実稼働クラスタ用の SSL 証明書の取得および適用

認証局(CA)から SSL 証明書を要求し、クラスタ内のすべてのノードに適用する方法。
3-4
このコンテンツでは、社内またはサードパーティの CA から実稼働クラスタ用に SSL 証明書を取得して適用する方法について説明します。
単一サーバの実稼働環境用に SSL 証明書を取得してインストールする方法については、「単一サーバの実稼働環境用の SSL 証明書の取得および適用」を参照してください。
小規模な開発環境用に自己署名 SSL 証明書を作成してインストールするには、「テスト環境で使用する自己署名 SSL 証明書の作成」を参照してください。
クラスタ化された環境で PAM サーバとユーザ セッション間の通信を保護するには、クラスタ内の各ノードで、VIP およびクラスタのすべてのメンバの FQDN および IP アドレスを含む
同じ
SSL 証明書が必要です。
証明書をインストールするためにクラスタを停止する必要は
ありません
。クラスタの稼働中に一度に 1 つのノードにインストールします。
認証局(CA)から証明書を取得してクラスタ内のすべてのノードに適用するには、以下の手順に従います。
2
CSR (Certificate Signing Request、証明書署名要求)を作成して CA に送信
クラスタ全体の
CSR 発行元
として
マスタ以外
のプライマリ サイト内の任意のノードを指定し、そのサーバから CSR を作成します。
CSR 発行元で次の手順に従います。
  1. [証明書]
    ページの
    [作成]
    タブで、
    [タイプ]
    に対して
    [CSR]
    オプションを選択します。以下のフィールドの情報を入力します。特殊文字は使用できません。
    • キー サイズ:
      2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
    • 共通名:
      pam.ca.com
      など、クラスタ仮想 IP アドレスの FQDN を入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
    • 国:
      US、FR、または JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
    • 都道府県:
      イリノイやケベックなど、オプションの都道府県を入力します。このフィールドは X.509 証明書の ST 値にマップします。
    • 市区町村:
      パリやアイランディアなど、市区町村を入力します。このフィールドは X.509 証明書の L 値にマップします。
    • 組織:
      「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。
    • 組織単位:
      「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を入力します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。
    • 日:
      日数は自己署名証明書にのみ使用されます。
    • 代替サブジェクト名:
      VIP とクラスタのすべてのメンバの FQDN および IP アドレスを入力します。クラスタにアクセスするのに使用されるホスト名または短い VIP 名も追加する必要があります。FQDN、IP アドレス、またはエイリアスはそれぞれ独自の行にする必要があります。このリストには、
      共通名
      を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。
    • ファイル名:
      証明書の名前を作成します。このファイル名は生成される秘密キーの名前でもあります。この名前は、アップロードされたときに、証明書の名前と正確に一致にする必要があります。
      ファイル名に作成日や有効期限日を含めます。たとえば、
      PAM-Cluster_exp2019-07-19
      と命名します。
  2. 作成
    ]を選択します。
  3. [ダウンロード]
    タブで、作成した CSR のファイル名を選択します。このファイルの拡張子は PEM (Privacy Enhanced Mail)です。
  4. [ダウンロード]
    を選択します。このファイルを使用して、Entrust などの CA (Certificate Authority、認証局)からの証明書を要求します。サードパーティがサイトを検証することから、ユーザはルート証明書をインストールする必要がありません。
  5. 秘密キー(CSR と同じ名前で拡張子が .key)をファイル名ドロップダウン リストから選択します。これは、
    [秘密キー]
    という見出しの下に表示されます。
  6. 秘密キーを暗号化するための
    [パスワード]
    [パスワードの確認]
    を入力します。後で使用するためにこのパスワードを記録しておきます。
  7. [ダウンロード]
    を選択します。
    秘密キー
    を保存し、その他のクラスタ メンバのために受信した証明書に後で追加します。
