CA Network Flow Analysis で使用する証明書を生成または設定する

X.509 証明書を使用して、製品全体でさまざまなレベルの安全な転送を行えるように、
Network Flow Analysis
(NFA)を設定できます。NFA Console ソフトウェアには、以下のために使用できる openssl コマンドライン ユーティリティが組み込まれています。
nfa1000
X.509 証明書を使用して、製品全体でさまざまなレベルの安全な転送を行えるように、
Network Flow Analysis
(NFA)を設定できます。NFA Console ソフトウェアには、以下のために使用できる
openssl
コマンドライン ユーティリティが組み込まれています。
  • 証明書署名要求を生成する
  • 証明書に署名する(自己署名するか、または証明機関(
    CA
    )として機能します)
  • 証明書の保管を管理する
設定しようとしているセキュリティのタイプに関係なく、
openssl
ツールを使用すると証明書管理のニーズを満たすことができます。
このプロセス中に設定ファイルで参照される *.pem、*.cer、*.crt、*.key ファイルなどの証明書および秘密鍵ファイルを安全な場所に格納してください。これらの証明書および秘密鍵ファイルが、このプロセスが完了した後に設定ファイルで参照されない一時ファイルである場合は、それらを移動または削除してください。
DX NetOps Network Flow Analysis
で使用する証明書を信頼された証明機関から取得することをお勧めします。信頼できる証明機関の署名入り証明書を使用しないことにした場合は、以下の手順に従って、CA NFA で使用する独自の証明書を生成します。
一般的な手順は以下のとおりです。
  1. NFA Console サーバ上で、証明機関証明書として機能する証明書を作成します。
  2. この証明書を使用して、NFA Console および展開内の各 Harvester に対して生成される証明書に署名します。
以下の手順に従います。
Console で以下の手順を実行します。
  • openssl req -new
    コマンドでは、証明書リクエストに組み込む情報を入力するように求められます。
    共通名
    は、各要求で一意である必要があります。
  • NFA Console と Harvester の間の HTTPS 通信を有効化するには、Harvester サーバの IP アドレスを共通名として指定します。
  • openssl x509
    コマンド(
    CA
    として機能するコンソールの署名入り証明書を生成する)で
    -set_serial
    の引数として使用する数値は、各要求で一意である必要があります。
  1. 証明書および証明書ストアを格納するためのディレクトリを
    install_path
    \certs
    という名前で作成します。
    たとえば、C:\CA\NFA\certs\ ディレクトリに証明書を作成します。
    このディレクトリから以下の手順でコマンドを実行します。
  2. openssl
    設定ファイルに対して
    OPENSSL_CONF
    環境変数を設定します。
    set OPENSSL_CONF=
    install_path
    \Tools\openssl\bin\openssl.cfg
  3. openssl
    を使用して自己署名証明書を生成します。この証明書は、コンソールおよびすべての Harvester 用の証明機関(
    CA
    )証明書として機能します。
    openssl
    コマンドは、NFA Console の
    install_path
    \tools\openssl\bin
    ディレクトリにあります。
    1. 秘密鍵を生成します。
      openssl genrsa -des3 -out nfa-ca-key.pem 2048
    2. 証明書署名要求を生成します。
      openssl req -new -key nfa-ca-key.pem -out nfa-ca.csr
    3. 秘密鍵からパスフレーズを削除します。
      copy nfa-ca-key.pem nfa-ca-key.pem.orig openssl rsa -in nfa-ca-key.pem.orig -out nfa-ca-key.pem
    4. 自己署名証明書を生成します。
      openssl x509 -req -days 1825 -in nfa-ca.csr -signkey nfa-ca-key.pem -out nfa-ca-cert.pem
  4. openssl
    を使用して、先ほど生成した
    CA
    証明書の署名が入った、
    コンソール
    用の新しい証明書を生成します。
    1. 秘密鍵を生成します。
      openssl genrsa -des3 -out nfa-console-key.pem 2048
    2. 証明書署名要求を生成します。
      openssl req -new -key nfa-console-key.pem -out nfa-console.csr
    3. 秘密鍵からパスフレーズを削除します。
      copy nfa-console-key.pem nfa-console-key.pem.orig openssl rsa -in nfa-console-key.pem.orig -out nfa-console-key.pem
    4. CA
      として機能するコンソールの署名が入った証明書を生成します。
      openssl x509 -req -days 1825 -in nfa-console.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-console-cert.pem -extfile SAN.cnf -extensions req_ext
      DX Performance Management に登録する際、CN (共通名)が NFA ホスト名と一致していれば、SAN.cnf は必要ありません。SAN.cnf ファイルの例を以下に示します。
