クラスタ用の証明書のリクエスト

クラスタ用の証明書のリクエストは、1 つのアプライアンスの場合のプロセスとは異なります。クラスタ用の証明書リクエストを作成するには、プライマリ サイトの最初のメンバから 1 つのみの証明書署名要求を作成します。最初のクラスタ メンバに証明書ファイルを適用します。それから秘密キーをダウンロードして証明書に追加し、「証明書と秘密キー」の組み合わせをその他のすべてのクラスタ メンバに適用します。 
capam33
クラスタ用の証明書のリクエストは、1 つのアプライアンスの場合のプロセスとは異なります。クラスタ用の証明書リクエストを作成するには、プライマリ サイトの最初のメンバから 1 つのみの証明書署名要求を作成します。最初のクラスタ メンバに証明書ファイルを適用します。それから秘密キーをダウンロードして証明書に追加し、「証明書と秘密キー」の組み合わせをその他のすべてのクラスタ メンバに適用します。 
サードパーティ証明書のリクエスト
クラスタ用の証明書リクエストを作成するには、このプロセスを使用します。単一のアプライアンスについては、「自己署名証明書または証明書署名要求を作成する」を参照してください。サードパーティから証明書を実装するには、以下のワークフローに従います。
クラスタ用の証明書のリクエスト
Request Certificates for Cluster
証明書署名要求の作成
証明書署名要求(CSR)を作成するには、以下の手順に従います。
  1. [証明書]ページの[作成]タブで、[
    タイプ
    ]に対して[
    CSR
    ]オプションを選択します。以下のフィールドの情報を入力します。特殊文字は使用できません。
    • キー サイズ:
      2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
    • 共通名:
      capam.ca.com
      など、クラスタ仮想 IP アドレスの FQDN を入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
    • 国:
      US、FR、または JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
    • 都道府県:
      イリノイやケベックなど、都道府県を任意で入力します。このフィールドは X.509 証明書の ST 値にマップします。
    • 市区町村:
      パリやアイランディアなど、市区町村を任意で入力します。このフィールドは X.509 証明書の L 値にマップします。
    • 組織:
      「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。 
    • 組織単位:
      「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を入力します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。 
    • 日:
      日数は自己署名証明書にのみ使用されます。
    • SAN の共通名を使用:
      一部のブラウザでは
      [Alternative Subject Names (サブジェクトの別名)]
      フィールドの値が必要となるため、デフォルトで共通名が繰り返し使用されます。そのフィールドに他の名前を追加するには、このチェック ボックスをオフにします。 
    • 代替サブジェクト名:
      VIP とクラスタのすべてのメンバの FQDN および IP アドレスを入力します。クラスタにアクセスするのに使用されるホスト名または短い VIP 名も追加する必要があります。複数のアドレスを使用してアプライアンスにアクセスする場合は、FQDN および IP アドレス エイリアスから共通名までを 1 行に入力します。このリストには、
      共通名
      を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。
    • ファイル名:
      証明書の名前を作成します。このファイル名は生成される秘密キーの名前でもあります。この名前は、アップロードされたときに、証明書の名前と正確に一致にする必要があります。
      ファイル名に作成日や有効期限日を含めます。たとえば、
