単一サーバの実稼働環境用の SSL 証明書の取得および適用

単一サーバの実稼働環境用に SSL 証明書を取得して適用する方法。
3-4
このコンテンツでは、社内またはサードパーティの CA から単一サーバの実稼働環境用に SSL 証明書を取得して適用する方法について説明します。
クラスタ用に SSL 証明書を取得してインストールする方法については、「実稼働クラスタ用の SSL 証明書の取得および適用」を参照してください。
小規模な開発環境用に自己署名 SSL 証明書を作成してインストールするには、「テスト環境で使用する自己署名 SSL 証明書の作成」を参照してください。
ビデオの概要
次の簡単なビデオでは、この手順の簡単な概要を説明しています。

認証局(CA)から証明書を取得して PAM サーバに適用するには、以下の手順を実行します。
2
認証局からの証明書の要求
1 つのアプライアンスについて CSR (Certificate Signing Request、証明書署名要求)リクエストを作成するには、以下の手順に従います。
  1. [証明書]
    ページの[作成]タブで、
    [タイプ]
    に対して
    [CSR]
    オプションを選択します。以下のフィールドの情報を入力します。特殊文字は使用できません。
    • キー サイズ:
      2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
    • 共通名:
      pam.ca.com
      10.144.39.187
      など、証明書リクエストに
      Privileged Access Manager
      の FQDN または IP アドレスを入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
      • For Clusters (クラスタ用):
        クラスタ仮想 IP アドレスの FQDN を入力します。
    • 国:
      US、FR、または JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
    • 都道府県:
      イリノイやケベックなど、オプションの都道府県を入力します。このフィールドは X.509 証明書の ST 値にマップします。
    • 市区町村:
      パリやアイランディアなど、市区町村を入力します。このフィールドは X.509 証明書の L 値にマップします。
    • 組織:
      「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。
    • 組織単位:
      「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を入力します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。
    • 日:
      日数は自己署名証明書にのみ使用されます。
    • SAN の共通名を使用:
      一部のブラウザでは
      [Alternative Subject Names (サブジェクトの別名)]
      フィールドの値が必要となるため、デフォルトで共通名が繰り返し使用されます。フィールド内に他の名前を追加するには、このチェック ボックスをオフにします。引き続き、共通名を
      [Alternative Subject Names (サブジェクトの別名)]
      フィールドで繰り返し使用する必要があります。
    • Alternative Subject Names (サブジェクトの別名):
      一部のブラウザでは、このフィールドに値が必要です。値が指定されていない場合、ここでは共通名が繰り返し使用されます。複数のアドレスを使用してアプライアンスにアクセスする場合は、FQDN および IP アドレス エイリアスから共通名までを 1 行ごとに入力します。このリストには、共通名を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。
      • For Clusters (クラスタ用)
        : VIP およびクラスタのすべてのメンバの FQDN および IP アドレスを追加します。クラスタにアクセスするのに使用されるホスト名または短い VIP 名も追加する必要があります。
    • ファイル名:
      証明書の名前を作成します。このファイル名は生成される秘密キーの名前でもあります。この名前は、アップロードされたときに、証明書の名前と正確に一致にする必要があります。
      ファイル名に作成日や有効期限日を含めます。たとえば、
      capam_exp2019-07-19
      と命名します。
  2. 作成
    ]を選択します。 
  3. [ダウンロード]
    タブで、作成した CSR の
    ファイル名
    を選択します。このファイルの拡張子は PEM (Privacy Enhanced Mail)です。
  4. [ダウンロード]
    を選択します。
    ダウンロードした PEM ファイルをサブミットして、CA からの証明書を要求します。サードパーティがサイトを検証することから、ユーザはルート証明書をインストールする必要がありません。
  5. クラスタの場合は、
    [ダウンロード]
    タブから、秘密キーをダウンロードします。
    1. [ダウンロード]
      タブで、
      [ファイル名]
      ドロップダウン リストから[秘密キー]を選択します。CSR と同じ名前で
      [秘密キー]
      の見出しの下にありますが、拡張子は KEY です。
    2. 秘密キーを暗号化するための
      [パスワード]
      [パスワードの確認]
      を入力します。このパスワードを記録して、後でクラスタ メンバに証明書をアップロードするときに使用します。
    3. [ダウンロード]
      を選択します。
      秘密キー
      を保存し、その他のクラスタ メンバのために受信した証明書に後で追加します。
  6. ダウンロードした CSR を使用して、新しい証明書を取得します。認証局の指示に従って証明書を受信します。
認証局が必要なすべての証明書および証明書失効情報を単一の証明書ファイルで提供する場合は、「単一の SSL 証明書からの必要な証明書および CRL の抽出」で説明されている手順に従ってそれらを抽出します。
サードパーティの証明書および CRL のアップロード
