自己署名証明書または証明書署名要求を作成する
サード
capam32
HID_ConfigCertificates
3
手順のビデオを視聴
このトピックの手順の例を示す、以下のビデオを視聴してください。
自己署名証明書の作成
アプライアンスとクライアントの間の安全な通信を設定する最も簡単な方法は、自己署名証明書を作成することです。コストはかかりませんが、サードパーティによって検証されているわけではないため、信頼されません。そのため、テスト用にのみ適切です。
以下の手順に従います。
- [設定]-[セキュリティ]-[証明書]ページの[作成]タブで、[タイプ]に対して[自己署名証明書]オプションを選択します。
- 以下のフィールドに情報を入力します。赤いアスタリスクの付いたフィールドのみが必須です。特殊文字は使用できません。
- キー サイズ:2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
- 共通名:証明書リクエストにPrivileged Access Managerの FQDN または IP アドレス(capam.ca.comや10.144.39.187など)を入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
- 国:US、FR、または JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
- 都道府県:イリノイやケベックなど、オプションの都道府県を入力します。このフィールドは X.509 証明書の ST 値にマップします。
- 市区町村:パリやアイランディアなど、市区町村を入力します。このフィールドは X.509 証明書の L 値にマップします。
- 組織:「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。
- 組織単位:「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を設定します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。
- 日:有効期間を設定します。現在のアプライアンス日付は、証明書の「これよりも前には無効」の日付になります。したがって、[日]フィールドは「これよりも後には無効」の日付を決定するのに使用されます。
- 代替サブジェクト名:この設定は任意ですが、複数のアドレスを使用してアプライアンスにアクセスする場合には必須です。FQDN および IP アドレス エイリアスから共通名までを 1 行に入力します。このリストには、共通名を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。クラスタ:クラスタの場合、VIP およびクラスタのすべてのメンバの FQDN および IP アドレスを追加します。クラスタにアクセスするのに使用されるホスト名または短い VIP 名も追加する必要があります。
- ファイル名:証明書の名前を作成します。ファイル名に作成日や有効期限日を含めます。たとえば、capam_exp2019-07-19と命名します。
- [作成]を選択します。確認メッセージがページの一番上に表示されます。
- 使用する証明書のステージ。[設定]タブで、以前に作成した証明書のファイル名を選択します。拡張子crtがファイル名に追加されます。
- [検証]を選択して、この証明書がPrivileged Access Managerで受け入れられることを確認します。
- 新しい証明書に切り替えるには、[承諾]を選択します。
- アプライアンスを再起動すると、新しい証明書が有効になります。
- ブラウザで、信頼されたルート証明書として証明書をインストールします。
- [セキュリティ アラート]ポップアップ ウィンドウが表示されたら、[証明書を表示する]を選択します。
- [証明書]ポップアップ ウィンドウが表示されたら、[証明書をインストールする]を選択します。[発行先]フィールドは、Privileged Access Managerへのアクセスに使用される URL と一致している必要があります。Microsoft 証明書のインポートでは、証明書ストアの自動選択を選択すると、証明書が正しくインストールされます。この証明書はルート証明書であるため、追加のセキュリティ警告が表示されます。この警告は、安全にバイパスすることができます。
- [はい]ボタンを選択します。
サードパーティ証明書のリクエスト
1 つのアプライアンス用の証明書要求を作成するには、このプロセスを使用します。クラスタについては、「クラスタの証明書のリクエスト」を参照してください。サードパーティから証明書を要求するには、以下のワークフローに従います。
サードパーティ証明書のリクエスト
/content/request_a_third-party_certificate.png/_jcr_content/renditions/original)
証明書署名要求の作成
1 つのアプライアンスについて CSR (Certificate Signing Request、証明書署名要求)リクエストを作成するには、以下の手順に従います。
- [証明書]ページの[作成]タブで、[タイプ]に対して[CSR]オプションを選択します。以下のフィールドの情報を入力します。特殊文字は使用できません。
- キー サイズ:2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
- 共通名:証明書リクエストにPrivileged Access Managerの FQDN または IP アドレス(capam.ca.comや10.144.39.187など)を入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
- 国:US、FR、または JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
- 都道府県:イリノイやケベックなど、オプションの都道府県を入力します。このフィールドは X.509 証明書の ST 値にマップします。
- 市区町村:パリやアイランディアなど、市区町村を入力します。このフィールドは X.509 証明書の L 値にマップします。
- 組織:「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。
- 組織単位:「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を入力します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。
- 日:日数は自己署名証明書にのみ使用されます。
