1. SSLサーバー証明書について
1.1. 概要
SSLサーバー証明書とは、ウェブサーバーやその他各種サーバーがネットワーク通信の安全性を保障するために必要とする電子証明書の一種です。
1.2. SSLサーバー証明書
SSLサーバー証明書とはサーバーソフトウェアが使用する電子証明書の一種で、通信先の認証と通信内容の暗号化を行うSSLという通信で使用されます。ウェブサイトの運営会社はウェブサーバー上にサーバー証明書を配置し、ウェブサイト利用者に向けて、運営会社の身元を示すと同時に通信が傍受されずにかつ正しいウェブサイトをアクセスしていることを証明します。
サーバー証明書を設置する際、サーバー証明書の正当な所有者であることを示すために、証明書と対になった秘密鍵も合わせて設置する必要があります。サーバー証明書には数年単位の有効期限が設定され、また対になる秘密鍵が漏洩した場合などには発行機関によって無効化(revoke)されます。
その他の電子証明書として電子メール、ウェブサイトでの個人認証、ICカードなどに使用する個人証明書もあります。
1.3. 証明書発行機関
一般的にSSLサーバー証明書はCertificate Authority (CA)と呼ばれる認証機関(法人などの団体)から、証明書の発行を依頼した法人・個人に対して発行されます。CAは申請者法人・個人が正当な所有者からの申請であることを確認(認証)し、証明書を発行します。また証明書の無効化も発行機関が行います。
多くのサーバー証明書の発行機関は証明書の認証・発行・維持のために、申請者から対価を受け取ります。本文書ではそのようなCAを商用CAと呼びます。著名な商用CA企業としてVeriSign, Inc.などがあります。それとは異なり、申請者の組織内部でサーバー証明書を発行する場合、そのCAをプライベートCAと本文書では呼びます。大企業のIT部門で運用しているCAからITエンジニアーがテスト用証明書発行のために使っているCAまですべてプライベートCAと呼びます。
社外向けや会社間、または大企業内でのサービスを実施するウェブサイトでは商用CA発行のサーバー証明書を使用するのが一般的です。
1.4. サーバー証明書リセラー
証明書リセラー企業は商用CAが発行するサーバー証明書を販売します。いくつかの証明書リセラーは複数の商用CAのサーバー証明書製品を扱っており、顧客にとって最適な製品選択を支援し、また証明書の設置・維持などのきめ細やかな顧客サービスも提供しています。
2. Server Certificate Managerの概念
Server Certificate Managerは企業が所有・管理するすべてのサーバー証明書について、その取得・配備・監視そしてライフサイクル全般の管理を支援するソフトウェアです。
2.1. サーバー証明書リポジトリー
Server Certificate Managerは内部にデータベースを持っており、生成した秘密鍵、CAから購入した証明書、さらには購入履歴、配備履歴、監視情報などすべてを格納します。またドキュメントフォルダーも備えており、証明書の購入処理で使用する電子化文書(PDFやワード文書など)などを証明書毎に格納できます。
このように企業が使用するサーバー証明に関する情報を一元管理し、適切なユーザ認証・アクセス権管理やバックアップを行うことで、秘密鍵の漏洩や紛失を強固に防ぐことができます。
2.2. サーバー証明書の要件定義と取得プロセス・配備プロセス
新しいオンラインサービスを開始するにあたり、まずはどのようなサーバー証明書が必要になるかを検討し決定します。そして新たに証明書を購入し、対象サーバーにインストールを行います。
取得プロセスとは1枚のサーバー証明書をCAから入手し格納する一連の手順です。秘密鍵・CSRの生成から購入処理、そしてCAから証明書を受け取りサーバー証明書リポリジトリーに格納します。
取得プロセスには新規取得と更新取得があります。新たなサーバーのために証明書の要件定義から始めたものは新規、期限が切れたなどの理由で既存のサーバー証明書を更新する場合は更新取得となります。
配備プロセスとはサーバー証明書リポリジトリーに格納された証明書を対象サーバーにインストール、また、インストール後の証明書の監視設定をおこなう一連の手順です。
2.3. 証明書定義・証明書要求・証明書
Server Certificate Managerでは上記プロセスを、証明書定義・証明書要求・証明書という概念オブジェクトを用いてソフトウェア内で管理します。要件定義が「証明書定義」、取得プロセスが「証明書要求」、そして配備プロセスが「証明書」とほぼ1対1で対応しています。
それぞれの概念オブジェクトは、対応プロセスでのアウトプットとその過程での情報(履歴)を保持し履歴として残します。
|
|
中間生成情報 |
アウトプット |
|
証明書定義 |
− |
申請者、購入製品、配備先等の情報 |
|
証明書要求 |
CSR、購入履歴 |
秘密鍵、CAから受領した証明書等 |
|
証明書 |
インストール要求メール、配備履歴 |
証明書の配備・監視設定 |
(正確には、秘密鍵はその再利用も可能にするため、証明書要求から独立したオブジェクトとして存在しています)