      PAM-Cluster_exp2019-07-19
      と命名します。
  2. 作成
    ]を選択します。  
  3. [ダウンロード]
    タブで、作成した CSR の
    ファイル名
    を選択します。このファイルの拡張子は PEM (Privacy Enhanced Mail)です。 
  4. ダウンロード
    ]を選択します。このファイルを使用して、Entrust などサードパーティ CA (Certificate Authority、認証機関)の証明書をリクエストします。サードパーティがサイトを検証することから、ユーザはルート証明書をインストールする必要がありません。 
  5. [ダウンロード]タブで、[
    ファイル名
    ]ドロップダウン リストから[秘密キー]を選択します。CSR と同じ名前で[
    秘密キー
    ]の見出しの下にありますが、拡張子は KEY です。 
  6. 秘密キーを暗号化するための[
    パスワード
    ]と[
    パスワードの確認
    ]を入力します。後で使用するためにこのパスワードを記録しておきます。 
  7. ダウンロード
    ]を選択します。
    秘密鍵
    ��を保存し、その他のクラスタ メンバのために受信した証明書に後で追加します。 
  8. ダウンロードした CSR を使用して、新しい証明書を取得します。サードパーティ認証機関の指示に従って証明書を受信します。
最初のクラスタ メンバへのサードパーティ証明書の適用
認証機関から証明書を受信したら、クラスタのプライマリ サイトの最初のメンバに適用します。証明書は複数のファイルで構成されている場合があります。以下の手順に従います。
  1. 必要に応じて、サードパーティから受信した証明書の名前を変更します。ファイル名は、当初生成された名前と同じですが、拡張子が
    crt
    である必要があります。たとえば、元の PEM 名が
    abc.pem
    であった場合は、アップロードされたファイルの名前を
    abc.crt
    に変える必要があります。 
  2. CSR を作成したクラスタ メンバで、[
    アップロード
    ]タブを選択します。証明書の
    ファイル名
    を検索する[
    ファイルの選択
    ]ボタンを使用して、証明書を選択します。
  3. 以下のとおり、適切な
    タイプ
    を選択します。CA から複数のファイルを受信した場合は、以下の順序でタイプごとに個別にアップロードします。
    • このアプライアンスによって要求された証明書の[
      証明書
      ]を使用します。 
    • 証明書と秘密キー
      ]は使用しません。このオプションは、プライマリ サイトの最初のメンバを除くすべてのメンバに使用します。
    • CA から CA チェーン証明書が提供された場合、
      [CA
      バンドル]
      を使用します。 
    • CA から中間証明書が提供された場合、[
      中間証明書
      ]を使用します。 
    • CA から CRL ファイルが提供された場合、[
      証明書失効リスト
      ]を使用します。CRL をアップロードすると、[証明書情報]ページに表示されます。CA が OCSP (Online Certificate Status Protocol)レスポンダ(サーバ)を使用している場合、CRL ファイルは受信されません。[
      CRL オプション
      ]タブで[
      OCSP の使用
      ]を選択する必要があります。
  4. その他のオプション
    は、証明書に適用可能な形式(X.509 または PKCS)を選択します。
  5. 証明書のファイル名を変更するには、[
    宛先ファイル名
    ]を使用します。名前が同じ場合は、このフィールドを空白のままにすることができます。 
  6. 証明書で必要な場合は、
    パスフレーズ
    を入力し、[
    確認
    ]で再入力します。 
  7. 新しい証明書をステージします。クラスタがオンの場合は、停止します([構成]-[クラスタ化]-[ステータス]-[クラスタ オフ])。
    [設定]タブ
    で、サードパーティ認証機関によって生成された証明書を選択します。
  8. [検証]