トラスト チェーンの証明書と CRL がある場合は、それらを PAM サーバにアップロードします。エラーを回避するために、これらを適切な順序でアップロードする必要があります。
  1. ルート証明書(CA バンドルとして)
  2. 中間 CRL
  3. 中間証明書
  4. デバイス CRL
  5. デバイス証明書
ルート証明書のアップロード
  1. [構成]
    -
    [セキュリティ]
    -
    [証明書]
    ページに移動します。
    [アップロード]
    タブを選択します。
  2. [タイプ]
    として
    [CA バンドル]
    を選択します。
  3. [その他のオプション]
    には、証明書に適用可能な形式(X.509 または PKCS)を選択します。
  4. 証明書の
    ファイル名
    を検索する
    [ファイルの選択]
    ボタンを使用して、ルート証明書を選択します。
  5. [アップロード]
    を選択します。
    成功メッセージが表示されます。
中間 CRL のアップロード
  1. [タイプ]
    として
    [証明書失効リスト]
    を選択します。
  2. [その他のオプション]
    には、CRL に適用可能な形式(X.509 または PKCS)を選択します。
  3. [ファイルの選択]
    ボタンを使用して中間 CRL の
    ファイル名
    を検索し、中間 CRL を選択します。
  4. [アップロード]
    を選択します。
    CRL ソースに関する詳細情報と共に成功メッセージが表示されます。
中間証明書のアップロード
  1. [タイプ]
    として
    [中間証明書]
    を選択します。
  2. [その他のオプション]
    には、証明書に適用可能な形式(X.509 または PKCS)を選択します。
  3. [ファイルの選択]
    ボタンを使用して中間証明書の
    ファイル名
    を検索し、中間証明書を選択します。
  4. [アップロード]
    を選択します。
    成功メッセージが表示されます。
デバイス CRL のアップロード
  1. [タイプ]
    として
    [証明書失効リスト]
    を選択します。
  2. [その他のオプション]
    には、CRL に適用可能な形式(X.509 または PKCS)を選択します。
  3. [ファイルの選択]
    ボタンを使用してデバイス CRL の
    ファイル名
    を検索し、デバイス CRL を選択します。
  4. [アップロード]
    を選択します。
    CRL ソースに関する詳細情報と共に成功メッセージが表示されます。
デバイス証明書のアップロード
  1. 別のアプライアンスで最初の CSR を生成した場合は、受信した証明書と秘密キーを連結する必要があります。手順については、「クラスタへの証明書のインストール」を参照してください。組み合わされたファイルは、
    秘密キーを含む証明書
    タイプ
    としてアップロードされます。
  2. それ以外の場合は、
    [タイプ]
    として
    [証明書]
    を選択します。
  3. [その他のオプション]
    には、証明書に適用可能な形式(X.509 または PKCS)を選択します。
  4. [ファイルの選択]
    ボタンを使用して証明書の
    ファイル名
    を検索し、デバイス証明書を選択します。
  5. 証明書のファイル名を変更するには、[
    宛先ファイル名
    ]を使用します。名前が同じ場合は、このフィールドを空白のままにすることができます。
    Privileged Access Manager
    で CSR を生成した場合は、秘密キーと正しく一致するように、[宛先ファイル名]が CSR の名前と一致している必要があります。必要に応じて、サードパーティから受信した証明書の名前を次のようになるように変更します。
    1. ベース名が、当初生成された名前と同じである
    2. ファイルの拡張子が「.crt」である
      たとえば、元の PEM 名が abc.pem であった場合は、アップロードされたファイルの名前を abc.crt に変える必要があります。
  6. 秘密キーを含む証明書をアップロードしている場合は、キーを作成するために使用した
    パスフレーズ
    を入力し、
    [確認]
    で再入力します。
  7. [アップロード]
    を選択します。
    成功メッセージが表示されます。
証明書の検証と設定
必要なファイルがすべてアップロードされたら、ファイルを検査して検証し、それらを受け入れます。証明書チェーンを受け入れると、アプライアンスによって再起動が求められます。証明書は、新しい証明書の受け入れ時に部分的に有効になります。アプライアンスがメンテナンス モードの間に証明書を適用し、アプライアンスを再起動した後にメンテナンス モードを無効にすることをお勧めします。
以下の手順に従います。
  1. [セキュリティ]
    ページの
    [ダウンロード]
    タブで、
    [ファイル名]
    フィールドを選択し、ファイルのドロップダウン リストを確認します。
    すべての証明書と CRL がリスト表示されます。デフォルトのファイルもリストに含まれています。
  2. [設定]
    タブで、サードパーティ認証機関によって生成された証明書を選択します。
  3. [検証]
    を選択して、証明書が
    Privileged Access Manager
    で受け入れられることを確認します。
    確認フレーズまたはエラー メッセージがページの上部に表示されます。
    成功メッセージは、証明書チェーン全体が有効であることを意味します。
  4. 検証後に
    [承諾]
    を選択して新しい証明書を適用します。
    アプライアンスによって再起動が求められます。この証明書は、アプライアンスが再起動されるまで有効になりません。
  5. 新しい証明書をアクティブ化するには、
    [再起動]
    ボタンをクリックして
    Privileged Access Manager
    を再起動します。
  6. 再起動後、
    PAM
    サーバにログインすると、無効な証明書アイコンまたはメッセージは表示されません。
    [構成]-[セキュリティ]-[証明書]
    ページの
    [設定]
    タブの
    [システムの認証]
    フィールドに、新しくアクティブ化された証明書の名前が表示されます。