2.4. 証明書のインストール
発行されたサーバー証明書は対になる秘密鍵などと共に、対象サーバーにインストールしなければなりません。Server Certificate Managerはこの複雑で手間がかかりミスしやすい作業をできるだけ簡略化・自動化します。
Server Certificate Managerでは、下記のような証明書インストール方法を提供しています。
|
|
説明 |
条件・制限 |
|
自動化された証明書インストール |
· この方法ではServer Certificate Managerの画面上でボタンを一つクリックするだけで対象サーバーにアクセスし証明書のインストールを行います。 · サーバー管理者は対象サーバー上で作業を行う必要がありません |
本製品以外に追加ソフトウェアやネットワーク構成(FW等)の変更が必要になる場合があります。対応サーバーソフトウェアが対象です。 |
|
ワンクリック証明書インストーラー |
· サーバー管理者がインストール要求メールと共にメール・Web・FTPなどで、証明書インストーラーパッケージを受け取ります。それを対象サーバー上で実行するだけでインストールが完了します。 |
Server Certificate Managerコンピューターと対象サーバーがネットワーク接続されてなくてもかまいません。対応サーバーソフトウェアが対象です。 |
|
従来からの方法によるインストール |
· サーバー管理者がインストール要求メールと共に証明書インストーラーパッケージを受け取り、それをunzipで展開します。 · CAやサーバーソフトウェアの手順書に従い手動でインストールします。 |
Server Certificate Managerの対応サーバーソフトウェアでなくても使用できます。 |
現バージョンでサポートしているサーバーソフトウェアと関連要件については製品のRead Meファイル (readme_ja.html)に記載しています。
Kousec Software, Inc.はお客様のニーズに合わせて対応サーバーソフトウェアの種類を増やしていくと同時に、Server Certificate Managerコンピューターと対象サーバーコンピューターが直接ネットワーク接続されていない環境も積極的にサポートしていきます。ワンクリック証明書インストーラーは例えばUSBメモリに入れてiDCに運搬し実行することが可能です。その際、証明書や秘密鍵は暗号化されているため安心して移動させることができます。
2.5. ビルトイン・プライベートCA
Server Certificate ManagerはプライベートCA機能も内蔵しています。本機能を活用し以下のような運用も可能になります。
1. 開発フェーズにおいて、Server Certificate Managerを使用し必要なサーバー証明書を定義していく。
2. ビルトイン・プライベートCAを使用しサーバー証明書を発行し配備する。
3. 最終テストフェーズ前に、証明書定義において商用CAを証明書ベンダーとし、更新取得を行い商用証明書を配備する。
このような方法により、証明書移行時のミスや変更モレを防ぎながら、開発期間中の証明書コストを削減できます。
また、本番システムとは別に開発・テストシステムを保持するプロジェクトでは、証明書定義をクローン(コピー)し、素早く本番システムの全サーバー証明書をプライベートCAで発行することもできます。
2.6. 配備済みサーバー証明書の監視
正しい証明書の配備が確認されたサーバーであっても、その後何らかのミスで旧証明書に戻ったり他サーバーの証明書がインストールされてしまう事故が発生する可能性があります。
Server Certificate Managerでは、1日1回など定期的にすべての配備済み証明書を監視できます。これにより以下のチェック項目を含むレポートを生成できます。
1. 証明書リポジトリーに登録されている現行証明書がインストールされているかチェック
2. 証明書検証に必要な中間CA証明書もインストールされているかチェック
3. 正しい証明書の場合、残りの有効日数
4. 対応する配備プロセスのステータス
Server Certificate Managerコンピューターから直接アクセスできないサーバー(イントラネットサーバーなど)については監視対象からはずすよう設定できます。
2.7. ネットワーク上の管理されていないサーバー証明書の検出
Server Certificate ManagerはネットワークをスキャンしSSL対応サーバー上で使用されているサーバー証明書を見つけることができます。そして見つけた証明書を分析しそれぞれが有効でかつServer Certificate Managerで指定した証明書トラストポリシーに準拠しているか判断します。分析結果はレポートとして生成されます。
またレポートから証明書を選択しインポートを開始することもできます。
2.8. 既存サーバー証明書のインポート
