テスト環境で使用する自己署名 SSL 証明書の作成
テスト環境で使用する自己署名 SSL 証明書を作成する方法。
3-4
管理者として、自己署名 SSL 証明書を作成できます。これは、セキュリティ リスクを防ぐための最低限の要件としてお勧めします。このオプションは無償で利用でき、テスト環境に役立ちます。
単一サーバの実稼働環境用に SSL 証明書を取得してインストールする方法については、「単一サーバの実稼働環境用の SSL 証明書の取得および適用」を参照してください。
クラスタ化されている実稼働環境用に SSL 証明書を取得してインストールする方法については、「実稼働クラスタ用の SSL 証明書の取得および適用」を参照してください。
実稼働環境の場合は、SSL 証明書を使用した安全な接続CSR (Certificate Signing Request、証明書署名要求)の生成は、追加の手順を必要とし、費用が発生する可能性があります。通常、CSR は組織ポリシーで必要な場合に使用されます。クラスタ用に CSR と証明書を生成するには、「実稼働クラスタ用の SSL 証明書の取得および適用」を参照してください。
2
ビデオの概要
この短いビデオでは、自己署名証明書を作成する手順の概要を説明しています。
自己署名証明書の作成
この手順を使用して、自己署名証明書を作成します。
以下の手順に従います。
- PAM UI で、[構成]-[セキュリティ]-[証明書]ページに移動します。デフォルトで表示される[作成]タブを使用します。
- [タイプ]で[自己署名証明書]オプションを選択します。
- 以下のフィールドに情報を入力します。赤いアスタリスクの付いたフィールドのみが必須です。特殊文字は使用できません。
- キー サイズ:2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
- 共通名:や10.144.39.187など、証明書リクエストにPrivileged Access Managerの FQDN または IP アドレスを入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
- 国:US、FR、JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
- 都道府県:イリノイやケベックなど、オプションの都道府県を入力します。このフィールドは X.509 証明書の ST 値にマップします。
- 市区町村:パリやアイランディアなど、市区町村を入力します。このフィールドは X.509 証明書の L 値にマップします。
- 組織:「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。
- 組織単位:「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を設定します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。
- 日:有効期間を設定します。現在のアプライアンス日付は、証明書の「これよりも前には無効」の日付になります。したがって、[日]フィールドは「これよりも後には無効」の日付を決定するのに使用されます。
- SAN の共通名を使用:一部のブラウザでは[Alternative Subject Names (サブジェクトの別名)]フィールドの値が必要となるため、デフォルトで共通名が繰り返し使用されます。フィールド内に他の名前を追加するには、このチェック ボックスをオフにします。引き続き、共通名を[Alternative Subject Names (サブジェクトの別名)]フィールドで繰り返し使用する必要があります。
- Alternative Subject Names (サブジェクトの別名):一部のブラウザでは、このフィールドに値が必要です。値が指定されていない場合、ここでは共通名が繰り返し使用されます。複数のアドレスを使用してアプライアンスにアクセスする場合は、FQDN および IP アドレス エイリアスから共通名までを 1 行ごとに入力します。このリストには、共通名を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。For Clusters (クラスタ用)(内部テスト環境のみ):VIP およびクラスタのすべてのメンバの FQDN および IP アドレスを追加します。クラスタにアクセスするのに使用されるホスト名または短い VIP 名も追加する必要があります。
- ファイル名:証明書の名前を作成します。ファイル名に作成日や有効期限日を含めます。たとえば、capam_exp2019-07-19と命名します。
- [作成]を選択します。確認メッセージがページの一番上に表示されます。
- 証明書を使用するためにステージングするには、次の手順に従います。
- [設定]タブで、以前に作成した証明書のファイル名を選択します。拡張子crtがファイル名に追加されます。
- [検証]を選択して、この証明書がPrivileged Access Managerで受け入れられることを確認します。
- 新しい証明書に切り替えるには、[承諾]を選択します。
- アプライアンスを再起動すると、新しい証明書が有効になります。
- ブラウザで、信頼されたルート証明書として証明書をインストールします。
- [セキュリティ アラート]ポップアップ ウィンドウが表示されたら、[証明書を表示する]を選択します。
- [証明書]ポップアップ ウィンドウが表示されたら、[証明書をインストールする]を選択します。PAM エージェント 3.4 以降は、期限切れでない信頼されていない証明書を使用した PAM サーバへの接続をサポートしています。古いバージョンの PAM エージェントがサーバに接続して更新をダウンロードできない場合は、そのエージェントを新しいバージョンに置き換える必要があります。
- [はい]ボタンを選択します。
詳細については、以下のトピックを参照してください
: