CA Network Flow Analysis で使用する証明書を生成または設定する
X.509 証明書を使用して、製品全体でさまざまなレベルの安全な転送を行えるように、
Network Flow Analysis
(NFA)を設定できます。NFA Console ソフトウェアには、以下のために使用できる openssl コマンドライン ユーティリティが組み込まれています。nfa1000
X.509 証明書を使用して、製品全体でさまざまなレベルの安全な転送を行えるように、
Network Flow Analysis
(NFA)を設定できます。NFA Console ソフトウェアには、以下のために使用できる openssl
コマンドライン ユーティリティが組み込まれています。- 証明書署名要求を生成する
- 証明書に署名する(自己署名するか、または証明機関(CA)として機能します)
- 証明書の保管を管理する
設定しようとしているセキュリティのタイプに関係なく、
openssl
ツールを使用すると証明書管理のニーズを満たすことができます。このプロセス中に設定ファイルで参照される *.pem、*.cer、*.crt、*.key ファイルなどの証明書および秘密鍵ファイルを安全な場所に格納してください。これらの証明書および秘密鍵ファイルが、このプロセスが完了した後に設定ファイルで参照されない一時ファイルである場合は、それらを移動または削除してください。
DX NetOps Network Flow Analysis
で使用する証明書を信頼された証明機関から取得することをお勧めします。信頼できる証明機関の署名入り証明書を使用しないことにした場合は、以下の手順に従って、CA NFA で使用する独自の証明書を生成します。一般的な手順は以下のとおりです。
- NFA Console サーバ上で、証明機関証明書として機能する証明書を作成します。
- この証明書を使用して、NFA Console および展開内の各 Harvester に対して生成される証明書に署名します。
以下の手順に従います。
Console で以下の手順を実行します。
- openssl req -newコマンドでは、証明書リクエストに組み込む情報を入力するように求められます。共通名は、各要求で一意である必要があります。
- NFA Console と Harvester の間の HTTPS 通信を有効化するには、Harvester サーバの IP アドレスを共通名として指定します。
- openssl x509コマンド(CAとして機能するコンソールの署名入り証明書を生成する)で-set_serialの引数として使用する数値は、各要求で一意である必要があります。
- 証明書および証明書ストアを格納するためのディレクトリをという名前で作成します。install_path\certsこのディレクトリから以下の手順でコマンドを実行します。たとえば、C:\CA\NFA\certs\ ディレクトリに証明書を作成します。
- openssl設定ファイルに対してOPENSSL_CONF環境変数を設定します。set OPENSSL_CONF=install_path\Tools\openssl\bin\openssl.cfg
- opensslを使用して自己署名証明書を生成します。この証明書は、コンソールおよびすべての Harvester 用の証明機関(CA)証明書として機能します。opensslコマンドは、NFA Console のディレクトリにあります。install_path\tools\openssl\bin
- 秘密鍵を生成します。openssl genrsa -des3 -out nfa-ca-key.pem 2048
- 証明書署名要求を生成します。openssl req -new -key nfa-ca-key.pem -out nfa-ca.csr
- 秘密鍵からパスフレーズを削除します。copy nfa-ca-key.pem nfa-ca-key.pem.orig openssl rsa -in nfa-ca-key.pem.orig -out nfa-ca-key.pem
- 自己署名証明書を生成します。openssl x509 -req -days 1825 -in nfa-ca.csr -signkey nfa-ca-key.pem -out nfa-ca-cert.pem
- opensslを使用して、先ほど生成したCA証明書の署名が入った、コンソール用の新しい証明書を生成します。
- 秘密鍵を生成します。openssl genrsa -des3 -out nfa-console-key.pem 2048
- 証明書署名要求を生成します。openssl req -new -key nfa-console-key.pem -out nfa-console.csr
- 秘密鍵からパスフレーズを削除します。copy nfa-console-key.pem nfa-console-key.pem.orig openssl rsa -in nfa-console-key.pem.orig -out nfa-console-key.pem
- CAとして機能するコンソールの署名が入った証明書を生成します。openssl x509 -req -days 1825 -in nfa-console.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-console-cert.pem -extfile SAN.cnf -extensions req_extDX Performance Management に登録する際、CN (共通名)が NFA ホスト名と一致していれば、SAN.cnf は必要ありません。SAN.cnf ファイルの例を以下に示します。[req_ext] subjectAltName= @alt_names [alt_names] DNS.1= host.example.com <!--fully qualified domain name--> DNS.2= console_hostname IP.1= console_host_ip_address