既存サーバー証明書をServer Certificate Managerを使用し管理し始める場合、既存証明書をインポートしてServer Certificate Managerの証明書リポジトリーに格納します。Server Certificate Managerにおけるインポート機能は2つの目的があります。
1. 既存証明書から情報(例えばDN)を抽出し、それから証明書定義を作成します。それを使って証明書の更新などが行えます。
2. 既存証明書を使ってサーバーにインストールされた現在の証明書を監視します。
既存証明書の有効期限が切れていたり現在どのサーバーにもインストールしていないのであれば、監視する必要はありません。その場合は2番をスキップできます。
また対応する秘密鍵もインポートした場合、監視に加えて、Server Certificate Managerから証明書を再配備することも可能になります。
2.9. サーバー証明書の選択と購入
Server Certificate Managerには、最新のSSL証明書製品のデータベースが含まれており、商用CAから証明書を購入する際に利用できます。Server Certificate Managerでは証明書の更新時に、証明書製品の種類・ベンダーを変更しても既存の証明書の更新として扱います。
Server Certificate Managerでは、取得すべきサーバー証明書はまず証明書定義で要件を設定します。以下のいずれかの方法があります。
1. ある商用CAの特定の証明書製品を指定する。
2.
要件だけを設定しておく。
要件とは例えば特定CAの証明書に限る、または特定の安全度(アシュアランスレベル)を持った製品に限る、など製品選択条件をしておく。
取得プロセスの証明書の選択・購入の段階では、以下のように証明書製品を選択します。
· 証明書定義で特定の証明書製品が指定されていれば、それを選択する。
· 要件だけが設定されていれば、その要件に合う証明書製品が製品セレクター上にリストされるのでそこから製品を選択する。
実際の購入については、選択した商用CAのサイトもしくはリセラーのサイトにて行います。そして注文後、注文日付・注文番号などをServer Certificate Managerに入力します。
3. Server Certificate Managerの設定
3.1. 基本設定
インストール直後に、Server Certificate Managerを使い始める前に行う基本設定があります。サイドメニューの “Application” ⇒ “Settings” を開きます。
下記は必須項目となりますので設定してください。
l
CertMgr 管理者の情報
本製品を使用するユーザーのメールアドレスです。管理者への通知メールのあて先として使用します。
l
メール設定(送信)
Server Certificate Manager 自身がメールを送信する際に使用する設定です。
|
Sender Email Address |
Fromヘッダーに設定するEメールアドレス |
|
Sender Email Name |
Fromヘッダーに設定する名前・表記 |
|
SMTP Server Name |
送信に使うSMTPサーバー名。ポートを指定する場合は、servername:587 とセミコロンをつなげます。 |
|
SMTP User Name |
SMTPサーバーに接続するためのユーザー名 |
|
SMTP Password |
SMTPサーバーに接続するためのパスワード |
入力がおわったら”Send Test Email”ボタンを押してメールが送信できるか確認するとよいでしょう。
Tip: 送信エラーの場合の対処。最近はSMTPへのアクセスが厳しく制限されています。ポート番号587を使用し、かつServer Certificate Managerが動いているコンピューターでアンチウィルスソフトなどがポート番号587をブロックしていないことを確認してください。
3.2. 初期パスワードの変更
ユーザー adminの初期パスワードの変更を強く推奨します。変更するには、”Settings”画面の下にある”Change My Password”をクリックします。
3.3. CertMgrウェブサーバーへのアクセスを制限する
初期インストール後は、IPアドレス範囲 192.168.xx.xxのコンピューターからのウェブアクセスを許します。IPアドレス範囲を変更することができます。
· Kousec Server Certificate Manager スタートメニューのOpen Command Promptをクリックしコマンドプロンプトを開きます。
· notepad ip_acl.txt と入力しIP ACLファイルを編集します。表記方法はファイル内のコメントにあります。ファイルを保存するとすぐに変更が反映されます。
3.4. CertMgrウェブサーバー用のSSL証明書
インストール時にCertMgrウェブサーバーのためのSSL証明書がビルトイン・プライベートCAから発行されインストールされています。この証明書のための証明書定義は作成されていません。
商用CAから新たな証明書を入手したりビルトイン・プライベートCAから異なるDNで新しい証明書を発行することができます。基本的な手順は下記のとおりです。
1.
