テスト環境で使用する自己署名 SSL 証明書の作成

テスト環境で使用する自己署名 SSL 証明書を作成する方法。
3-4
管理者として、自己署名 SSL 証明書を作成できます。これは、セキュリティ リスクを防ぐための最低限の要件としてお勧めします。このオプションは無償で利用でき、テスト環境に役立ちます。
単一サーバの実稼働環境用に SSL 証明書を取得してインストールする方法については、「単一サーバの実稼働環境用の SSL 証明書の取得および適用」を参照してください。
クラスタ化されている実稼働環境用に SSL 証明書を取得してインストールする方法については、「実稼働クラスタ用の SSL 証明書の取得および適用」を参照してください。
実稼働環境の場合は、SSL 証明書を使用した安全な接続CSR (Certificate Signing Request、証明書署名要求)の生成は、追加の手順を必要とし、費用が発生する可能性があります。通常、CSR は組織ポリシーで必要な場合に使用されます。クラスタ用に CSR と証明書を生成するには、「実稼働クラスタ用の SSL 証明書の取得および適用」を参照してください。
2
ビデオの概要
この短いビデオでは、自己署名証明書を作成する手順の概要を説明しています。

自己署名証明書の作成
この手順を使用して、自己署名証明書を作成します。
以下の手順に従います。
  1. PAM UI で、
    [構成]
    -
    [セキュリティ]
    -
    [証明書]
    ページに移動します。
    デフォルトで表示される
    [作成]
    タブを使用します。
  2. [タイプ]
    [自己署名証明書]
    オプションを選択します。
  3. 以下のフィールドに情報を入力します。赤いアスタリスクの付いたフィールドのみが必須です。特殊文字は使用できません。
    • キー サイズ:
      2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
    • 共通名:
      10.144.39.187
      など、証明書リクエストに
      Privileged Access Manager
      の FQDN または IP アドレスを入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
    • 国:
      US、FR、JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
    • 都道府県:
      イリノイやケベックなど、オプションの都道府県を入力します。このフィールドは X.509 証明書の ST 値にマップします。
    • 市区町村:
      パリやアイランディアなど、市区町村を入力します。このフィールドは X.509 証明書の L 値にマップします。
    • 組織:
      「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。
    • 組織単位:
      「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を設定します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。
    • 日:
      有効期間を設定します。現在のアプライアンス日付は、証明書の「これよりも前には無効」の日付になります。したがって、[日]フィールドは「これよりも後には無効」の日付を決定するのに使用されます。
    • SAN の共通名を使用:
      一部のブラウザでは
      [Alternative Subject Names (サブジェクトの別名)]
      フィールドの値が必要となるため、デフォルトで共通名が繰り返し使用されます。フィールド内に他の名前を追加するには、このチェック ボックスをオフにします。引き続き、共通名を
      [Alternative Subject Names (サブジェクトの別名)]
      フィールドで繰り返し使用する必要があります。
    • Alternative Subject Names (サブジェクトの別名):
      一部のブラウザでは、このフィールドに値が必要です。値が指定されていない場合、ここでは共通名が繰り返し使用されます。複数のアドレスを使用してアプライアンスにアクセスする場合は、FQDN および IP アドレス エイリアスから共通名までを 1 行ごとに入力します。このリストには、共通名を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。
      For Clusters (クラスタ用)(内部テスト環境のみ):
      VIP およびクラスタのすべてのメンバの FQDN および IP アドレスを追加します。クラスタにアクセスするのに使用されるホスト名または短い VIP 名も追加する必要があります。
    • ファイル名:
      証明書の名前を作成します。
      ファイル名に作成日や有効期限日を含めます。たとえば、
      capam_exp2019-07-19
      と命名します。
  4. 作成
    ]を選択します。
    確認メッセージがページの一番上に表示されます。
  5. 証明書を使用するためにステージングするには、次の手順に従います。
    1. 設定
      ]タブで、以前に作成した証明書のファイル名を選択します。拡張子
      crt
      がファイル名に追加されます。
    2. [検証]
      を選択して、この証明書が
      Privileged Access Manager
      で受け入れられることを確認します。
    3. 新しい証明書に切り替えるには、[
      承諾
      ]を選択します。
    4. アプライアンスを再起動すると、新しい証明書が有効になります。
    5. ブラウザで、信頼されたルート証明書として証明書をインストールします。
    6. セキュリティ アラート
      ]ポップアップ ウィンドウが表示されたら、[
      証明書を表示する
      ]を選択します。
    7. 証明書
      ]ポップアップ ウィンドウが表示されたら、[
      証明書をインストールする
      ]を選択します。
      PAM エージェント 3.4 以降は、期限切れでない信頼されていない証明書を使用した PAM サーバへの接続をサポートしています。古いバージョンの PAM エージェントがサーバに接続して更新をダウンロードできない場合は、そのエージェントを新しいバージョンに置き換える必要があります。
    8. [はい]
      ボタンを選択します。