    をクリックして、証明書が
    Privileged Access Manager
    で受け入れられることを確認します。
    確認フレーズまたはエラー メッセージがページの上部に表示されます。
    クラスタがオンの場合は、証明書を適用する前に停止します(
    [構成]
    [クラスタ化]
    [ステータス]
    [クラスタ オフ]
    に移動します)。証明書を適用すると、アプライアンスが再起動します。 
  9. 確認後に[
    承諾
    ]を選択すると、アクティブ化のために新しい証明書がステージされます。
    アプライアンスが再起動します。 
  10. 再起動後に、[
    構成]-[セキュリティ]-[証明書
    ]に戻ります。[
    設定
    ]タブの[
    システムの認証
    ]フィールドに、新しくアクティブ化された証明書の名前が表示されています。 
後続のクラスタ メンバのための証明書の準備
CSR は、VIP を共通名として使用して、クラスタの最初のメンバでのみ作成されます。その結果の CA 証明書は、すべてのクラスタ メンバで使用できます。ただし、その他のクラスタ メンバには、最初のメンバで生成された秘密キーはありません。このファイルは 1 回作成し、すべての後続のクラスタ メンバで使用します。
最初のクラスタ メンバからダウンロードしたキー ファイルと、受信した CRT ファイルを新しい PEM ファイルに組み合わせます。最適な結果を得るため、Linux コンピュータで
cat
コマンドを使用します。例:
cat pamcluster.key pamcluster.crt > pamcluster.pem
生成されたファイルは、以下のコード ブロックのようになります。
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-256-CBC,58B125ACF0792928BA28D7BC53901D86 FiR1gSddsYYDVQ7CCI0/gqC7L1mzct8GnzhmQ+47CNXkoosE4B3EWG25o3S/skaF QUAF8hdMHo0GapDpPyAspAjfUa2+ZPrKeRbISYyn4JIn3wKduhfqziJR2vzZwQFL l+cKhCv3aSKh+3/ZqR5+puDWjbgfpsR5F9XPjjqKJLrdmt3qxaSjzkoQNLi7Xfpr So35vADIJt9nP0jJ3tGAtVThMR1yaJaG1B71GkqShJ+X7o0np/Y7V14EXaV6WTrA uRia8YETRDlBcFBxj7VEfYiI+/1x4qx1CglWAJz4oL1mplEglWX/q8EeTz0TXduY ADrtffYGhjzoSOjWZjLKSa3zAYo0dLgKpiToNNm2JGipHMg8jnmtg9di52AOwqwr 266oqOaRnQ5OShpJOyxpwMpgbbalSekdZzdhFiWaQCg58coQnm6kSdPGwROp3g+L l0HWKoQJMVsHjZn5hn7YepD0x01aiiKCxxKkziYtY4jdbQaNOm2FmTz1xrt2AsRH OAYgXfbKOM2FfGHAfMsWR++edch77+sc4uY+1B/NuB/gvHKtADwIGC7BLlEtaQEF aRp1P5Nu1JEXlEVfAHjv36IOUsVDpnM9jHs981G8oBefWS/Ca6QVE6hPPlaTd8i1 JuAFo8jsxT18OWIU6K/J2d53WD2zqDpIhuo5SwQQFSyKUo1e0dArpYVxpuPFHXxT uhZgxN+pKG9KYMjtvkUqpD1rS7eXqwoK2buR2Z9LUGZ7uFFZzF5+41w+/GlSkmF9 ND+YdIlrxdni+MnGyuRdJVWjR9rM6Z2ob7/FoXqeCOwAoJCyzucWWcHH+2oItBf6 TwmcdEfVq7dEoJdu9QdgrYR2oEDm22DTbEqSDCbT+J+GNAYlUPWTHjugJ2vjwW4D 6VGQhXa5Hiipmz4FmR43gV1EKUGvSAtXHyLznp/BDHm9KdoagBINUk3U130hMOPw 3Me91epgruKLHUMs07CCqHbkkgldDNCAKWlPpgQFXhqEH9dnfAbWZROxN2ekms66 RzB7+/QsGHKN7E7Z5CiUp7snKs+6NNgRdJeWbDZtmXJiAH/j4CKNNwIhYOaPN4Ox