証明書関連のオプションの設定
capam335
HID_ConfigCertificates
[証明書]
画面 ([設定]
- [セキュリティ]
- [証明書]
) で、自己署名証明書の作成、証明書失効リストの設定、アプレットの署名などの証明書関連の設定を行います。 2
自己署名証明書または証明書署名要求を作成する
管理者は、通信のセキュリティ強化のため、自己署名証明書または CSR (Certificate Signing Request、証明書署名要求)を作成します。証明書を使用すると、「信頼された」 SSL 証明書を使用していない場合に、Microsoft Windows によってブラウザの証明書エラーおよび警告が生成されなくなります。証明書には、2 つの基本的なオプションが存在します。クラスタ用に証明書をリクエストすることもできます。
手順のビデオを視聴
このトピックの手順の例を示す、以下のビデオを視聴してください。
自己署名証明書の作成
アプライアンスとクライアントの間の安全な通信を設定する最も簡単な方法は、自己署名証明書を作成することです。コストはかかりませんが、サードパーティによって検証されているわけではないため、信頼されません。そのため、テスト用にのみ適切です。
以下の手順に従います。
- [設定]-[セキュリティ]-[証明書]ページの[作成]タブで、[タイプ]に対して[自己署名証明書]オプションを選択します。
- 以下のフィールドに情報を入力します。赤いアスタリスクの付いたフィールドのみが必須です。特殊文字は使用できません。
- キー サイズ:2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
- 共通名:capam.ca.comや10.144.39.187など、証明書リクエストにPrivileged Access Managerの FQDN または IP アドレスを入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
- 国:US、FR、JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
- 都道府県:イリノイやケベックなど、オプションの都道府県を入力します。このフィールドは X.509 証明書の ST 値にマップします。
- 市区町村:パリやアイランディアなど、市区町村を入力します。このフィールドは X.509 証明書の L 値にマップします。
- 組織:「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。
- 組織単位:「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を設定します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。
- 日:有効期間を設定します。現在のアプライアンス日付は、証明書の「これよりも前には無効」の日付になります。したがって、[日]フィールドは「これよりも後には無効」の日付を決定するのに使用されます。
- SAN の共通名を使用:一部のブラウザでは[Alternative Subject Names (サブジェクトの別名)]フィールドの値が必要となるため、デフォルトで共通名が繰り返し使用されます。フィールド内に他の名前を追加するには、このチェック ボックスをオフにします。引き続き、共通名を[Alternative Subject Names (サブジェクトの別名)]フィールドで繰り返し使用する必要があります。
- Alternative Subject Names (サブジェクトの別名):一部のブラウザでは、このフィールドに値が必要です。値が指定されていない場合、ここでは共通名が繰り返し使用されます。複数のアドレスを使用してアプライアンスにアクセスする場合は、FQDN および IP アドレス エイリアスから共通名までを 1 行に入力します。このリストには、共通名を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。クラスタ:クラスタの場合、VIP およびクラスタのすべてのメンバの FQDN および IP アドレスを追加します。クラスタにアクセスするのに使用されるホスト名または短い VIP 名も追加する必要があります。
- ファイル名:証明書の名前を作成します。ファイル名に作成日や有効期限日を含めます。たとえば、capam_exp2019-07-19と命名します。
- [作成]を選択します。確認メッセージがページの一番上に表示されます。
- 使用する証明書のステージ。[設定]タブで、以前に作成した証明書のファイル名を選択します。拡張子crtがファイル名に追加されます。
