CA Network Flow Analysis で使用する証明書を生成または設定する
(CA NFA)は、X.509 証明書を使用して、製品全体にわたるさまざまなレベルで安全に転送を行えるように設定できます。 NFA Console ソフトウェアには、以下のために使用できる openssl コマンドライン ユーティリティが組み込まれています。
nfa1000
Network Flow Analysis
(CA NFA)は、X.509 証明書を使用して、製品全体にわたるさまざまなレベルで安全に転送を行えるように設定できます。 NFA Console ソフトウェアには、以下のために使用できる openssl
コマンドライン ユーティリティが組み込まれています。- 証明書署名要求を生成する
- 証明書に署名する(自己署名するか、または証明機関(CA)として機能します)
- 証明書の保管を管理する
設定しようとしているセキュリティのタイプに関係なく、
openssl
ツールを使用すると証明書管理のニーズを満たすことができます。Network Flow Analysis
で使用する証明書を信頼された証明機関から取得することをお勧めします。 信頼できる証明機関の署名入り証明書を使用しないことにした場合は、以下の手順に従って、CA NFA で使用する独自の証明書を生成します。一般的な手順は以下のとおりです。
- NFA Console サーバ上で、証明機関証明書として機能する証明書を作成します。
- この証明書を使用して、NFA Console および展開内の各 Harvester に対して生成される証明書に署名します。
以下の手順に従います。
Console で以下の手順を実行します。
- openssl req -newコマンドでは、証明書リクエストに組み込む情報を入力するように求められます。共通名は、各要求で一意である必要があります。
- openssl x509コマンド(CAとして機能するコンソールの署名入り証明書を生成する)で-set_serialの引数として使用する数値は、各要求で一意である必要があります。
- 証明書および証明書ストアを格納するためのディレクトリをという名前で作成します。install_path\certsこのディレクトリから以下の手順でコマンドを実行します。
- openssl設定ファイルに対してOPENSSL_CONF環境変数を設定します。set OPENSSL_CONF=install_path\Tools\openssl\bin\openssl.cfg
- opensslを使用して自己署名証明書を生成します。 この証明書は、コンソールおよびすべての Harvester 用の証明機関(CA)証明書として機能します。opensslコマンドは、NFA Console のディレクトリにあります。install_path\tools\openssl\bin
- 秘密鍵を生成します。openssl genrsa -des3 -out nfa-ca-key.pem 2048
- 証明書署名要求を生成します。openssl req -new -key nfa-ca-key.pem -out nfa-ca.csr
- 秘密鍵からパスフレーズを削除します。copy nfa-ca-key.pem nfa-ca-key.pem.orig openssl rsa -in nfa-ca-key.pem.orig -out nfa-ca-key.pem
- 自己署名証明書を生成します。openssl x509 -req -days 1825 -in nfa-ca.csr -signkey nfa-ca-key.pem -out nfa-ca-cert.pem
- opensslを使用して、先ほど生成したCA証明書の署名が入った、コンソール用の新しい証明書を生成します。
- 秘密鍵を生成します。openssl genrsa -des3 -out nfa-console-key.pem 2048
- 証明書署名要求を生成します。openssl req -new -key nfa-console-key.pem -out nfa-console.csr
- 秘密鍵からパスフレーズを削除します。copy nfa-console-key.pem nfa-console-key.pem.orig openssl rsa -in nfa-console-key.pem.orig -out nfa-console-key.pem
- CAとして機能するコンソールの署名が入った証明書を生成します。openssl x509 -req -days 1825 -in nfa-console.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-console-cert.pem
- opensslを使用して PKCS12 キーストアを生成し、ここにCA証明書とCA証明書の署名が入ったコンソール証明書の両方を含めます。
- コンソール秘密鍵およびコンソール証明書が含まれるキーストアを生成します。openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -out nfa-console-keystore.pfx
- コンソール証明書およびCA証明書が含まれるトラスト ストアを生成します。openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -certfile nfa-ca-cert.pem -out nfa-console-truststore.pfx
- opensslを使用して、CAの署名が入った各 Harvester 用の新しい証明書を生成します。
- 秘密鍵を生成します。openssl genrsa -des3 -out nfa-harvester-key.pem 2048
- 証明書署名要求を生成します。openssl req -new -key nfa-harvester-key.pem -out nfa-harvester.csr
- 秘密鍵からパスフレーズを削除します。copy nfa-harvester-key.pem nfa-harvester-key.pem.orig openssl rsa -in nfa-harvester-key.pem.orig -out nfa-harvester-key.pem
- CA として機能するコンソールの署名が入った証明書を生成します。openssl x509 -req -days 1825 -in nfa-harvester.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-harvester-cert.pem
- opensslを使用して pkcs12 キーストアおよびトラスト ストアを生成し、ここにCA証明書と各 Harvester のCA証明書の署名が入った Harvester 証明書の両方を含めます。
- Harvester 秘密鍵および Harvester 証明書が含まれるキーストアを生成します。openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -out nfa-harvester-keystore.pfx
- Harvester 証明書およびCA証明書が含まれるトラスト ストアを生成します。openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -certfile nfa-ca-cert.pem -out nfa-harvester-truststore.pfx
- 作成された証明書にエラーがないことを確認します。openssl verify -CAfile nfa-ca-cert.pem nfa-console-cert.pem nfa-harvester-cert.pem
各 Harvester で、以下を実行します。
- 証明書および証明書ストアを格納するためのディレクトリをという名前で作成します。install_path\certs
- 手順 1 で作成したcertsディレクトリにCA証明書ファイル、Harvester 証明書ファイルおよび Harvester 証明書ストア(キーストアおよびトラスト ストア)をコピーします。
実際の証明機関の署名が入った証明書を使用している場合は、これらの手順を使用して、必要な以下のファイル
を以下のディレクトリ*.pfx
に生成できます。証明書ファイルおよび秘密鍵ファイルのコピーを以下の形式install_path\certs
で以下のディレクトリpem
にコピーできます。以下のinstall_path\certs
および*.pfx
ファイルは、*.pem
Network Flow Analysis
を保護するために必要です。