hS6ySqkZpm5NKNmDh21KM6VZsq2JU/jnXPfSqqqvuRFKgUDHvW7YvzwcG8h9ZQXu fo3wz1z8p0ukpBro2MIPZIhfdZZCcmlFPzpvlPeCvtyhaHLJs4AIvWV7cxhWNsyb KxCM9KASv4+5zNgqS2sPOIiu+QMFvobkkHliTowPHLBefattET0+ljQWivBW4B/4 j9wgrxTpTQ5Kv2MfX5AhLXdCAhYWL5OyxsrXQY5MkcNuXY+AIAUMVt/HSaQsjYLD v5R830SnhyeeJy7lHaBjNyF8DqwhtMrEuDVkSGRyynEaUTK2uqUalLZUZSvPrZc4 +g3zW9ppjCbqoBLorwK4q9G2j3LaHoXysnxjgCWt41GHELbAEnphb4zahU+d+Mj2 LlwJprw0adcLsw/p6ck0/IySLGJtjum4qRfQQPnD6pZQ+WjkyFZJqVDm8San01ie dJ6yBQlPJAspJLQNHHtG6TCZUcO93agKNd8T3RfbMygl0xVtWvOIYk5FeWz7YqIi -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIIFqTCCA5GgAwIBAgICEAEwDQYJKoZIhvcNAQELBQAweTELMAkGA1UEBhMCVVMx CzAJBgNVBAgMAk5ZMREwDwYDVQQKDAhDQSwgSW5jLjEnMCUGA1UECwweQ0EsIElu Yy4gQ2VydGlmaWNhdGUgQXV0aG9yaXR5MSEwHwYDVQQDDBhDQSwgSW5jLiBJbnRl cm1lZGlhdGUgQ0EwHhcNMTgwNjI4MjAwMzA0WhcNMTkwNzA4MjAwMzA0WjBiMQsw CQYDVQQGEwJVUzERMA8GA1UECAwISWxsaW5vaXMxDjAMBgNVBAcMBUxpc2xlMRgw FgYDVQQKDA9DQSBUZWNobm9sb2dpZXMxFjAUBgNVBAMMDTEwLjI0Mi4zOS4xNzMw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDCNmnC1HMr6WQN84dSk7+2 WFzA+FPtlWADKGs1Kz/wdc4kyVEvhzEV6u2CwndY6ORWioTkcerLnUmJ1/wQ8ojO qHMvClGcTT0Uic7sNtKGoh/wYDK/x6N8Gtj8TWDZ9YOb/UYG4OHe2vvdp+esB29W zls+49+bwdSm//9NO6B72c/DGv80J9KIhUW1JK+B1nHlztivnxWJezLq6NiP9jQ+ xFNv8MECsY9cVhmIJMT5cluc5cojFcFY2+5aQzIRwrcux61t2L/CwHF5tQlhtbN3 JnjcdGt1XhEd2cz24T00tQGbxElA4z4/rNC25CrF6TIxoiFe68cqFnA0XEuK6qHv AgMBAAGjggFQMIIBTDAJBgNVHRMEAjAAMBEGCWCGSAGG+EIBAQQEAwIGQDAzBglg hkgBhvhCAQ0EJhYkT3BlblNTTCBHZW5lcmF0ZWQgU2VydmVyIENlcnRpZmljYXRl MB0GA1UdDgQWBBRamPBYA2gE++tvcLcmK+2H0lLQATCBsgYDVR0jBIGqMIGngBR0 SZjZFHL//vqS70zxAak6X4dxlKGBiqSBhzCBhDELMAkGA1UEBhMCVVMxCzAJBgNV BAgMAk5ZMREwDwYDVQQHDAhJc2xhbmRpYTERMA8GA1UECgwIQ0EsIEluYy4xJzAl BgNVBAsMHkNBLCBJbmMuIENlcnRpZmljYXRlIEF1dGhvcml0eTEZMBcGA1UEAwwQ Q0EsIEluYy4gUm9vdCBDQYICEAAwDgYDVR0PAQH/BAQDAgWgMBMGA1UdJQQMMAoG CCsGAQUFBwMBMA0GCSqGSIb3DQEBCwUAA4ICAQBl0cR5k7fBrF+kTU5YE8Lc48aX pQ9ybax2chJLfSdHUS1G+qldTatPhWqrKZsCYX7RA07+BB8VBxPie05eIL/azGrD