SSL証明書のインポート

OnCommand Insight環境のセキュリティを強化するために、SSL証明書を追加して高度な認証および暗号化を有効にすることができます。

開始する前に

システムが最小限必要なビット レベル(1024ビット)を満たしている必要があります。

タスク概要

注:この手順を実行する前に、既存のserver.keystoreファイルのバックアップを作成し、server.keystore.oldという名前で保存してください。server.keystoreファイルが破損すると、Insight Serverの再起動後にInsight Serverが動作しなくなる可能性があります。バックアップを作成しておけば、問題が発生したときに以前のファイルに戻すことができます。

手順

  1. 元のキーストア ファイルのコピーを作成します。 cp c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore.old
  2. キーストアの内容を表示します。 C:\Program Files\SANscreen\java64\bin\keytool.exe -list -v -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore"
    1. パスワードの入力を求められたら、「changeit」と入力します。
    キーストアの内容が表示されます。キーストアには、少なくとも"ssl certificate"という証明書が1つ含まれています。
  3. "ssl certificate"を削除します。 keytool -delete -alias "ssl certificate" -keystore c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore
  4. 新しいキーを生成します。 C:\Program Files\SANscreen\java64\bin\keytool.exe -genkey -alias "ssl certificate" -keyalg RSA -keysize 2048 -validity 365 -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore"
    1. 名前の入力を求められたら、使用するFully Qualified Domain Name(FQDN;完全修飾ドメイン名)を入力します。
    2. 組織および組織構造に関する次の情報を入力します。
      • Country:ISOの2文字の国コード(例:US)
      • State or Province:組織の本部がある都道府県の名前(例:Massachusetts)
      • Locality:組織の本部がある市区町村の名前(例:Waltham)
      • Organizational name:ドメイン名を所有する組織の名前(例:NetApp)
      • Organizational unit name:証明書を使用する部門またはグループの名前(例:Support)
      • Domain Name/ Common Name:サーバのDNSルックアップで使用するFQDN(例:www.example.com)
      システムから次のような応答が返されます。 Is CN=www.example.com, OU=support, O=NetApp, L=Waltham, ST=MA, C=US correct?
    3. Common Name(CN)が指定したFQDNになっていることを確認し、「Yes」と入力します。
    4. キーのパスワードの入力を求められたら、パスワードを入力するか、Enterキーを押して既存のキーストアのパスワードを使用します。
  5. 証明書要求ファイルを生成します。 C:\Program Files\SANscreen\java64\bin\keytool.exe -certreq -alias "ssl certificate" -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file c:\localhost.csr
    新しい証明書要求ファイルc:\localhost.csrが生成されます。
  6. c:\localhost.csrファイルを承認のためにCertificate Authority(CA;認証局)に送ります。

    証明書要求ファイルが承認されると、.der形式で証明書が返されます。場合によっては、.der以外の形式のファイルが返されることもあります。MicrosoftのCAサービスの場合、デフォルトのファイル形式は.cerです。

    ほとんどの組織のCAでは、ルートCAを含む信頼チェーン モデルを使用しています。多くの場合、ルートCAはオフラインであり、中間CAと呼ばれる一部の子CAの証明書だけに署名しています。

    公開鍵(証明書)は、信頼チェーン全体について入手する必要があります。これには、OnCommand Insight Serverの証明書に署名したCAの証明書に加え、そのCAから組織のルートCAまでのすべての証明書が含まれます。

    組織によっては、署名要求を送信したときに、次のいずれかが返されることがあります。

    • 署名済み証明書と信頼チェーンのすべてのパブリック証明書を含むPKCS12ファイル
    • 個々のファイル(署名済み証明書を含む)と信頼チェーンのすべてのパブリック証明書を含む.zipファイル
    • 署名済み証明書のみ

      パブリック証明書を入手する必要があります。

  7. 承認された証明書をインポートします。 C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -alias OCI.hostname.com -file c:\localhost2.DER -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore"
    1. 入力を求められたら、キーストアのパスワードを入力します。
      次のメッセージが表示されます。 Certificate reply was installed in keystore
  8. SANscreen\wildfly\standalone\configuration\standalone-full.xmlファイルを編集します。
    次のエイリアス ストリングに置き換えます:alias="cbc-oci-02.muccbc.hq.netapp.com"。次に例を示します。

    <keystore path="server.keystore" relative-to="jboss.server.config.dir" keystore-password="${VAULT::HttpsRealm::keystore_password::1}" alias="cbc-oci-02.muccbc.hq.netapp.com" key-password="${VAULT::HttpsRealm::key_password::1}"/>

  9. SANscreenサーバ サービスを再起動します。

    Insightが起動したら、鍵マークのアイコンをクリックして、システムにインストールされている証明書を確認できます。

    「Issued To」と「Issued By」の情報が同じになっている証明書が表示される場合は、まだ自己署名証明書がインストールされています。Insightのインストーラで生成される自己署名証明書の有効期限は100年です。

    この手順によってデジタル証明書に関する警告が解消されるかどうかは、ネットアップでは保証できません。エンドユーザのワークステーションの設定によって異なるため、ネットアップでは制御できません。次のシナリオを考えてみましょう。

    • Windowsでは、Microsoft Internet ExplorerとGoogle Chromeの両方でMicrosoftの標準の証明書機能が使用されます。

      そのため、Active Directory管理者が組織のCA証明書をエンドユーザの証明書信頼ストアにプッシュすると、OnCommand Insightの自己署名証明書が内部のCAインフラで署名された証明書に置き換えられている場合に、上記のブラウザを使用するユーザに証明書に関する警告が表示されなくなります。

    • JavaおよびMozilla Firefoxには独自の証明書ストアがあります。

      システム管理者がアプリケーションの信頼済み証明書ストアにCA証明書を自動で取り込むように設定していない場合、Insight JavaクライアントまたはFirefoxブラウザでは、自己署名証明書が置き換えられていても、信頼された証明書ではないため、証明書に関する警告が引き続き生成される可能性があります。追加の要件として、組織の証明書チェーンを信頼ストアにインストールする必要があります。