既存の証明書をインポートし証明書定義を作成します。
CertMgrのURL(https://localhost:23466/)から証明書をインポートします。このインポートした証明書のための配備プロセスは開始する必要はありません。
2. 証明書定義上から新しい証明書を入手するための取得プロセスを開始します。
3. 入手した証明書を配備する時、Server Software TypeとしてThis CertMgr を選択します。また本証明書の自動インストールを有効にするために、Username for Auto-Install とPassword for Auto-Install に任意の文字列を入力します。そして自動インストールを実行します。
4. CertMgrからログアウトし、CertMgrサービスを再起動します。
5. ログインします。配備チェックを行うときに、ポート番号 23466 を指定します。そして配備プロセスを進めて完了します。
3.5. ユーザーの管理
Server Certificate Managerにログインし各種操作を行うユーザーの追加・変更・削除などが行えます。”Settings”画面の下にある”ユーザーの管理”をクリックしてください。
各ユーザーには権限を設定することができます。Admin権限を持ったユーザーは、他のユーザーの作成・変更・削除などのユーザー管理操作が行えます。User権限を持ったユーザーはユーザー管理の操作ができません。
3.6. 詳細コンフィグレーション
詳細コンフィグレーションについては、下記ファイルを編集します:
<CERTMGR_INSTALL_FOLDER>\htdocs\cake\cm\cmconfig.inc
リバースプロキシ構成時の外部サーバー名やJREへのフォルダーパスなどのオプション設定があります。
4. Server Certificate Managerによる証明書管理
4.1. 各種画面の概要
この画面では、証明書定義とそれに関わる証明書の取得状況や現行証明書の配備状況が一覧できます。
証明書要求一覧では、記録されている全証明書要求が表示されます。
取得プロセス一覧では、未終了の取得プロセスの一覧と、既に更新取得プロセスが開始されていなければいけないがまだ開始されていない証明書定義の一覧が表示されます。この画面から、取得プロセスの進捗チェックができます。
証明書一覧では、記録されている全証明書が表示されます。
配備プロセス一覧では、現行証明書に関する配備プロセスの一覧が表示されます。そのうち、配備ステータスが「確認済」か「インストール要求中」のものについては、毎日の証明書監視の結果も同時に示されます。これらの画面から、配備プロセスの進捗チェックと日々の監視結果が一覧できます。
証明書製品を購入する際に、一般的に証明書ベンダーのサイトでアカウントを作成しなければなりません。本画面では、それらを記録しておくことで、注文および受け取りを容易にします。複数ベンダーで同じユーザー情報を登録しているのであれば、1エントリーだけ作成しておくことも可能です。
生成された秘密鍵の一覧です。デフォルトではCSR生成時に新たな秘密鍵が生成されます。インポートし配備プロセスを実行した証明書の秘密鍵も記録しています。
監視コントロールでは、監視機能の管理と証明書監視の履歴を見ることができます。
また定期監視のスケジュールを調整することもできます。
送信済みメールでは、Server Certificate Managerから送信したEメールの履歴を見ることができます。
証明書検出ではネットワークをスキャンしSSLサーバー証明書を探します。そして見つかったサーバー証明書の有効性を分析し、またインポートすることでServer Certificate Managerによる管理下に置きます。
4.2. 主な使用方法
4.2.1. 既存の証明書を読み込みServer Certificate Managerで管理を始める
既存証明書をServer Certificate Managerにインポートできます。インポートを行うと、その証明書内の情報から新たな証明書定義が作成されます。その証明書定義から、次回更新時に証明書取得を開始します。
また、ユーザーの選択により、そのインポートした既存証明書自体の配備プロセスを開始することも出来ます。
インポート処理は2つのケースに対応しています。
1. 既存証明書と対になる秘密鍵を保有していて、インポート時に秘密鍵もインポートした。
2. 既存証明書と対になる秘密鍵を保有していない。
1のケースでは、配備プロセスを実行することでServer Certificate Manager から再配備することができるようになります。
2のケースでは、配備プロセスを実行しても証明書はサーバーに配備することができませんが、監視対象として設定することができます。