- 代替サブジェクト名:この設定は任意ですが、複数のアドレスを使用してアプライアンスにアクセスする場合には必須です。FQDN および IP アドレス エイリアスから共通名までを 1 行に入力します。このリストには、共通名を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。
- ファイル名:証明書の名前を作成します。このファイル名は生成される秘密キーの名前でもあります。この名前は、アップロードされたときに、証明書の名前と正確に一致にする必要があります。ファイル名に作成日や有効期限日を含めます。たとえば、capam_exp2019-07-19と命名します。
- [作成]を選択します。
- [ダウンロード]タブで、作成した CSR のファイル名を選択します。このファイルの拡張子は PEM (Privacy Enhanced Mail)です。
- [ダウンロード]を選択します。このファイルを使用して、Entrust などサードパーティ CA (Certificate Authority、認証機関)の証明書をリクエストします。サードパーティがサイトを検証することから、ユーザはルート証明書をインストールする必要がありません。
- サードパーティ認証機関の指示に従って証明書を受信します。
サードパーティ証明書の適用
認証機関から証明書を受信したら、アプライアンスに適用します。証明書は複数のファイルで構成されている場合があります。以下の手順に従います。
- 必要に応じて、サードパーティから受信した証明書の名前を次のようになるように変更します。
- ベース名が、当初生成された名前と同じである
- ファイルの拡張子が「.crt」であるたとえば、元の PEM 名が abc.pem であった場合は、アップロードされたファイルの名前を abc.crt に変える必要があります。
- [構成]-[セキュリティ]-[証明書]ページの[アップロード]タブで、[ファイルの選択]ボタンを使用して証明書のファイル名を検索し、証明書を選択します。
- 以下のとおり、適切なタイプを選択します。CA から複数のファイルを受信した場合は、以下の順序でタイプごとに個別にアップロードします。
- CSR がこのアプライアンスによって生成された場合、[証明書]を使用します。
- CSR がこのアプライアンスによって生成されなかった場合、[証明書と秘密キー]を使用します。クラスタの場合、CSR を生成する必要があるプライマリ サイトの最初のメンバを除くすべてのメンバにこのオプションを使用します。
- CA から CA チェーン証明書が提供された場合、[CAバンドル]を使用します。
- CA から中間証明書が提供された場合、[中間証明書]を使用します。
- CA から CRL ファイルが提供された場合、[証明書失効リスト]を使用します。CRL をアップロードすると、[証明書情報]ページに表示されます。CA が OCSP (Online Certificate Status Protocol)レスポンダ(サーバ)を使用している場合、CRL ファイルは受信されません。[CRL オプション]タブで[OCSP の使用]を選択する必要があります。
- [その他のオプション]は、証明書に適用可能な形式(X509 または PKCS)を選択します。
- 証明書のファイル名を変更するには、[宛先ファイル名]を使用します。名前が同じ場合は、このフィールドを空白のままにすることができます。Privileged Access Managerで CSR を生成した場合は、秘密キーと正しく一致するように、[宛先ファイル名]が CSR の名前と一致している必要があります。
- 証明書で必要な場合は、パスフレーズを入力し、[確認]で再入力します。
- 新しい証明書をステージします。[設定]タブで、サードパーティ認証機関によって生成された証明書を選択します。
- [検証]を選択して、証明書がPrivileged Access Managerで受け入れられることを確認します。確認フレーズまたはエラー メッセージがページの上部に表示されます。
- 確認後に[承諾]を選択すると、アクティブ化のために新しい証明書がステージされます。
- 新しい証明書をアクティブ化するには、Privileged Access Managerを再起動します。
- 再起動後に、[構成]-[セキュリティ]-[証明書]に戻ります。[設定]タブの[システムの認証]フィールドに、新しくアクティブ化された証明書の名前が表示されています。
CRL オプション
CRL (Certificate Revocation List、証明書失効リスト)は、CA (Certificate Authority、認証機関)によって提供される、CA が取り消した証明書をリスト化したファイルです。CA から CRL をアップロードする場合は、「証明書情報」ページを参照してください。このページには、
Privileged Access Manager
に存在している CRL ファイルとそのステータスが表示されます。 CRL
CA が CRL を自動的にダウンロードするように指示している場合は、以下の手順を実行します。
- [構成]-[セキュリティ]-[証明書]ページで、[CRL オプション]タブを選択します。
- [タイプ]で[CRL の使用]を選択します。
- [CRL のタイプ]で[CRL を自動的にダウンロード]を選択します。
- [URL]テキスト ボックスで、CRL サーバの 1 つまたは複数の URL 名を入力します(1 行につき 1 つ)。
- [時間]で、CRL サーバをチェックする頻度を選択します。
必要に応じて、証明書プロパティで CRL または OSCP 情報を入手できます。Windows マシンで、CRT ファイルを右クリックし、[プログラムから開く]-[Crypto Shell Extensions]を選択します。[詳細]タブを表示します。
OCSP
OCSP (Online Certificate Status Protocol)は、CRL の新しい代替です。OCSP を使用すると、アプリケーションまたはブラウザが証明書の失効ステータスについてサーバにクエリできるようになります。
CA は、CRL で使用される
crlDistributionPoints
と同様に、証明書に OCSP サーバのアドレスを含めています。CA が OCSP を使用するように指示している場合は、以下の手順を実行します。
- [構成]-[セキュリティ]-[証明書]ページで、[CRL オプション]タブを選択します。
- [タイプ]で[OCSP の使用]を選択します。
- 他のすべてのオプションは無効です。使用されている場合、アプライアンスは特定の証明書に関連する OCSP サーバと自動的に通信します。
アプレットに署名
Privileged Access Manager
Java アプレット JAR も証明書で署名できます。Java アプレットの署名方法の詳細については、「クライアント ワークステーションでの Java の管理」を参照してください。