またはCA署名証明書をインストールし、OpenSSL、BoringSSL、LetsEncryptなどの外部ツールを使用して生成することができます。

証明書チェーンと一緒に秘密鍵をロードする必要があります。これらの証明書は外部で生成された公開鍵と秘密鍵のペアであるためです。許可される鍵ペアアルゴリズムは「 RSA 」と「 EC 」です。[ 一般 ] セクションの [ HTTPS 証明書 ] ページで、 [ * HTTPS 証明書のインストール * ] オプションを使用できます。アップロードするファイルは、次の入力形式である必要があります。

  1. Active IQ Unified Managerホストに属するサーバの秘密鍵

  2. 秘密鍵と一致するサーバの証明書

  3. ルートまで逆方向のCAの証明書。上記の証明書に署名するために使用されます。

ECキー ペアを含む証明書のロード形式

許可される曲線は "prime256v1" と "`ecp384r1" です。外部で生成されたECペアを含む証明書の例:

 -----BEGIN EC PRIVATE KEY-----
<EC private key of Server>
-----END EC PRIVATE KEY-----
 -----BEGIN CERTIFICATE-----
 <Server certificate>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #1 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #2 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Root signing certificate>
 -----END CERTIFICATE-----

RSAキーペアを使用して証明書をロードする形式

ホスト証明書に属するRSAキーペアに許可されるキーサイズは、2048、3072、および4096です。外部で生成された* RSAキーペアを持つ証明書*:

-----BEGIN RSA PRIVATE KEY-----
 <RSA private key of Server>
 -----END RSA PRIVATE KEY-----
 -----BEGIN CERTIFICATE-----
 <Server certificate>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #1 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #2 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Root signing certificate>
 -----END CERTIFICATE-----

証明書をアップロードしたら、Active IQ Unified Managerインスタンスを再起動して変更を有効にする必要があります。

外部で生成された証明書をアップロードする際のチェック

システムは、外部ツールを使用して生成された証明書をアップロードするときにチェックを実行します。いずれかのチェックに失敗すると、証明書は拒否されます。また、製品内のCSRから生成された証明書と、外部ツールを使用して生成された証明書の検証も含まれています。

  • 入力の秘密鍵は、入力のホスト証明書と照合して検証されます。

  • ホスト証明書のCommon Name(CN;共通名)がホストのFQDNに照らしてチェックされます。

  • ホスト証明書のCommon Name(CN)を空または空にすることはできません。また、localhostには設定しないでください。

  • 有効開始日を将来の日付にすることはできません。また、証明書の有効期限を過去の日付にすることはできません。

  • 中間CAまたはCAが存在する場合、証明書の有効開始日が将来の日付ではなく、有効期限が過去の日付であってはなりません。

メモ

入力の秘密鍵は暗号化しないでください。暗号化された秘密鍵がある場合、それらはシステムによって拒否されます。

例1

----BEGIN ENCRYPTED PRIVATE KEY-----
<Encrypted private key>
-----END ENCRYPTED PRIVATE KEY-----

例2

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
<content here>
-----END RSA PRIVATE KEY-----

例3

-----BEGIN EC PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
<content here>
-----END EC PRIVATE KEY-----

証明書のインストールに失敗した場合は、ナレッジベース(KB)の次の記事を参照してください。https://kb.netapp.com/mgmt/AIQUM/IQUM_fails_to_install_externally_generated_certificate["外部で生成された証明書をActiveIQ Unified Managerでインストールできない"^]