CA Network Flow Analysis で使用する証明書を生成または設定する

(CA NFA)は、X.509 証明書を使用して、製品全体にわたるさまざまなレベルで安全に転送を行えるように設定できます。 NFA Console ソフトウェアには、以下のために使用できる openssl コマンドライン ユーティリティが組み込まれています。
nfa1000
Network Flow Analysis
(CA NFA)は、X.509 証明書を使用して、製品全体にわたるさまざまなレベルで安全に転送を行えるように設定できます。 NFA Console ソフトウェアには、以下のために使用できる
openssl
コマンドライン ユーティリティが組み込まれています。
  • 証明書署名要求を生成する
  • 証明書に署名する(自己署名するか、または証明機関(
    CA
    )として機能します)
  • 証明書の保管を管理する
設定しようとしているセキュリティのタイプに関係なく、
openssl
ツールを使用すると証明書管理のニーズを満たすことができます。
Network Flow Analysis
で使用する証明書を信頼された証明機関から取得することをお勧めします。 信頼できる証明機関の署名入り証明書を使用しないことにした場合は、以下の手順に従って、CA NFA で使用する独自の証明書を生成します。
一般的な手順は以下のとおりです。
  1. NFA Console サーバ上で、証明機関証明書として機能する証明書を作成します。
  2. この証明書を使用して、NFA Console および展開内の各 Harvester に対して生成される証明書に署名します。
以下の手順に従います。
Console で以下の手順を実行します。
  • openssl req -new
    コマンドでは、証明書リクエストに組み込む情報を入力するように求められます。
    共通名
    は、各要求で一意である必要があります。
  • openssl x509
    コマンド(
    CA
    として機能するコンソールの署名入り証明書を生成する)で
    -set_serial
    の引数として使用する数値は、各要求で一意である必要があります。
  1. 証明書および証明書ストアを格納するためのディレクトリを
    install_path
    \certs
    という名前で作成します。
    このディレクトリから以下の手順でコマンドを実行します。
  2. openssl
    設定ファイルに対して
    OPENSSL_CONF
    環境変数を設定します。
    set OPENSSL_CONF=
    install_path
    \Tools\openssl\bin\openssl.cfg
  3. openssl
    を使用して自己署名証明書を生成します。 この証明書は、コンソールおよびすべての Harvester 用の証明機関(
    CA
    )証明書として機能します。
    openssl
    コマンドは、NFA Console の
    install_path
    \tools\openssl\bin
    ディレクトリにあります。
    1. 秘密鍵を生成します。
      openssl genrsa -des3 -out nfa-ca-key.pem 2048
    2. 証明書署名要求を生成します。
      openssl req -new -key nfa-ca-key.pem -out nfa-ca.csr
    3. 秘密鍵からパスフレーズを削除します。
      copy nfa-ca-key.pem nfa-ca-key.pem.orig openssl rsa -in nfa-ca-key.pem.orig -out nfa-ca-key.pem
    4. 自己署名証明書を生成します。
      openssl x509 -req -days 1825 -in nfa-ca.csr -signkey nfa-ca-key.pem -out nfa-ca-cert.pem
  4. openssl
    を使用して、先ほど生成した
    CA
    証明書の署名が入った、コンソール用の新しい証明書を生成します。
    1. 秘密鍵を生成します。
      openssl genrsa -des3 -out nfa-console-key.pem 2048
    2. 証明書署名要求を生成します。
      openssl req -new -key nfa-console-key.pem -out nfa-console.csr
    3. 秘密鍵からパスフレーズを削除します。
      copy nfa-console-key.pem nfa-console-key.pem.orig openssl rsa -in nfa-console-key.pem.orig -out nfa-console-key.pem
    4. CA
      として機能するコンソールの署名が入った証明書を生成します。
      openssl x509 -req -days 1825 -in nfa-console.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-console-cert.pem
  5. openssl
    を使用して PKCS12 キーストアを生成し、ここに
    CA
    証明書と
    CA
    証明書の署名が入ったコンソール証明書の両方を含めます。
    1. コンソール秘密鍵およびコンソール証明書が含まれるキーストアを生成します。
      openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -out nfa-console-keystore.pfx
    2. コンソール証明書および
      CA
      証明書が含まれるトラスト ストアを生成します。
      openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -certfile nfa-ca-cert.pem -out nfa-console-truststore.pfx
  6. openssl
    を使用して、
    CA
    の署名が入った各 Harvester 用の新しい証明書を生成します。
    1. 秘密鍵を生成します。
      openssl genrsa -des3 -out nfa-harvester-key.pem 2048
    2. 証明書署名要求を生成します。
      openssl req -new -key nfa-harvester-key.pem -out nfa-harvester.csr
    3. 秘密鍵からパスフレーズを削除します。
      copy nfa-harvester-key.pem nfa-harvester-key.pem.orig openssl rsa -in nfa-harvester-key.pem.orig -out nfa-harvester-key.pem
    4. CA として機能するコンソールの署名が入った証明書を生成します。
      openssl x509 -req -days 1825 -in nfa-harvester.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-harvester-cert.pem
  7. openssl
    を使用して pkcs12 キーストアおよびトラスト ストアを生成し、ここに
    CA
    証明書と各 Harvester の
    CA
    証明書の署名が入った Harvester 証明書の両方を含めます。
    1. Harvester 秘密鍵および Harvester 証明書が含まれるキーストアを生成します。
      openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -out nfa-harvester-keystore.pfx
    2. Harvester 証明書および
      CA
      証明書が含まれるトラスト ストアを生成します。
      openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -certfile nfa-ca-cert.pem -out nfa-harvester-truststore.pfx
  8. 作成された証明書にエラーがないことを確認します。
    openssl verify -CAfile nfa-ca-cert.pem nfa-console-cert.pem nfa-harvester-cert.pem
各 Harvester で、以下を実行します。
  1. 証明書および証明書ストアを格納するためのディレクトリを
    install_path
    \certs
    という名前で作成します。
  2. 手順 1 で作成した
    certs
    ディレクトリに
    CA
    証明書ファイル、Harvester 証明書ファイルおよび Harvester 証明書ストア(キーストアおよびトラスト ストア)をコピーします。
実際の証明機関の署名が入った証明書を使用している場合は、これらの手順を使用して、必要な以下のファイル
*.pfx
を以下のディレクトリ
install_path
\certs
に生成できます。証明書ファイルおよび秘密鍵ファイルのコピーを以下の形式
pem
で以下のディレクトリ
install_path
\certs
にコピーできます。以下の
*.pfx
および
*.pem
ファイルは、
Network Flow Analysis
を保護するために必要です。