- [検証]を選択して、この証明書がPrivileged Access Managerで受け入れられることを確認します。
- 新しい証明書に切り替えるには、[承諾]を選択します。
- アプライアンスを再起動すると、新しい証明書が有効になります。
- ブラウザで、信頼されたルート証明書として証明書をインストールします。
- [セキュリティ アラート]ポップアップ ウィンドウが表示されたら、[証明書を表示する]を選択します。
- [証明書]ポップアップ ウィンドウが表示されたら、[証明書をインストールする]を選択します。[発行先]フィールドは、Privileged Access Managerへのアクセスに使用される URL と一致している必要があります。Microsoft 証明書のインポートでは、証明書ストアの自動選択を選択すると、証明書が正しくインストールされます。この証明書はルート証明書であるため、追加のセキュリティ警告が表示されます。この警告は、安全にバイパスすることができます。
- [はい]ボタンを選択します。
サードパーティ証明書のリクエスト
1 つのアプライアンス用の証明書要求を作成するには、このプロセスを使用します。クラスタについては、「クラスタの証明書のリクエスト」を参照してください。サードパーティから証明書を要求するには、以下のワークフローに従います。
サードパーティ証明書のリクエスト
/content/request_a_third-party_certificate.png/_jcr_content/renditions/original)
証明書署名要求の作成
1 つのアプライアンスについて CSR (Certificate Signing Request、証明書署名要求)リクエストを作成するには、以下の手順に従います。
- [証明書]ページの[作成]タブで、[タイプ]に対して[CSR]オプションを選択します。以下のフィールドの情報を入力します。特殊文字は使用できません。
- キー サイズ:2048 ビットをお勧めします。4096 ビットの方が安全ですが、TLS ハンドシェイクの速度が低下し、ハンドシェイク中のプロセッサの負荷が増加します。
- 共通名:capam.ca.comや10.144.39.187など、証明書リクエストにPrivileged Access Managerの FQDN または IP アドレスを入力します。このフィールドは X.509 証明書の CN フィールドにマップします。
- 国:US、FR、または JP など、2 文字の国コードを入力します。このフィールドは X.509 証明書の C 値にマップします。
- 都道府県:イリノイやケベックなど、オプションの都道府県を入力します。このフィールドは X.509 証明書の ST 値にマップします。
- 市区町村:パリやアイランディアなど、市区町村を入力します。このフィールドは X.509 証明書の L 値にマップします。
- 組織:「Acme Technologies」など、証明書の組織(通常は会社)を入力します。このフィールドは X.509 証明書の O 値にマップします。
- 組織単位:「セキュリティ BU」など、証明書のオプションの組織単位名(通常では組織の部門または場所)を入力します。このフィールドは X.509 証明書の OU 値/組織単位にマップします。
- 日:日数は自己署名証明書にのみ使用されます。
- Alternate Subject Names (サブジェクトの別名):この設定は任意ですが、複数のアドレスを使用してアプライアンスにアクセスする場合には必須です。FQDN および IP アドレス エイリアスから共通名までを 1 行に入力します。このリストには、共通名を含める必要があります。最後のエントリの後に、改行(ライン フィード)を追加しないでください。参照: X.509 代替サブジェクト名。
- ファイル名:証明書の名前を作成します。このファイル名は生成される秘密キーの名前でもあります。この名前は、アップロードされたときに、証明書の名前と正確に一致にする必要があります。ファイル名に作成日や有効期限日を含めます。たとえば、capam_exp2019-07-19と命名します。
- [作成]を選択します。
- [ダウンロード]タブで、作成した CSR のファイル名を選択します。このファイルの拡張子は PEM (Privacy Enhanced Mail)です。
- [ダウンロード]を選択します。このファイルを使用して、Entrust などサードパーティ CA (Certificate Authority、認証機関)の証明書をリクエストします。サードパーティがサイトを検証することから、ユーザはルート証明書をインストールする必要がありません。
- サードパーティ認証機関の指示に従って証明書を受信します。
