クラスタ用の証明書のリクエスト
クラスタ用の証明書のリクエストは、1 つのアプライアンスの場合のプロセスとは異なります。クラスタ用の証明書リクエストを作成するには、プライマリ サイトの最初のメンバから 1 つのみの証明書署名要求を作成します。最初のクラスタ メンバに証明書ファイルを適用します。それから秘密キーをダウンロードして証明書に追加し、「証明書と秘密キー」の組み合わせをその他のすべてのクラスタ メンバに適用します。
capam33
クラスタ用の証明書のリクエストは、1 つのアプライアンスの場合のプロセスとは異なります。クラスタ用の証明書リクエストを作成するには、プライマリ サイトの最初のメンバから 1 つのみの証明書署名要求を作成します。最初のクラスタ メンバに証明書ファイルを適用します。それから秘密キーをダウンロードして証明書に追加し、「証明書と秘密キー」の組み合わせをその他のすべてのクラスタ メンバに適用します。
サードパーティ証明書のリクエスト
クラスタ用の証明書リクエストを作成するには、このプロセスを使用します。単一のアプライアンスについては、「自己署名証明書または証明書署名要求を作成する」を参照してください。サードパーティから証明書を実装するには、以下のワークフローに従います。
クラスタ用の証明書のリクエスト
/content/request_certificates_for_cluster.png/_jcr_content/renditions/original)
証明書署名要求の作成
証明書署名要求(CSR)を作成するには、以下の手順に従います。
- [証明書]ページの[作成]タブで、[タイプ]に対して[CSR]オプションを選択します。以下のフィールドの情報を入力します。特殊文字は使用できません。
- キー サイズ:2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
- 共通名:capam.ca.comなど、クラスタ仮想 IP アドレスの FQDN を入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
- 国:US、FR、または JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
- 都道府県:イリノイやケベックなど、都道府県を任意で入力します。このフィールドは X.509 証明書の ST 値にマップします。
- 市区町村:パリやアイランディアなど、市区町村を任意で入力します。このフィールドは X.509 証明書の L 値にマップします。
- 組織:「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。
- 組織単位:「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を入力します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。
- 日:日数は自己署名証明書にのみ使用されます。
- SAN の共通名を使用:一部のブラウザでは[Alternative Subject Names (サブジェクトの別名)]フィールドの値が必要となるため、デフォルトで共通名が繰り返し使用されます。そのフィールドに他の名前を追加するには、このチェック ボックスをオフにします。
- 代替サブジェクト名:VIP とクラスタのすべてのメンバの FQDN および IP アドレスを入力します。クラスタにアクセスするのに使用されるホスト名または短い VIP 名も追加する必要があります。複数のアドレスを使用してアプライアンスにアクセスする場合は、FQDN および IP アドレス エイリアスから共通名までを 1 行に入力します。このリストには、共通名を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。
- ファイル名:証明書の名前を作成します。このファイル名は生成される秘密キーの名前でもあります。この名前は、アップロードされたときに、証明書の名前と正確に一致にする必要があります。ファイル名に作成日や有効期限日を含めます。たとえば、PAM-Cluster_exp2019-07-19と命名します。
- [作成]を選択します。
- [ダウンロード]タブで、作成した CSR のファイル名を選択します。このファイルの拡張子は PEM (Privacy Enhanced Mail)です。
- [ダウンロード]を選択します。このファイルを使用して、Entrust などサードパーティ CA (Certificate Authority、認証機関)の証明書をリクエストします。サードパーティがサイトを検証することから、ユーザはルート証明書をインストールする必要がありません。
- [ダウンロード]タブで、[ファイル名]ドロップダウン リストから[秘密キー]を選択します。CSR と同じ名前で[秘密キー]の見出しの下にありますが、拡張子は KEY です。
- 秘密キーを暗号化するための[パスワード]と[パスワードの確認]を入力します。後で使用するためにこのパスワードを記録しておきます。
