Add Certificate ウィザード

Add Certificate ウィザードは、新しい証明書をトラスト ストアに追加するのに役立ちます。 このウィザードでは、以下の任意の方法を使用して、証明書を受け入れることができます。
gateway90
Add Certificate ウィザードは、新しい証明書をトラスト ストアに追加するのに役立ちます。 このウィザードでは、以下の任意の方法を使用して、証明書を受け入れることができます。
  • HTTPS または LDAPS URL からの取得
  • ファイルからのインポート
  • ウィザードへの直接貼り付け
このウィザードは、
[Manage Certificates]
ダイアログ ボックスの[Add]をクリックすると起動されます。
ユーザを認証するために使用される証明書には、ユーザ名に一致する CN 値が必要です。 たとえば、ユーザ名が「suejones」である場合、証明書内の CN 値も「suejones」でなくてはなりません。 そうではなく、CN が「mycompany.suejones.com」である場合、認証は失敗します。 ユーザ用の証明書の追加に関する詳細については、「内部ユーザのプロパティ」の「[Certificate]タブの設定」を参照してください。
目次
手順 1: Enter Certificate Info
この手順では、新しい HTTPS または LDAPS 証明書のソースを指定できます。
証明書を取得する方法を指定します。
  • Retrieve via SSL Connection:
    HTTPS または LDAPS URL から証明書を取得するには、このオプションを選択します。
  • Import from a File:
    ローカル ファイルから証明書を取得するには、このオプションを選択します。 フィールドにファイル パスを入力するか、[
    Browse
    ]を使用してファイルを特定します。
  • Import from Known Trusted Certificate:
    Layer7 API Gateway
    のトラスト ストアの既知の信頼できる証明書を使用するには、このオプションを選択し、ドロップダウン リストから証明書を選択します。 信頼できる証明書の詳細については、「証明書の管理」を参照してください。
  • Import from Private Key's Certificate Chain:
    秘密鍵の証明書チェーンから証明書を取得するには、このオプションを選択し、ドロップダウン リストから秘密鍵を選択します。 秘密鍵の詳細については、「秘密鍵の管理」を参照してください。
  • Copy and Paste:
    元のファイルから証明書全体をコピーしてコード ウィンドウに貼り付けるには、このオプションを選択します。 貼り付ける証明書の形式を指定します。
    • Base64 PEM:
      証明書は、PEM マーカ(「-----BEGIN CERTIFICATE-----」および「-----END CERTIFICATE-----」)で囲み、RFC3548 に準拠したフォーマットを使用する必要があります。 これがデフォルトの設定です。
    • Base64:
      証明書はフォーマットにかかわらずインポートでき、PEM マーカを必要としません。
  • Security Zone:
    必要に応じて、セキュリティ ゾーンを選択します。 セキュリティ ゾーン(セキュリティ ロールの許可)からこのエンティティを削除するには、[No security zone]を選択します。 セキュリティ ゾーンの詳細については、「セキュリティ ゾーンの理解」を参照してください。 このコントロールは、(a)セキュリティ ゾーンが定義されていない、または(b)(ゾーン内部のエンティティへの読み取りアクセス権があるかどうかに関係なく)セキュリティ ゾーンへの読み取りアクセス権がない場合は表示されません。
ウィザードの次の手順に移動する際にエラーが発生する場合は、入力した証明書情報が正しいことを確認して再試行してください。
手順 2: View Certificate Details
この手順は、Policy Manager が証明書を正常に取得できた場合に表示されます。
この手順を使用する方法
  • Certificate Name:
    必要に応じて、証明書のわかりやすい名前を入力します。
  • Details:
    証明書の詳細を確認します。
CA ルート証明書によって署名されたクライアント証明書を持つ新しいフェデレーション アイデンティティ プロバイダ ユーザを作成する場合、証明書の「Issued to」値はユーザの「X509 Subject DN」値に一致する必要があります。 一致しない場合、元の DN を証明書の DN と置き換えるかどうかの確認を求められます。
手順 3: Specify Certificate Options
この手順では、1 つ以上の証明書使用オプションを選択できます。 証明書の使用方法を指定します。
Outbound SSL Connections