既存証明書はどのサーバーにも配備されていない、もしくは有効期限が切れている場合は、監視も行う必要がないので、配備プロセスは実行する必要はないでしょう。
インポート可能な証明書ファイルの形式は以下のとおりです:
l
Apache互換のテキスト形式 (“PEM”)
このファイルセットはApacheサーバーで一般的に使用されるもので、サーバー証明書ファイル、対になる秘密鍵ファイル、そして複数の中間CAの証明書を含む単一のファイルから構成されます。これらのファイルの形式は全てテキストです。秘密鍵は暗号化されることもあり、その場合はパスフレーズを入力する必要があります。
l
Windows互換のバックアップ形式 (“PKCS#12”)
よく“P12” や“PFX”ファイルと呼ばれるこのタイプの証明書ファイルは、関連するファイル全てを暗号化した単一のファイルに格納しています。ファイル名は.p12や.pfxで終わります。一般的に含まれるファイルは、サーバー証明書、対になる秘密鍵、そして必要な中間CAの証明書群です。パスフレーズを入力する必要があります。
l
Windows互換の証明書形式 (“CER” and “P7B”)
このファイルセットは一般的に証明書を移送するために使用され、秘密鍵には使用されません。”CER”ファイルはDERというバイナリ形式であり、一つの証明書を格納できるのでサーバー証明書を格納するのに使われます。”P7B”ファイルは複数の証明書を格納できるので必要な中間CA証明書群を格納するのに使われます。
l
Java キーストア形式 (“JKS”)
ほとんどのJavaベースのアプリケーションサーバーはこの形式を、キーストア(サーバーの秘密鍵を格納)とトラストストア(このサーバーが信頼するCAの証明書群)としてサポートしています。Server Certificate Managerでは、キーストアとして使用しているJKSファイルから、秘密鍵、サーバー証明書、中間CA証明書をインポートできます。キーパスワードを入力する必要があります。
証明書検出で見つかった証明書のインポート
インポート対象の証明書を一つずつ指定する以外に、証明書検出を行い見つかった証明書をインポートすることもできます。その場合は対応する秘密鍵はインポートできないことに注意してください。
インポートなどで作成した証明書定義から、新たに証明書を取得する取得プロセスを開始します。証明書の更新も同様に開始します。証明書定義を開き、下部のボタン「証明書を取得する」を押します。すると、取得プロセスが開始され、新たな証明書要求の画面が開きます。
製品の選択 : 製品の選択と購入画面では、Server Certificate Manager 内に登録されている証明書製品の情報を参照したりベンダーの情報ページなどにジャンプできます。製品が決まったら、Buy ボタンを押すと選択している製品ベンダーのウェブサイトが別ウィンドウ開きます。
注文 : ほとんどの証明書ベンダーの購入サイトでアカウントが必要です。Server Certificate Manager にはアカウント情報画面があり、証明書ベンダーのアカウント情報(ユーザー名・パスワード・Eメール等)をここに記録しておき証明書要求(や証明書定義)と関連付けておくことができます。注文が終了したらServer Certificate Manager の画面に戻り注文番号などもあわせて入力しておきます。
証明書受取り : CAから証明書が発行されると、ベンダーアカウントに登録しているEメールアドレスに証明書ベンダーから証明書の発行通知が届きます。そこから証明書、中間証明書などをダウンロードし、Server Certificate Manager の証明書受取り画面に入力します。
現行証明書の切り替え : 入手した証明書が既に有効期間内であれば、本証明書を現行証明書として設定できます。古い証明書があればそれと切り替えます。Server Certificate Managerでは、まずどの証明書があるべき現行証明書かを指定し、次にそれにしたがって実際にサーバーに配備されている証明書を切り替える配備プロセスを始めます。
ここで取得プロセスは完了です。現行証明書の切り替えにより、配備プロセスがアクティブになっていますので、画面の指示に従い配備プロセスに進みます。
配備情報の入力 : 本証明書を配備するのに必要な情報を入力します。情報は大きく分けて3つあります。最初は証明書をインストールするターゲットサーバーの情報、2番目は証明書インストールパッケージをどのようにサーバー管理者に届けるかの情報、3番目は自動インストール(auto-install)で必要な情報です。自動インストールはオプションであり、いくつかのサーバーソフトウェアプラットフォームだけで使用できます。サポートしているサーバーソフトウェアの一覧と特定のサーバーソフトウェア向けの手順については、Readmeファイルの「サポートされているサーバーソフトウェア製品」セクションを参照してください。