- [ダウンロード]を選択します。秘密鍵��を保存し、その他のクラスタ メンバのために受信した証明書に後で追加します。
- ダウンロードした CSR を使用して、新しい証明書を取得します。サードパーティ認証機関の指示に従って証明書を受信します。
最初のクラスタ メンバへのサードパーティ証明書の適用
認証機関から証明書を受信したら、クラスタのプライマリ サイトの最初のメンバに適用します。証明書は複数のファイルで構成されている場合があります。以下の手順に従います。
- 必要に応じて、サードパーティから受信した証明書の名前を変更します。ファイル名は、当初生成された名前と同じですが、拡張子がcrtである必要があります。たとえば、元の PEM 名がabc.pemであった場合は、アップロードされたファイルの名前をabc.crtに変える必要があります。
- CSR を作成したクラスタ メンバで、[アップロード]タブを選択します。証明書のファイル名を検索する[ファイルの選択]ボタンを使用して、証明書を選択します。
- 以下のとおり、適切なタイプを選択します。CA から複数のファイルを受信した場合は、以下の順序でタイプごとに個別にアップロードします。
- このアプライアンスによって要求された証明書の[証明書]を使用します。
- [証明書と秘密キー]は使用しません。このオプションは、プライマリ サイトの最初のメンバを除くすべてのメンバに使用します。
- CA から CA チェーン証明書が提供された場合、[CAバンドル]を使用します。
- CA から中間証明書が提供された場合、[中間証明書]を使用します。
- CA から CRL ファイルが提供された場合、[証明書失効リスト]を使用します。CRL をアップロードすると、[証明書情報]ページに表示されます。CA が OCSP (Online Certificate Status Protocol)レスポンダ(サーバ)を使用している場合、CRL ファイルは受信されません。[CRL オプション]タブで[OCSP の使用]を選択する必要があります。
- その他のオプションは、証明書に適用可能な形式(X.509 または PKCS)を選択します。
- 証明書のファイル名を変更するには、[宛先ファイル名]を使用します。名前が同じ場合は、このフィールドを空白のままにすることができます。
- 証明書で必要な場合は、パスフレーズを入力し、[確認]で再入力します。
- 新しい証明書をステージします。クラスタがオンの場合は、停止します([構成]-[クラスタ化]-[ステータス]-[クラスタ オフ])。[設定]タブで、サードパーティ認証機関によって生成された証明書を選択します。
- [検証]をクリックして、証明書がPrivileged Access Managerで受け入れられることを確認します。確認フレーズまたはエラー メッセージがページの上部に表示されます。クラスタがオンの場合は、証明書を適用する前に停止します([構成]、[クラスタ化]、[ステータス]、[クラスタ オフ]に移動します)。証明書を適用すると、アプライアンスが再起動します。
- 確認後に[承諾]を選択すると、アクティブ化のために新しい証明書がステージされます。アプライアンスが再起動します。
- 再起動後に、[構成]-[セキュリティ]-[証明書]に戻ります。[設定]タブの[システムの認証]フィールドに、新しくアクティブ化された証明書の名前が表示されています。
後続のクラスタ メンバのための証明書の準備
CSR は、VIP を共通名として使用して、クラスタの最初のメンバでのみ作成されます。その結果の CA 証明書は、すべてのクラスタ メンバで使用できます。ただし、その他のクラスタ メンバには、最初のメンバで生成された秘密キーはありません。このファイルは 1 回作成し、すべての後続のクラスタ メンバで使用します。
最初のクラスタ メンバからダウンロードしたキー ファイルと、受信した CRT ファイルを新しい PEM ファイルに組み合わせます。最適な結果を得るため、Linux コンピュータで
cat
コマンドを使用します。例: cat pamcluster.key pamcluster.crt > pamcluster.pem
生成されたファイルは、以下のコード ブロックのようになります。
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-256-CBC,58B125ACF0792928BA28D7BC53901D86 FiR1gSddsYYDVQ7CCI0/gqC7L1mzct8GnzhmQ+47CNXkoosE4B3EWG25o3S/skaF QUAF8hdMHo0GapDpPyAspAjfUa2+ZPrKeRbISYyn4JIn3wKduhfqziJR2vzZwQFL l+cKhCv3aSKh+3/ZqR5+puDWjbgfpsR5F9XPjjqKJLrdmt3qxaSjzkoQNLi7Xfpr So35vADIJt9nP0jJ3tGAtVThMR1yaJaG1B71GkqShJ+X7o0np/Y7V14EXaV6WTrA