- opensslを使用して PKCS12 キーストアを生成し、ここにCA証明書とCA証明書の署名が入ったコンソール証明書の両方を含めます。
- コンソール秘密鍵およびコンソール証明書が含まれるキーストアを生成します。openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -out nfa-console-keystore.pfx
- コンソール証明書およびCA証明書が含まれるトラスト ストアを生成します。openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -certfile nfa-ca-cert.pem -out nfa-console-truststore.pfx
- opensslを使用して、CAの署名が入った各Harvester用の新しい証明書を生成します。
- 秘密鍵を生成します。openssl genrsa -des3 -out nfa-harvester-key.pem 2048
- 証明書署名要求を生成します。openssl req -new -key nfa-harvester-key.pem -out nfa-harvester.csrNFA Console と Harvester の間の HTTPS 通信を有効化するには、Harvester サーバの IP アドレスを共通名として指定します。
- 秘密鍵からパスフレーズを削除します。copy nfa-harvester-key.pem nfa-harvester-key.pem.orig openssl rsa -in nfa-harvester-key.pem.orig -out nfa-harvester-key.pem
- CA として機能するコンソールの署名が入った証明書を生成します。openssl x509 -req -days 1825 -in nfa-harvester.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-harvester-cert.pem -extfile SAN.cnf -extensions req_ext分散環境において Console と Harvester の間で安全な通信を有効化するには、SAN.cnf が必要です。[req_ext] subjectAltName= @alt_names [alt_names] DNS.1= host.example.com <!--fully qualified domain name--> DNS.2= Harvester_hostname IP.1= Harvester_host_ip_address
- opensslを使用して pkcs12 キーストアおよびトラスト ストアを生成し、ここにCA証明書と各 Harvester のCA証明書の署名が入った Harvester 証明書の両方を含めます。
- Harvester 秘密鍵および Harvester 証明書が含まれるキーストアを生成します。openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -out nfa-harvester-keystore.pfx
- Harvester 証明書およびCA証明書が含まれるトラスト ストアを生成します。openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -certfile nfa-ca-cert.pem -out nfa-harvester-truststore.pfx
- Console のトラスト ストアにインポートするための Harvester 証明書を生成します。openssl pkcs12 -in nfa-harvester-keystore.pfx -nokeys -out nfa-harvester.cer
- Console のトラスト ストアに Harvester 証明書を追加するには、以下のコマンドを実行します。keytool -import -alias testing -file nfa-harvester.cer -keystore nfa-console-truststore.pfx
- 作成された証明書にエラーがないことを確認します。openssl verify -CAfile nfa-ca-cert.pem nfa-console-cert.pem nfa-harvester-cert.pem
各 Harvester で、以下を実行します。
- 証明書および証明書ストアを格納するためのディレクトリをという名前で作成します。install_path\certs
- 手順 1 で作成したcertsディレクトリにCA証明書ファイル、Harvester 証明書ファイルおよび Harvester 証明書ストア(キーストアおよびトラスト ストア)をコピーします。
- 実際の認証局の署名が入った証明書を使用している場合は、これらの手順を使用して、ディレクトリに必要なinstall_path\certs*.pfxファイルを生成できます。ディレクトリに証明書ファイルおよび秘密鍵ファイルのコピーをinstall_path\certspem形式で配置します。*.pfxおよび*.pemファイルは、Network Flow Analysisを保護するために必要です。
- スタンドアロン環境では、外部 CA 署名済みコンソール証明書および NFA CA 署名済み証明書を使用できません。