  8. ダウンロードした CSR を使用して証明書を要求するには、CA から提供された手順に従います。
認証局が必要なすべての証明書および証明書失効情報を単一の証明書ファイルで提供する場合は、「単一の SSL 証明書からの必要な証明書および CRL の抽出」で説明されている手順に従ってそれらを抽出します。
CSR 発行元へのサードパーティ証明書のアップロードおよび適用
トラスト チェーンに対する証明書および CRL を取得したら、CSR を生成したプライマリ サイト ノードにそれらをアップロードして適用します。
エラーを回避するには、以下の順序で証明書をアップロードします
  1. ルート証明書のアップロード
    1. [構成]
      -
      [セキュリティ]
      -
      [証明書]
      ページに移動します。
      [アップロード]
      タブを選択します。
    2. [タイプ]
      として
      [CA バンドル]
      を選択します。
    3. [その他のオプション]
      には、証明書に適用可能な形式(X.509 または PKCS)を選択します。
    4. [ファイルの選択]
      ボタンを使用して証明書のファイル名を検索し、ルート証明書を選択します。
    5. [アップロード]
      を選択します。
      操作が完了した場合は、画面の最上部に成功を示すメッセージが表示されます。
  2. 中間 CRL のアップロード
    1. [タイプ]
      として
      [証明書失効リスト]
      を選択します。
    2. [その他のオプション]
      には、CRL に適用可能な形式(X.509 または PKCS)を選択します。
    3. [ファイルの選択]
      ボタンを使用して中間 CRL のファイル名を検索し、中間 CRL を選択します。
    4. [アップロード]
      を選択します。
      操作が正常に完了した場合は、画面の最上部に CRL ソースに関する詳細を示すメッセージが表示されます。
  3. 中間証明書のアップロード
    1. [タイプ]
      として
      [中間証明書]
      を選択します。
    2. [その他のオプション]
      には、証明書に適用可能な形式(X.509 または PKCS)を選択します。
    3. [ファイルの選択]
      ボタンを使用して中間証明書のファイル名を検索し、中間証明書を選択します。
    4. [アップロード]
      を選択します。
      操作が正常に完了した場合は、画面の最上部に中間証明書に関する詳細を示すメッセージが表示されます。
  4. デバイス CRL のアップロード
    1. [タイプ]
      として
      [証明書失効リスト]
      を選択します。
    2. [その他のオプション]
      には、CRL に適用可能な形式(X.509 または PKCS)を選択します。
    3. [ファイルの選択]
      ボタンを使用してデバイス CRL のファイル名を検索し、デバイス CRL を選択します。
    4. [アップロード]
      を選択します。
      操作が正常に完了した場合は、画面の最上部に CRL ソースに関する詳細を示すメッセージが表示されます。
  5. デバイス証明書のアップロード
    1. [タイプ]
      として
      [証明書]
      を選択します。
    2. [その他のオプション]
      には、証明書に適用可能な形式(X.509 または PKCS)を選択します。
    3. [ファイルの選択]
      ボタンを使用して証明書のファイル名を検索し、デバイス証明書を選択します。
    4. 証明書のファイル名を変更するには、[
      宛先ファイル名
      ]を使用します。名前が同じ場合は、このフィールドを空白のままにすることができます。
      Privileged Access Manager
      で CSR を生成した場合は、秘密キーと正しく一致するように、[宛先ファイル名]が CSR の名前と一致している必要があります。必要に応じて、サードパーティから受信した証明書の名前を次のようになるように変更します。
      1. ベース名が、当初生成された名前と同じである
      2. ファイルの拡張子が「.crt」である
        たとえば、元の PEM 名が abc.pem であった場合は、アップロードされたファイルの名前を abc.crt に変える必要があります。
    5. 秘密キーを含む証明書をアップロードしている場合は、キーを作成するために使用した
      パスフレーズ
      を入力し、
      [確認]
      で再入力します。
    6. [アップロード]
      を選択します。
      操作が完了した場合は、画面の最上部に成功を示すメッセージが表示されます。
    7. [検証]
      を選択して、証明書が
      Privileged Access Manager
      で受け入れられることを確認します。
      確認またはエラー メッセージがページの上部に表示されます。