Pdy7tzMm0iGm68uBe7lZW/3itXv2K1SNUEMdHTy787K+2/g8GqXC7Pdf6Nc1rIyl 98nqAPUgAUhBrgCBht1yj+OQpLFll6No/7o81gSkujCRxICW/fDBqRZd7HZ8WZjg m2zfbbZhpaay2leaVdKEOXzQNaexYGF4U9II/00JuBzAS0eoszNVbuwHWP+yzPdL Vg3Xtt4EasEV6/0izqsTpyCh9rnBVF1AFVOFWYAe+HPmJju8Vejzt7VU0EST7pA8 Okc9MUoRIyfO3g8qO7uC9DM+026ymxWat6dNy8tepkALrx12xI/oqD8zqT3BxA5R tISVCcszTdfdmAf+4DKlEbaqeUIDG8uIuBH8kR/oX7LrLZotWLl7piuqpvK3pcrB fizdZ6/+FR5GwhOYT+VdZS0FuoVrTVE6iwm+oPO0Gu35pFhKYshV/c2Hnf5NvMPY 0XU7vV5wlG+LbY5Z8u2ziOEiTg+9+uNrA/ryt8MG9Q/svHlOf2C8azUeY6Ykl3mC te7V+qAJ/ZACWhOlp/ycy8mgGIYbyuzHXKQfaJbgmR0ygaEaeoPaQp6pXycjlpSM O2zmSDDfvuQcWjhR4g== -----END CERTIFICATE-----
後続のクラスタ メンバへの証明書の適用
CSR 作成者以外のすべてのクラスタ メンバで以下の手順を実行します。
  1. アップロード
    ]タブで、証明書の
    ファイル名
    を検索する[
    ファイルの選択
    ]ボタンを使用して、証明書を選択します。以下のとおり、適切な
    タイプ
    を選択します。CA から複数のファイルを受信した場合は、以下の順序でタイプごとに個別にアップロードします。
    • CSR がこのアプライアンスによって生成された場合、[
      証明書
      ]を使用します。 
    • [証明書と秘密キー]
      を使用し、「証明書と秘密キーの作成」で作成したファイルをアップロードします。キーのダウンロード時に作成したパスワードが必要です。 
    • CA から CA チェーン証明書が提供された場合、[
      CA
      バンドル
      ]を使用します。 
    • CA から中間証明書が提供された場合、[
      中間証明書
      ]を使用します。 
    • 証明書失効リスト
      はアップロードしません。CRL 情報は、クラスタ全体で最初のメンバからレプリケートされます。
  2. その他のオプション
    は、証明書に適用可能な形式(X.509 または PKCS)を選択します。
  3. 証明書のファイル名を変更するには、[
    宛先ファイル名
    ]を使用します。秘密キーと正しく一致するように、[宛先ファイル名]が CSR の名前と一致している必要があります。名前が同じ場合は、このフィールドを空白のままにすることができます。 
  4. 証明書で必要な場合は、
    パスフレーズ
    を入力し、[
    確認
    ]で再入力します。[証明書と秘密キー]では、キーのダウンロード時に作成したパスワードが必要です。 
  5. 新しい証明書をステージします。クラスタがオンの場合は、停止します([構成]-[クラスタ化]-[ステータス]-[クラスタ オフ])。
    [設定]タブ
    で、サードパーティ認証機関によって生成された証明書を選択します。
  6. [検証]
    をクリックして、証明書が
    Privileged Access Manager
    で受け入れられることを確認します。
  7. 確認フレーズまたはエラー メッセージがページの上部に表示されます。
  8. 確認後に[
    承諾
    ]を選択すると、アクティブ化のために新しい証明書がステージされます。
    アプライアンスが再起動します。 
  9. 再起動後に、[
    構成]-[セキュリティ]-[証明書
    ]に戻ります。[
    設定
    ]タブの[
    システムの認証
    ]フィールドに、新しくアクティブ化された証明書の名前が表示されています。 
  10. すべてのクラスタ メンバに証明書が設定されたら、クラスタを起動します([構成]-[クラスタ化]-[ステータス]-[クラスタ オン])。