サードパーティ証明書の適用
認証機関から証明書を受信したら、アプライアンスに適用します。証明書は複数のファイルで構成されている場合があります。以下の手順に従います。
- 必要に応じて、サードパーティから受信した証明書の名前を次のようになるように変更します。
- ベース名が、当初生成された名前と同じである
- ファイルの拡張子が「.crt」であるたとえば、元の PEM 名が abc.pem であった場合は、アップロードされたファイルの名前を abc.crt に変える必要があります。
- [構成]-[セキュリティ]-[証明書]ページの[アップロード]タブで、[ファイルの選択]ボタンを使用して証明書のファイル名を検索し、証明書を選択します。
- 以下のとおり、適切なタイプを選択します。CA から複数のファイルを受信した場合は、以下の順序でタイプごとに個別にアップロードします。
- CSR がこのアプライアンスによって生成された場合、[証明書]を使用します。
- CSR がこのアプライアンスによって生成されなかった場合、[証明書と秘密キー]を使用します。クラスタの場合、CSR を生成する必要があるプライマリ サイトの最初のメンバを除くすべてのメンバにこのオプションを使用します。
- CA から CA チェーン証明書が提供された場合、[CAバンドル]を使用します。
- CA から中間証明書が提供された場合、[中間証明書]を使用します。
- CA から CRL ファイルが提供された場合、[証明書失効リスト]を使用します。CRL をアップロードすると、[証明書失効リスト]タブに表示されます。CA が OCSP (Online Certificate Status Protocol)レスポンダ(サーバ)を使用している場合、CRL ファイルは受信されません。[CRL オプション]タブで[OCSP の使用]を選択する必要があります。
- [その他のオプション]は、証明書に適用可能な形式(X509 または PKCS)を選択します。
- 証明書のファイル名を変更するには、[宛先ファイル名]を使用します。名前が同じ場合は、このフィールドを空白のままにすることができます。Privileged Access Managerで CSR を生成した場合は、秘密キーと正しく一致するように、[宛先ファイル名]が CSR の名前と一致している必要があります。
- 証明書で必要な場合は、パスフレーズを入力し、[確認]で再入力します。
- 新しい証明書をステージします。[設定]タブで、サードパーティ認証機関によって生成された証明書を選択します。
- [検証]を選択して、証明書がPrivileged Access Managerで受け入れられることを確認します。確認フレーズまたはエラー メッセージがページの上部に表示されます。
- 確認後に[承諾]を選択すると、アクティブ化のために新しい証明書がステージされます。
- 新しい証明書をアクティブ化するには、Privileged Access Managerを再起動します。
- 再起動後に、[構成]-[セキュリティ]-[証明書]に戻ります。[設定]タブの[システムの認証]フィールドに、新しくアクティブ化された証明書の名前が表示されています。
CRL オプション
CRL (Certificate Revocation List、証明書失効リスト)は、CA (Certificate Authority、認証機関)によって提供されるファイルです。CA が取り消した証明書を一覧表示します。
CRL
CA が CRL を自動的にダウンロードするように指示している場合は、以下の手順を実行します。
- [構成]-[セキュリティ]-[証明書]ページで、[CRL オプション]タブを選択します。
- [タイプ]で[CRL の使用]を選択します。
- [CRL のタイプ]で[CRL を自動的にダウンロード]を選択します。
- [URL]テキスト ボックスで、CRL サーバの 1 つまたは複数の URL 名を入力します(1 行につき 1 つ)。
- [時間]で、CRL サーバをチェックする頻度を選択します。
- [失効情報が使用できない場合]を選択します。詳細については、「失効情報が使用不可能な場合のオプション」を参照してください。
必要に応じて、証明書プロパティで CRL または OSCP 情報を入手できます。Windows マシンで、CRT ファイルを右クリックし、[プログラムから開く]-[Crypto Shell Extensions]を選択します。[詳細]タブを表示します。
OCSP
OCSP (Online Certificate Status Protocol)は、CRL の新しい代替です。OCSP を使用すると、アプリケーションまたはブラウザが証明書の失効ステータスについてサーバにクエリできるようになります。