    8. すべてのクラスタ メンバが証明書をアップロードするまで、証明書を
      受け入れない
      でください。受け入れた証明書を設定するには、再起動する必要があります。他のクラスタ メンバの次の手順が完了するまで待機してから、クラスタをオフにし、各メンバの証明書を受け入れます。
CSR 発行元での証明書の確認および適用
CSR を生成したプライマリ サイト ノードで以下の手順を実行し、証明書を確認して適用します。
以下の手順に従います。
以下の手順に従います。
  1. 新たなログインを回避するために、[メンテナンス モード]をオンにします。
    1. [構成] - [診断] - [システム]
      に移動します。
    2. 保守モード
      ]オプションを[
      オン
      ]に設定します。
    3. (省略可能) PAM を早めに停止してアクティブなユーザ セッションが突然終了しないように、すべてのユーザ セッションが終了するまでサーバを監視します。
  2. [構成]
    -
    [証明書]
    画面に移動し、
    [ダウンロード]
    タブを選択します。
  3. [ファイル名]
    フィールドを選択し、ファイルのドロップダウン リストを確認します。すべての証明書と CRL がリスト表示されます。デフォルトのファイルもリストに含まれています。
  4. [設定]
    タブで、サードパーティ認証機関によって生成された証明書を選択します。
  5. [検証]
    をクリックして、証明書が Privileged Access Manager で受け入れられることを確認します。確認またはエラー メッセージがページの上部に表示されます。成功メッセージは、証明書チェーン全体が有効であることを意味します。
  6. 検証後に
    [承諾]
    を選択して新しい証明書を適用します。システム証明書が変更されたことを示すダイアログ ボックスが表示され、「新しい証明書を有効にするには、クラスタを停止し、アプライアンスを再起動してください。」というメッセージが表示されます。ただし、実稼働環境での可用性を維持するために、
    クラスタを停止せずに続行できます。
    [OK]
    ボタンを選択してダイアログ ボックスを閉じます。クラスタを
    停止しない
    でください。
  7. サーバを再起動して新しい証明書をアクティブ化するには、以下の手順に従います。
    1. [構成]
      -
      [パワー]
      に移動します。
    2. パワー
      画面には、「クラスタ警告」が表示され、任意のクラスタ メンバの電源を切るか再起動する前に PAM クラスタをオフにする必要があることが示されます。ただし、証明書をインストールするためにクラスタを停止する必要はないため、以下の画面キャプチャに示すように、このガイダンスを読んだことを確認するオプションを選択します。
    3. [インスタンスの再起動]
      ボタンを選択します。サーバが再起動します。
  8. 再起動後、以下の手順に従って証明書が正しくインストールされていることを確認します。
    1. PAM サーバにログインします。PAM UI には無効な証明書アイコンまたはメッセージは表示されません。
    2. [構成] - [セキュリティ] - [証明書]
      画面の
      [設定]
      タブに移動し、
      [システムの認証]
      フィールドに新しくアクティブ化された証明書の名前が表示されることを確認します。
他のノード用の証明書ファイルの準備
CA によって提供される証明書は、CSR 発行元でのみ有効です。その他のノードには、元のノードにある以下のファイルの内容を含むファイルが必要です。
  • CSR を作成したときに生成された秘密キー(.key)ファイル。
  • CSR に応答して CA によって提供された証明書(.crt)ファイル。
作成されたプライバシー強化メール(.pem)ファイルは、他のすべてのクラスタ ノードで有効です。
ファイルを結合(連結)するには、CSR を生成したノード上のコマンド プロンプトで、以下のいずれかのコマンドを入力します。
  • Linux
    cat
    private_key_file
    .key
    certificate_file
    .crt >
    combined_pem_file
    .pem
  • Windows
    type
    private_key_file
    .key
    certificate_file
    .crt >
    combined_pem_file
    .pem
作成された .pem ファイルの内容は、以下の例のようになります。