インポートされた証明書が、保護された Web サービスをホストする SSL サーバに属する場合、このオプションを選択します。
LDAP サーバの SSL 証明書をトラスト ストアにインポートする場合は、必ずこのオプションを選択してください。
警告:
サーバの証明書がこの証明書使用オプションを使用してインポートされた場合を除き、ホスト サーバが自己署名 SSL 証明書または信頼されていない CA (認証局)によって署名された SSL 証明書を使用する場合、サービス ポリシーの Route via HTTP(S) アサーションでは SSL を使用して接続できません。 詳細については、以下の[Signing Client Certificates]使用オプションを参照してください。
Signing Certificates for Outbound SSL Connections
インポートされた証明書が、保護された Web サービスをホストするサーバの SSL ポリシーに署名する CA (認証局)の署名証明書である場合、このチェック ボックスをオンにします。
LDAP サーバの CA 証明書をトラスト ストアにインポートする場合は、必ずこのオプションを選択してください。
上記からの同じ「警告」がここにも当てはまります。
Signing Client Certificates
インポートされた証明書がクライアント ポリシーに署名する CA の署名証明書である場合、このチェック ボックスをオンにします。 クライアント ポリシーは、SSL クライアント認証、XML 署名や暗号化など、さまざまな目的に使用できます。 このオプションを有効にしてインポートされた証明書は、フェデレーション アイデンティティ プロバイダで使用できます。
Signing SAML Tokens
インポートされた証明書が、SAML 認証情報ソースのワークフローでのように SAML 発行機関の署名証明書である場合、このチェック ボックスをオンにします。 このオプションを有効にしてインポートされた証明書は、フェデレーション アイデンティティ プロバイダで使用できます。
SAML Attesting Entity
SAML トークンを証明するアイデンティティを許可するようにフェデレーション アイデンティティ プロバイダを設定するには、このチェック ボックスをオンにします。 [SAML Attesting Entity]証明書使用オプションでは、「Sender Vouches」サブジェクト確認方式で設定された Require SAML Token Profile アサーションが存在する必要があります。
XML VPN Client
を設定し、SAML を使用してリクエスタのアイデンティティを保証する方法については、
オンライン ドキュメント
の「SAML Sender Vouches の設定techdocs.broadcom.com」を参照してください。
手順 3 で使用オプションを指定せずに、ウィザードを完了できます。 ただし、証明書を使用できるようにするには、少なくとも 1 つの使用オプションを後で指定する必要があります。 後でオプションを指定する方法については、「証明書の編集」を参照してください。
手順 4: Configure Validation
この手順では、証明書の検証オプションを指定できます。
証明書の以下の検証オプションを指定します。
Certificate is a Trust Anchor
証明書がトラスト アンカーかどうかを指定します。トラスト アンカーとは、信頼を確立する開始点です。 デフォルトでは、
Layer7 API Gateway
のトラスト ストアに追加された証明書はすべてトラスト アンカーです。 証明書をトラスト アンカーとして設定すると、証明書チェーンに従う必要がなくなります。
トラスト アンカーの詳細については、「証明書の検証の管理」を参照してください。
Verify Hostnames for Outbound SSL Connections
この設定は、手順 3 で「送信」オプションのいずれかが選択されている場合に利用可能です。 これによって、
Layer7 API Gateway
がリクエストの URL 内のホスト名に対して信頼できる証明書内のホスト名を検証する必要があるかどうかを指定します。 このオプションが有効で、ホスト名が一致しない場合、リクエストは拒否されます。 このオプションが無効の場合、ホスト名が一致するかどうかの検証は行われません。
この設定は
io.httpsHostVerify
クラスタ プロパティと共に動作します。このプロパティは、証明書に対してサーバ ホスト名を検証するタイミングも指定します。
Revocation Checking
この証明書の失効について確認する方法を指定します。
  • Default:
    Manage Certificate Validation]ダイアログ ボックスでの定義に従って、デフォルトの失効確認ポリシーを使用します。
  • Disabled:
    この証明書の失効について確認しません。
  • Selected:
    ドロップダウン リストから別の失効確認ポリシーを使用します。
失効確認の詳細については、「証明書の検証の管理」を参照してください。