入力後、「配備準備する」を押すと、証明書インストールパッケージが作成され次のステップに進みます。
証明書インストールの依頼 : サーバーへの証明書インストール依頼を行うEメールを作成します。また、前ステップで自動インストールの情報(ユーザー名・パスワード等)を入力していた場合、「自動インストールを試みる」というボタンが表示されます。このボタンを押すと自動インストールが実行され結果が表示されます。自動インストールが成功した場合、Eメールは証明書インストール依頼から証明書インストール通知に変更されます。
確認画面に進みメールを送信します。
配備をチェック : ここでは、前ステップで依頼した証明書が実際にターゲットサーバーに正しくインストールされているかをチェックします。デフォルトでは証明書のコモンネームのサーバーにアクセスしてチェックを行います。内部サーバー名等別の名前でサーバーにアクセスしチェックを行いたい場合は、別名を「チェック用サーバー名」に入力します。
Tip: 証明書インストール依頼を出してから実際にサーバーエンジニアが証明書インストールパッケージを実行しインストールするまで時間がかかります。通常はここで配備プロセス画面を抜け、例えば1日1回「配備プロセス一覧」画面をチェックするとよいでしょう。配備プロセス一覧画面ではアクティブな配備プロセスの一覧と対応する証明書の定期監視の結果が表示されます。「監視結果」列がOKになった時点で、証明書画面を開き、再度配備チェックを行い、配備プロセスを完了させます。
Tip: Server Certificate Manager コンピューターとターゲットサーバーが通信できない環境では、Server Certificate Manager コンピューターから配備チェックや証明書監視ができないので、ターゲットサーバーと通信できる環境にて配備チェックを手動で行います。手動による配備チェックの手順は本ガイドの付録Aに記載しています。
On Server Certificate Manager 画面上では手動配備チェック完了後、ボタン「手動で配備チェック完了」を押し次のステップに進みます。また、ターゲットサーバーとの通信が定常的に不可の場合は、チェックボックス「定期監視を無効」にもチェックを入れておくことで監視の対象からはずします。
配備チェックの結果 : チェックの結果がチェックの詳細内容と共に表示されます。成功の場合、「完了」ボタンを押して配備プロセスを完了します。失敗の場合、「結果をサーバー管理者にメールする」を押すとサーバー管理者にメールで送信されます。また本画面ショットをネットワークエンジニアやサーバーエンジニアに見せて問題を解決します。失敗の場合でも「チェックせずに継続」ボタンを押すことで配備プロセスを完了できます。その場合配備定期監視でアラートがあがってくるでしょう。必要に応じて、配備プロセス完了後に本証明書画面を開き定期監視を無効化できます。
証明書管理者の注意を必要とするほとんどのイベントは一日一回、証明書管理者へのEメールとして届けられます。またログインして2,3の画面をチェックすることで最新の情報が得られます。
日々の管理においてチェックすべき画面は、証明書定義一覧(証明書全体状況)、取得プロセス一覧、そして配備プロセス一覧の3つです。
証明書定義一覧 : 本画面では、全ての証明書定義について、現行証明書と次回証明書の取得状況、そして現行証明書の配備状況を簡略化した形式で表示します。
証明書定義一覧の一部
取得プロセス一覧 : 本画面では、現在進行中の取得プロセスの一覧と、有効期限が残り60日を切った証明書で、まだ取得プロセスが開始されていない証明書定義の一覧があわせて表示されます。本画面から以下のアクションが取れます
1. 証明書定義をオープンし、更新取得プロセスを開始する。
2. 取得プロセスが停滞している証明書要求をオープンし、問題を調査、プロセスを迅速化する。
配備プロセス一覧 : 本画面では、現在進行中の配備プロセスの一覧と、配備プロセスが完了した現行証明書のうち定期監視で配備チェックが失敗している(すなわち何らかの原因で正しい証明書を検証できなかった)証明書定義の一覧があわせて表示されます。本画面から以下のアクションが取れます
1. 配備プロセスが停滞している証明書をオープンし、問題を調査、プロセスを迅速化する。
2. 配備プロセスのステータスが「インストール要求中」のもののうち、監視結果が「OK」となっているものがあれば、その証明書をオープンし配備チェックを行って配備プロセスを完了させる。
3. 配備プロセスのステータスが「確認済」なのに監視結果が「NG」になっているものがあれば、監視結果をクリックして詳細結果ページを開き原因を調査する(サーバーエンジニアにメールするなど)。