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-256-CBC,58B125ACF0792928BA28D7BC53901D86 FiR1gSddsYYDVQ7CCI0/gqC7L1mzct8GnzhmQ+47CNXkoosE4B3EWG25o3S/skaF QUAF8hdMHo0GapDpPyAspAjfUa2+ZPrKeRbISYyn4JIn3wKduhfqziJR2vzZwQFL l+cKhCv3aSKh+3/ZqR5+puDWjbgfpsR5F9XPjjqKJLrdmt3qxaSjzkoQNLi7Xfpr So35vADIJt9nP0jJ3tGAtVThMR1yaJaG1B71GkqShJ+X7o0np/Y7V14EXaV6WTrA uRia8YETRDlBcFBxj7VEfYiI+/1x4qx1CglWAJz4oL1mplEglWX/q8EeTz0TXduY ADrtffYGhjzoSOjWZjLKSa3zAYo0dLgKpiToNNm2JGipHMg8jnmtg9di52AOwqwr 266oqOaRnQ5OShpJOyxpwMpgbbalSekdZzdhFiWaQCg58coQnm6kSdPGwROp3g+L l0HWKoQJMVsHjZn5hn7YepD0x01aiiKCxxKkziYtY4jdbQaNOm2FmTz1xrt2AsRH OAYgXfbKOM2FfGHAfMsWR++edch77+sc4uY+1B/NuB/gvHKtADwIGC7BLlEtaQEF aRp1P5Nu1JEXlEVfAHjv36IOUsVDpnM9jHs981G8oBefWS/Ca6QVE6hPPlaTd8i1 JuAFo8jsxT18OWIU6K/J2d53WD2zqDpIhuo5SwQQFSyKUo1e0dArpYVxpuPFHXxT uhZgxN+pKG9KYMjtvkUqpD1rS7eXqwoK2buR2Z9LUGZ7uFFZzF5+41w+/GlSkmF9 ND+YdIlrxdni+MnGyuRdJVWjR9rM6Z2ob7/FoXqeCOwAoJCyzucWWcHH+2oItBf6 TwmcdEfVq7dEoJdu9QdgrYR2oEDm22DTbEqSDCbT+J+GNAYlUPWTHjugJ2vjwW4D 6VGQhXa5Hiipmz4FmR43gV1EKUGvSAtXHyLznp/BDHm9KdoagBINUk3U130hMOPw 3Me91epgruKLHUMs07CCqHbkkgldDNCAKWlPpgQFXhqEH9dnfAbWZROxN2ekms66 RzB7+/QsGHKN7E7Z5CiUp7snKs+6NNgRdJeWbDZtmXJiAH/j4CKNNwIhYOaPN4Ox hS6ySqkZpm5NKNmDh21KM6VZsq2JU/jnXPfSqqqvuRFKgUDHvW7YvzwcG8h9ZQXu fo3wz1z8p0ukpBro2MIPZIhfdZZCcmlFPzpvlPeCvtyhaHLJs4AIvWV7cxhWNsyb KxCM9KASv4+5zNgqS2sPOIiu+QMFvobkkHliTowPHLBefattET0+ljQWivBW4B/4 j9wgrxTpTQ5Kv2MfX5AhLXdCAhYWL5OyxsrXQY5MkcNuXY+AIAUMVt/HSaQsjYLD v5R830SnhyeeJy7lHaBjNyF8DqwhtMrEuDVkSGRyynEaUTK2uqUalLZUZSvPrZc4 +g3zW9ppjCbqoBLorwK4q9G2j3LaHoXysnxjgCWt41GHELbAEnphb4zahU+d+Mj2 LlwJprw0adcLsw/p6ck0/IySLGJtjum4qRfQQPnD6pZQ+WjkyFZJqVDm8San01ie dJ6yBQlPJAspJLQNHHtG6TCZUcO93agKNd8T3RfbMygl0xVtWvOIYk5FeWz7YqIi -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIIFqTCCA5GgAwIBAgICEAEwDQYJKoZIhvcNAQELBQAweTELMAkGA1UEBhMCVVMx CzAJBgNVBAgMAk5ZMREwDwYDVQQKDAhDQSwgSW5jLjEnMCUGA1UECwweQ0EsIElu Yy4gQ2VydGlmaWNhdGUgQXV0aG9yaXR5MSEwHwYDVQQDDBhDQSwgSW5jLiBJbnRl cm1lZGlhdGUgQ0EwHhcNMTgwNjI4MjAwMzA0WhcNMTkwNzA4MjAwMzA0WjBiMQsw CQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxDjAMBgNVBAcMBUxpc2xlMRgw FgYDVQQKDA9DQSBUZWNobm9sb2dpZXMxFjAUBgNVBAMMDTEwLjI0Mi4zOS4xNzMw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDCNmnC1HMr6WQN84dSk7+2 WFzA+FPtlWADKGs1Kz/wdc4kyVEvhzEV6u2CwndY6ORWioTkcerLnUmJ1/wQ8ojO qHMvClGcTT0Uic7sNtKGoh/wYDK/x6N8Gtj8TWDZ9YOb/UYG4OHe2vvdp+esB29W zls+49+bwdSm//9NO6B72c/DGv80J9KIhUW1JK+B1nHlztivnxWJezLq6NiP9jQ+ xFNv8MECsY9cVhmIJMT5cluc5cojFcFY2+5aQzIRwrcux61t2L/CwHF5tQlhtbN3 JnjcdGt1XhEd2cz24T00tQGbxElA4z4/rNC25CrF6TIxoiFe68cqFnA0XEuK6qHv AgMBAAGjggFQMIIBTDAJBgNVHRMEAjAAMBEGCWCGSAGG+EIBAQQEAwIGQDAzBglg