uRia8YETRDlBcFBxj7VEfYiI+/1x4qx1CglWAJz4oL1mplEglWX/q8EeTz0TXduY ADrtffYGhjzoSOjWZjLKSa3zAYo0dLgKpiToNNm2JGipHMg8jnmtg9di52AOwqwr 266oqOaRnQ5OShpJOyxpwMpgbbalSekdZzdhFiWaQCg58coQnm6kSdPGwROp3g+L l0HWKoQJMVsHjZn5hn7YepD0x01aiiKCxxKkziYtY4jdbQaNOm2FmTz1xrt2AsRH OAYgXfbKOM2FfGHAfMsWR++edch77+sc4uY+1B/NuB/gvHKtADwIGC7BLlEtaQEF aRp1P5Nu1JEXlEVfAHjv36IOUsVDpnM9jHs981G8oBefWS/Ca6QVE6hPPlaTd8i1 JuAFo8jsxT18OWIU6K/J2d53WD2zqDpIhuo5SwQQFSyKUo1e0dArpYVxpuPFHXxT uhZgxN+pKG9KYMjtvkUqpD1rS7eXqwoK2buR2Z9LUGZ7uFFZzF5+41w+/GlSkmF9 ND+YdIlrxdni+MnGyuRdJVWjR9rM6Z2ob7/FoXqeCOwAoJCyzucWWcHH+2oItBf6 TwmcdEfVq7dEoJdu9QdgrYR2oEDm22DTbEqSDCbT+J+GNAYlUPWTHjugJ2vjwW4D 6VGQhXa5Hiipmz4FmR43gV1EKUGvSAtXHyLznp/BDHm9KdoagBINUk3U130hMOPw 3Me91epgruKLHUMs07CCqHbkkgldDNCAKWlPpgQFXhqEH9dnfAbWZROxN2ekms66 RzB7+/QsGHKN7E7Z5CiUp7snKs+6NNgRdJeWbDZtmXJiAH/j4CKNNwIhYOaPN4Ox hS6ySqkZpm5NKNmDh21KM6VZsq2JU/jnXPfSqqqvuRFKgUDHvW7YvzwcG8h9ZQXu fo3wz1z8p0ukpBro2MIPZIhfdZZCcmlFPzpvlPeCvtyhaHLJs4AIvWV7cxhWNsyb KxCM9KASv4+5zNgqS2sPOIiu+QMFvobkkHliTowPHLBefattET0+ljQWivBW4B/4 j9wgrxTpTQ5Kv2MfX5AhLXdCAhYWL5OyxsrXQY5MkcNuXY+AIAUMVt/HSaQsjYLD v5R830SnhyeeJy7lHaBjNyF8DqwhtMrEuDVkSGRyynEaUTK2uqUalLZUZSvPrZc4 +g3zW9ppjCbqoBLorwK4q9G2j3LaHoXysnxjgCWt41GHELbAEnphb4zahU+d+Mj2 LlwJprw0adcLsw/p6ck0/IySLGJtjum4qRfQQPnD6pZQ+WjkyFZJqVDm8San01ie dJ6yBQlPJAspJLQNHHtG6TCZUcO93agKNd8T3RfbMygl0xVtWvOIYk5FeWz7YqIi -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIIFqTCCA5GgAwIBAgICEAEwDQYJKoZIhvcNAQELBQAweTELMAkGA1UEBhMCVVMx CzAJBgNVBAgMAk5ZMREwDwYDVQQKDAhDQSwgSW5jLjEnMCUGA1UECwweQ0EsIElu Yy4gQ2VydGlmaWNhdGUgQXV0aG9yaXR5MSEwHwYDVQQDDBhDQSwgSW5jLiBJbnRl cm1lZGlhdGUgQ0EwHhcNMTgwNjI4MjAwMzA0WhcNMTkwNzA4MjAwMzA0WjBiMQsw CQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxDjAMBgNVBAcMBUxpc2xlMRgw FgYDVQQKDA9DQSBUZWNobm9sb2dpZXMxFjAUBgNVBAMMDTEwLjI0Mi4zOS4xNzMw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDCNmnC1HMr6WQN84dSk7+2 WFzA+FPtlWADKGs1Kz/wdc4kyVEvhzEV6u2CwndY6ORWioTkcerLnUmJ1/wQ8ojO qHMvClGcTT0Uic7sNtKGoh/wYDK/x6N8Gtj8TWDZ9YOb/UYG4OHe2vvdp+esB29W zls+49+bwdSm//9NO6B72c/DGv80J9KIhUW1JK+B1nHlztivnxWJezLq6NiP9jQ+ xFNv8MECsY9cVhmIJMT5cluc5cojFcFY2+5aQzIRwrcux61t2L/CwHF5tQlhtbN3 JnjcdGt1XhEd2cz24T00tQGbxElA4z4/rNC25CrF6TIxoiFe68cqFnA0XEuK6qHv AgMBAAGjggFQMIIBTDAJBgNVHRMEAjAAMBEGCWCGSAGG+EIBAQQEAwIGQDAzBglg