CA は、CRL で使用される
crlDistributionPoints
と同様に、証明書に OCSP サーバのアドレスを含めています。CA が OCSP を使用するように指示している場合は、以下の手順を実行します。
- [構成]-[セキュリティ]-[証明書]ページで、[CRL オプション]タブを選択します。
- [タイプ]で[OCSP の使用]を選択します。
- [失効情報が使用できない場合]を選択します。詳細については、この直後の「失効情報が使用できない場合のオプション」を参照してください。
- 他のすべてのオプションは無効です。使用されている場合、アプライアンスは特定の証明書に関連する OCSP サーバと自動的に通信します。
「失効情報が使用できない場合」のオプションは、CRL を自動、手動、または OCSP を使用してダウンロードするときに利用できます。「失効情報が使用できない場合」を使用するには、ドロップダウン リストからオプションを選択して、証明書を持つユーザが PAM にアクセスへのアクセスできるかどうかを判断します。デフォルトは、「ユーザ アクセスを許可」です。このモードでは、証明書を持つユーザがその証明書に関連する失効情報を利用できない、またはアクセスできない場合でも PAM へのアクセスが許可されます。他のモードは、「ユーザ アクセスを拒否」です。このモードは、失効情報を利用できない、またはアクセスできない場合、PAM へのアクセスを拒否します。
以下の表は、「ユーザ アクセスを許可」または「ユーザ アクセスを拒否」オプションを選択したときのさまざまな条件とそれに関連する動作を説明しています。
状況 | ユーザ アクセスを拒否(セキュリティ セーフ モード) | ユーザ アクセスを許可(オペレーション セーフ モード) | コメント |
証明書が期限切れ | 該当なし | 該当なし | 認証に失敗します。 |
自己署名 V3 X509 証明書 | 該当なし | 該当なし | 自己署名証明書はサポートされなくなったため認証に失敗します。 |
CA が期限切れ | 該当なし | 該当なし | 認証に失敗します。 |
CA が取り消し | 該当なし | 該当なし | 認証に失敗します。 |
CRL は存在するが、リストが空 | 該当なし | 該当なし | 取り消すものがないため認証は成功します。 |
証明書の発行者の CRL が存在しない | 証明書の認証に失敗します。CRL が存在する必要があり、空の失効リストと共に使用できます。 | 証明書の認証に成功します。 | |
証明書の発行者の CRL が期限切れ | 証明書の認証がすぐに失敗します。証明書が失効リストにあるかどうかを判断する確認は行われません。 | 証明書の認証が続行し、証明書が失効リストにあるかどうかを判断する確認が行われます。リストで見つかった場合、証明書の認証は失敗し、それ以外の場合は成功します。 | |
自動 CRL ダウンロードが失敗 | ダウンロードに失敗した URL に関連付けられた CRL がクリーンアップされるため、ダウンロードに失敗した URL の証明書の認証は失敗します。これは「証明書の発行者に CRL が存在しない」という条件と同等です。 | 証明書の認証は既存の CRL 情報に応じて成功または失敗します。自動ダウンロードが失敗した場合、CRL はクリーンアップされません。 | |
証明書で使用可能な OCSP URI 情報がない | 証明書の認証に失敗します。OCSP URI 情報は、証明書および証明書チェーン内のすべての証明書に存在する必要があります。 | 証明書の認証に成功します。 | |
OCSP URI に接続できない | 証明書の認証に失敗します。 | 証明書の認証に成功します。 |
証明書破棄リスト
- 発行者
- 次回の更新(または期限切れになったときの注意)
- ステータス(S = 安定、P = 処理中、D = ダウンロード中、I = 初期、F = 失敗)
- ファイル名(該当する場合)
- 配布ポイント(オプション)
- 失敗の理由(CRL の失敗でエラー メッセージが生成される場合には、ここに表示されます。例:無効な CRL ファイルがあります:)ファイル名
アプレットに署名
Privileged Access Manager
Java アプレット JAR も証明書で署名できます。Java アプレットの署名方法の詳細については、「クライアント ワークステーションでの Java の管理」を参照してください。 証明書、CA バンドル、または CRL の削除
証明書、CA バンドル、または CRL を削除するには、以下の手順に従います。
- [構成]-[セキュリティ]-[証明書]ページで、[削除]を選択します。
- 削除するファイル名を選択し、[削除]を選択します。