hkgBhvhCAQ0EJhYkT3BlblNTTCBHZW5lcmF0ZWQgU2VydmVyIENlcnRpZmljYXRl MB0GA1UdDgQWBBRamPBYA2gE++tvcLcmK+2H0lLQATCBsgYDVR0jBIGqMIGngBR0 SZjZFHL//vqS70zxAak6X4dxlKGBiqSBhzCBhDELMAkGA1UEBhMCVVMxCzAJBgNV BAgMAk5ZMREwDwYDVQQHDAhJc2xhbmRpYTERMA8GA1UECgwIQ0EsIEluYy4xJzAl BgNVBAsMHkNBLCBJbmMuIENlcnRpZmljYXRlIEF1dGhvcml0eTEZMBcGA1UEAwwQ Q0EsIEluYy4gUm9vdCBDQYICEAAwDgYDVR0PAQH/BAQDAgWgMBMGA1UdJQQMMAoG CCsGAQUFBwMBMA0GCSqGSIb3DQEBCwUAA4ICAQBl0cR5k7fBrF+kTU5YE8Lc48aX pQ9ybax2chJLfSdHUS1G+qldTatPhWqrKZsCYX7RA07+BB8VBxPie05eIL/azGrD Pdy7tzMm0iGm68uBe7lZW/3itXv2K1SNUEMdHTy787K+2/g8GqXC7Pdf6Nc1rIyl 98nqAPUgAUhBrgCBht1yj+OQpLFll6No/7o81gSkujCRxICW/fDBqRZd7HZ8WZjg m2zfbbZhpaay2leaVdKEOXzQNaexYGF4U9II/00JuBzAS0eoszNVbuwHWP+yzPdL Vg3Xtt4EasEV6/0izqsTpyCh9rnBVF1AFVOFWYAe+HPmJju8Vejzt7VU0EST7pA8 Okc9MUoRIyfO3g8qO7uC9DM+026ymxWat6dNy8tepkALrx12xI/oqD8zqT3BxA5R tISVCcszTdfdmAf+4DKlEbaqeUIDG8uIuBH8kR/oX7LrLZotWLl7piuqpvK3pcrB fizdZ6/+FR5GwhOYT+VdZS0FuoVrTVE6iwm+oPO0Gu35pFhKYshV/c2Hnf5NvMPY 0XU7vV5wlG+LbY5Z8u2ziOEiTg+9+uNrA/ryt8MG9Q/svHlOf2C8azUeY6Ykl3mC te7V+qAJ/ZACWhOlp/ycy8mgGIYbyuzHXKQfaJbgmR0ygaEaeoPaQp6pXycjlpSM O2zmSDDfvuQcWjhR4g== -----END CERTIFICATE-----
他のすべてのクラスタ ノードへの証明書の適用
CSR 作成者以外のすべてのクラスタ メンバで以下の手順を実行します。
指定された順序で証明書ファイルをアップロードします。そうしない場合、エラーが発生します。
正しい順序で証明書をアップロードするには、以下の手順に従います。
  1. ルート証明書のアップロード
    1. [構成]
      -
      [セキュリティ]
      -
      [証明書]
      ページに移動します。
      [アップロード]
      タブを選択します。
    2. [タイプ]
      として
      [CA バンドル]
      を選択します。
    3. [その他のオプション]
      には、証明書に適用可能な形式(X.509 または PKCS)を選択します。
    4. [ファイルの選択]
      ボタンを使用して証明書のファイル名を検索し、ルート証明書を選択します。
    5. [アップロード]
      を選択します。
      操作が完了した場合は、画面の最上部に成功を示すメッセージが表示されます。
  2. 中間 CRL のアップロード
    1. [タイプ]
      として
      [証明書失効リスト]
      を選択します。
    2. [その他のオプション]
      には、CRL に適用可能な形式(X.509 または PKCS)を選択します。
    3. [ファイルの選択]
      ボタンを使用して中間 CRL のファイル名を検索し、中間 CRL を選択します。
    4. [アップロード]
      を選択します。
      操作が正常に完了した場合は、画面の最上部に CRL ソースに関する詳細を示すメッセージが表示されます。
  3. 中間証明書のアップロード
    1. [構成]
      -
      [セキュリティ]
      -
      [証明書]
      ページに移動します。
      [アップロード]
      タブを選択します。
    2. [タイプ]
      として
      [CA バンドル]
      を選択します。
    3. [その他のオプション]
      には、証明書に適用可能な形式(X.509 または PKCS)を選択します。
    4. [ファイルの選択]
      ボタンを使用して証明書のファイル名を検索し、ルート証明書を選択します。
    5. [アップロード]
      を選択します。
      操作が完了した場合は、画面の最上部に成功を示すメッセージが表示されます。
  4. デバイス CRL のアップロード
    1. [タイプ]
      として
      [証明書失効リスト]
      を選択します。