      [req_ext] subjectAltName= @alt_names [alt_names] DNS.1= host.example.com <!--fully qualified domain name--> DNS.2= console_hostname IP.1= console_host_ip_address
  5. openssl
    を使用して PKCS12 キーストアを生成し、ここに
    CA
    証明書と
    CA
    証明書の署名が入ったコンソール証明書の両方を含めます。
    1. コンソール秘密鍵およびコンソール証明書が含まれるキーストアを生成します。
      openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -out nfa-console-keystore.pfx
    2. コンソール証明書および
      CA
      証明書が含まれるトラスト ストアを生成します。
      openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -certfile nfa-ca-cert.pem -out nfa-console-truststore.pfx
  6. openssl
    を使用して、
    CA
    の署名が入った各
    Harvester
    用の新しい証明書を生成します。
    1. 秘密鍵を生成します。
      openssl genrsa -des3 -out nfa-harvester-key.pem 2048
    2. 証明書署名要求を生成します。
      openssl req -new -key nfa-harvester-key.pem -out nfa-harvester.csr
      NFA Console と Harvester の間の HTTPS 通信を有効化するには、Harvester サーバの IP アドレスを共通名として指定します。
    3. 秘密鍵からパスフレーズを削除します。
      copy nfa-harvester-key.pem nfa-harvester-key.pem.orig openssl rsa -in nfa-harvester-key.pem.orig -out nfa-harvester-key.pem
    4. CA として機能するコンソールの署名が入った証明書を生成します。
      openssl x509 -req -days 1825 -in nfa-harvester.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-harvester-cert.pem -extfile SAN.cnf -extensions req_ext
      分散環境において Console と Harvester の間で安全な通信を有効化するには、SAN.cnf が必要です。
      [req_ext] subjectAltName= @alt_names [alt_names] DNS.1= host.example.com <!--fully qualified domain name--> DNS.2= Harvester_hostname IP.1= Harvester_host_ip_address
  7. openssl
    を使用して pkcs12 キーストアおよびトラスト ストアを生成し、ここに
    CA
    証明書と各 Harvester の
    CA
    証明書の署名が入った Harvester 証明書の両方を含めます。
    1. Harvester 秘密鍵および Harvester 証明書が含まれるキーストアを生成します。
      openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -out nfa-harvester-keystore.pfx
    2. Harvester 証明書および
      CA
      証明書が含まれるトラスト ストアを生成します。
      openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -certfile nfa-ca-cert.pem -out nfa-harvester-truststore.pfx
    3. Console のトラスト ストアにインポートするための Harvester 証明書を生成します。
      openssl pkcs12 -in nfa-harvester-keystore.pfx -nokeys -out nfa-harvester.cer
    4. Console のトラスト ストアに Harvester 証明書を追加するには、以下のコマンドを実行します。
      keytool -import -alias testing -file nfa-harvester.cer -keystore nfa-console-truststore.pfx
  8. 作成された証明書にエラーがないことを確認します。
    openssl verify -CAfile nfa-ca-cert.pem nfa-console-cert.pem nfa-harvester-cert.pem
各 Harvester で、以下を実行します。
  1. 証明書および証明書ストアを格納するためのディレクトリを
    install_path
    \certs
    という名前で作成します。
  2. 手順 1 で作成した
    certs
    ディレクトリに
    CA
    証明書ファイル、Harvester 証明書ファイルおよび Harvester 証明書ストア(キーストアおよびトラスト ストア)をコピーします。
  • 実際の認証局の署名が入った証明書を使用している場合は、これらの手順を使用して、
    install_path
    \certs
    ディレクトリに必要な
    *.pfx
    ファイルを生成できます。
    install_path
    \certs
    ディレクトリに証明書ファイルおよび秘密鍵ファイルのコピーを
    pem
    形式で配置します。
    *.pfx
    および
    *.pem
    ファイルは、
    Network Flow Analysis
    を保護するために必要です。
  • スタンドアロン環境では、外部 CA 署名済みコンソール証明書および NFA CA 署名済み証明書を使用できません。