また監視コントロール画面で、日次で実施される証明書監視の状況もチェックするとよいでしょう。
4.3. 証明書監視
配備した証明書の監視を設定をすることが可能です。またインポートし配備チェックを行った証明書も監視設定できます。
Server Certificate Manager では、複数のサーバー名の種類と違いを意識することが重要です。
|
名前のタイプ |
説明 |
|
コモンネーム |
エンドユーザ向けの正式なコンピューター名(ドメイン名) |
|
サーバー名 |
インストール先としてのコンピューター名 |
|
チェック・監視用のサーバー名 |
これはコモンネーム、サーバー名、その他の名前・IPアドレスのいずれでもよい。対象サーバーのサービスにネットワーク経由でServer Certificate Managerコンピューターが接続できる名前である必要があります。 |
コンピューターに対して配備チェックを行う場合、Server Certificate Managerはサーバー名がコモンエームや複数ドメイン名(Subject Alternative Names (SAN))のひとつと一致することを要求しません。それよりもサーバー上で見つかった証明書がCertMgrの証明書リポジトリに格納され「現行証明書」であると宣言されている証明書と同一のものかをチェックします。このチェックは両方の証明書のSHA1ハッシュを比較して行います。
4.4. 証明書検出
証明書検出ではネットワークをスキャンしSSLサーバー証明書を探します。そして見つかったサーバー証明書の有効性を分析し、またインポートすることでServer Certificate Managerによる管理下に置きます。
4.5. Server Certificate Manager内のデータのバックアップ
下記の3つのフォルダーにバックアップすべきデータが保存されています。
CERTMGR_HOME/db (メインのデータベース。下記以外の全てを含む。)
CERTMGR_HOME/DocFolders
(文書フォルダー内の文書ファイルおよび生成した証明書パッケージファイル)
CERTMGR_HOME/myca (ビルトインPrivate CAのデータベース)
Kousec CertMgrサービスを停止し、上記フォルダーをバックアップしてください。
また、バックアップデータを別のフォルダーにインストールしたKousec Server Certificate Managerへリストアする場合は、インストール後上記ファイルを上書きコピーします。そして、cm_config.bat をコマンドプロンプトから再実行してください。
4.6. [オプション] Private CAの構成
デフォルトでは、ビルトインPrivate CAは下記の設定になっています:
CAのディスティングイッシュネーム(DN)
Organization Name : Kousec CertMgr
Built-in Private CA
Common Name : Kousec CertMgr Auto-Generated CA <CA生成時のタイムスタンプ>
以下の手順でこの設定を変更することができます。”Open Command Prompt” ショートカットをクリックし、コマンドウインドウ内で実行してください。
1.
現在のPrivate
CAのデータベースをバックアップ
CAフォルダーの名前を変更します。
> ren myca myca_default
2.
新しくCAを作成します
新たなルートCAを作成:
> gencert -setup_ca -2
CAのDN情報などを入力します。CAのパスワードを求められたら、「orenosp」と入力します。
重要:同一のDN情報で新たなCAを作成することはお勧めしません。コモンネームに作成日や通し番号などを入れてユニークなDNを指定してください。
変更したCA情報は以下で確認できます:
> gencert -info
3.
Deploy Checkツールに新しいCAの証明書を追加します
下記コマンドで、Private
CAの証明書をテキスト形式(PEM)で表示します:
> gencert -show_cacert
そして、ファイル
CERTMGR_HOME\ssl.crt\ca-bundle-cert.pem をテキストエディターでオープンし、このファイルの最後にCA証明書を張り込みます。
4.
新しいCAでCRLファイルを生成します
>gencert -gen_crl -p:orenosp -f
5.
CertMgrにログオンしPrivate CA画面を開きます
Create CA Cert Installer ボタンをクリックし、Private CA 証明書インストーラーパッケージを再作成します。