    2. [その他のオプション]
      には、CRL に適用可能な形式(X.509 または PKCS)を選択します。
    3. [ファイルの選択]
      ボタンを使用してデバイス CRL のファイル名を検索し、デバイス CRL を選択します。
    4. [アップロード]
      を選択します。
      操作が正常に完了した場合は、画面の最上部に CRL ソースに関する詳細を示すメッセージが表示されます。
  5. デバイス証明書と秘密キーのアップロード
    1. [タイプ]
      として
      [証明書と秘密キー]
      を選択します。
    2. [その他のオプション]
      には、証明書に適用可能な形式(X.509 または PKCS)を選択します。
    3. [ファイルの選択]
      ボタンを使用して証明書のファイル名を検索し、デバイス証明書を選択します。
    4. 証明書のファイル名を変更するには、[
      宛先ファイル名
      ]を使用します。名前が同じ場合は、このフィールドを空白のままにすることができます。
      1. ベース名が、当初生成された名前と同じである
      2. ファイルの拡張子が「.crt」である
        たとえば、元の PEM 名が abc.pem であった場合は、アップロードされたファイルの名前を abc.crt に変える必要があります。
    5. キーを作成するために使用した
      パスフレーズ
      を入力し、
      [確認]
      で再入力します。[証明書と秘密キー]では、キーのダウンロード時に作成したパスワードが必要です。
    6. [アップロード]
      を選択します。
      操作が完了した場合は、画面の最上部に成功を示すメッセージが表示されます。
クラスタ内のその他のノード上で証明書の確認および適用
必要なファイルがすべてアップロードされたら、ファイルを検査して検証し、それらを受け入れます。証明書チェーンを受け入れると、アプライアンスによって再起動が求められます。この証明書は、アプライアンスが再起動されるまで有効になりません。
クラスタ内の他のすべてのノードで以下の手順に従い、すべての手順を完了してから次のノードを開始します。
  1. 新たなログインを回避するために、[メンテナンス モード]をオンにします。
    1. [構成] - [診断] - [システム]
      に移動します。
    2. 保守モード
      ]オプションを[
      オン
      ]に設定します。
    3. (省略可能) PAM を早めに停止してアクティブなユーザ セッションが突然終了しないように、すべてのユーザ セッションが終了するまでサーバを監視します。
  2. [構成]
    -
    [証明書]
    画面に移動し、
    [ダウンロード]
    タブを選択します。
  3. [ファイル名]
    フィールドを選択し、ファイルのドロップダウン リストを確認します。すべての証明書と CRL がリスト表示されます。デフォルトのファイルもリストに含まれています。
  4. [設定]
    タブで、サードパーティ認証機関によって生成された証明書を選択します。
  5. [検証]
    をクリックして、証明書が Privileged Access Manager で受け入れられることを確認します。確認またはエラー メッセージがページの上部に表示されます。成功メッセージは、証明書チェーン全体が有効であることを意味します。
  6. 検証後に
    [承諾]
    を選択して新しい証明書を適用します。システム証明書が変更されたことを示すダイアログ ボックスが表示され、「新しい証明書を有効にするには、クラスタを停止し、アプライアンスを再起動してください。」というメッセージが表示されます。ただし、実稼働環境での可用性を維持するために、
    クラスタを停止せずに続行できます。
    [OK]
    ボタンを選択してダイアログ ボックスを閉じます。クラスタを
    停止しない
    でください。
  7. サーバを再起動して新しい証明書をアクティブ化するには、以下の手順に従います。
    1. [構成]
      -
      [パワー]
      に移動します。
    2. パワー
      画面には、「クラスタ警告」が表示され、任意のクラスタ メンバの電源を切るか再起動する前に PAM クラスタをオフにする必要があることが示されます。ただし、証明書をインストールするためにクラスタを停止する必要はないため、以下の画面キャプチャに示すように、このガイダンスを読んだことを確認するオプションを選択します。
    3. [インスタンスの再起動]
      ボタンを選択します。サーバが再起動します。
  8. 再起動後、以下の手順に従って証明書が正しくインストールされていることを確認します。
    1. PAM サーバにログインします。PAM UI には無効な証明書アイコンまたはメッセージは表示されません。
    2. [構成] - [セキュリティ] - [証明書]
      画面の
      [設定]
      タブに移動し、
      [システムの認証]
      フィールドに新しくアクティブ化された証明書の名前が表示されることを確認します。