hkgBhvhCAQ0EJhYkT3BlblNTTCBHZW5lcmF0ZWQgU2VydmVyIENlcnRpZmljYXRl MB0GA1UdDgQWBBRamPBYA2gE++tvcLcmK+2H0lLQATCBsgYDVR0jBIGqMIGngBR0 SZjZFHL//vqS70zxAak6X4dxlKGBiqSBhzCBhDELMAkGA1UEBhMCVVMxCzAJBgNV BAgMAk5ZMREwDwYDVQQHDAhJc2xhbmRpYTERMA8GA1UECgwIQ0EsIEluYy4xJzAl BgNVBAsMHkNBLCBJbmMuIENlcnRpZmljYXRlIEF1dGhvcml0eTEZMBcGA1UEAwwQ Q0EsIEluYy4gUm9vdCBDQYICEAAwDgYDVR0PAQH/BAQDAgWgMBMGA1UdJQQMMAoG CCsGAQUFBwMBMA0GCSqGSIb3DQEBCwUAA4ICAQBl0cR5k7fBrF+kTU5YE8Lc48aX pQ9ybax2chJLfSdHUS1G+qldTatPhWqrKZsCYX7RA07+BB8VBxPie05eIL/azGrD Pdy7tzMm0iGm68uBe7lZW/3itXv2K1SNUEMdHTy787K+2/g8GqXC7Pdf6Nc1rIyl 98nqAPUgAUhBrgCBht1yj+OQpLFll6No/7o81gSkujCRxICW/fDBqRZd7HZ8WZjg m2zfbbZhpaay2leaVdKEOXzQNaexYGF4U9II/00JuBzAS0eoszNVbuwHWP+yzPdL Vg3Xtt4EasEV6/0izqsTpyCh9rnBVF1AFVOFWYAe+HPmJju8Vejzt7VU0EST7pA8 Okc9MUoRIyfO3g8qO7uC9DM+026ymxWat6dNy8tepkALrx12xI/oqD8zqT3BxA5R tISVCcszTdfdmAf+4DKlEbaqeUIDG8uIuBH8kR/oX7LrLZotWLl7piuqpvK3pcrB fizdZ6/+FR5GwhOYT+VdZS0FuoVrTVE6iwm+oPO0Gu35pFhKYshV/c2Hnf5NvMPY 0XU7vV5wlG+LbY5Z8u2ziOEiTg+9+uNrA/ryt8MG9Q/svHlOf2C8azUeY6Ykl3mC te7V+qAJ/ZACWhOlp/ycy8mgGIYbyuzHXKQfaJbgmR0ygaEaeoPaQp6pXycjlpSM O2zmSDDfvuQcWjhR4g== -----END CERTIFICATE-----
後続のクラスタ メンバへの証明書の適用
CSR 作成者以外のすべてのクラスタ メンバで以下の手順を実行します。
- [アップロード]タブで、証明書のファイル名を検索する[ファイルの選択]ボタンを使用して、証明書を選択します。以下のとおり、適切なタイプを選択します。CA から複数のファイルを受信した場合は、以下の順序でタイプごとに個別にアップロードします。
- CSR がこのアプライアンスによって生成された場合、[証明書]を使用します。
- [証明書と秘密キー]を使用し、「証明書と秘密キーの作成」で作成したファイルをアップロードします。キーのダウンロード時に作成したパスワードが必要です。
- CA から CA チェーン証明書が提供された場合、[CAバンドル]を使用します。
- CA から中間証明書が提供された場合、[中間証明書]を使用します。
- 証明書失効リストはアップロードしません。CRL 情報は、クラスタ全体で最初のメンバからレプリケートされます。
- その他のオプションは、証明書に適用可能な形式(X.509 または PKCS)を選択します。
- 証明書のファイル名を変更するには、[宛先ファイル名]を使用します。秘密キーと正しく一致するように、[宛先ファイル名]が CSR の名前と一致している必要があります。名前が同じ場合は、このフィールドを空白のままにすることができます。
- 証明書で必要な場合は、パスフレーズを入力し、[確認]で再入力します。[証明書と秘密キー]では、キーのダウンロード時に作成したパスワードが必要です。
- 新しい証明書をステージします。クラスタがオンの場合は、停止します([構成]-[クラスタ化]-[ステータス]-[クラスタ オフ])。[設定]タブで、サードパーティ認証機関によって生成された証明書を選択します。
- [検証]をクリックして、証明書がPrivileged Access Managerで受け入れられることを確認します。
- 確認フレーズまたはエラー メッセージがページの上部に表示されます。
- 確認後に[承諾]を選択すると、アクティブ化のために新しい証明書がステージされます。アプライアンスが再起動します。
- 再起動後に、[構成]-[セキュリティ]-[証明書]に戻ります。[設定]タブの[システムの認証]フィールドに、新しくアクティブ化された証明書の名前が表示されています。
- すべてのクラスタ メンバに証明書が設定されたら、クラスタを起動します([構成]-[クラスタ化]-[ステータス]-[クラスタ オン])。