Kousec Server Certificate Manager - readme

インストール手順とリリースノート

Version: 1.1.1, 日付 2011/10/22

What's New in 1.1.1

前のバージョン(1.1.0)からの変更は以下の通りです。

信頼済みCA証明書リストをmozilla.orgからの最新版に更新。

Kousec Server Certificate Managerについて

Kousec Server Certificate ManagerはSSLサーバー証明書のライフサイクル管理ツール製品です。いくつかのエディションが存在します。 BasicエディションはフリーウェアとしてITプロフェッショナル向けに提供しております。

略称等

ソフトウェアおよびドキュメント内でKousec Server Certificate Managerを Kousec CertMgrやCertMgrと呼称している箇所があります。

システム要件

Kousec Server Certificate Managerはウェブ形態のクライアントサーバーアプリケーションです。インストールパッケージにはサーバー側を実行するのに必要なコンポーネントのほとんどを含んでいます。

サーバー側

Windows XP SP2 or SP3, Windows Vista SP1 or later
Windows Server 2003 SP1 or later, Windows Server 2008 (全て32bit版)
Windows Server 2008 R2 (64bit版)
1GB以上のRAM

オプショナルのサーバー側コンポーネント

Java Runtime Environment バージョン 5以上
Javaキーストアから証明書をインポートするにはJREがインストールされていなければなりません。
Windows Management Framework Core (PowerShell 2.0, WinRM 2.0)
IIS 7/7.5に対して証明書の自動インストールを行う場合に必要。

サポートしているウェブブラウザ

IE 7.0
Firefox 3.0, 3.6
IE 6.0 (いくつかのアイコンの背景が灰色になっています)

証明書自動インストールのためのソフトウェア要件

IISへの証明書自動インストールには、ソフトウェアだけでなくネットワーク・サーバー構成にも要件があります。詳細は下記の「証明書自動インストールの要件」を参照ください。なお、自動インストールが出来ない環境でも、IIS用の証明書ワンクリックインストールパッケージを使用し証明書のインストールを容易に行えます。

Kousec Server Certificate Managerのインストール

BETA/RCユーザー: Server Certificate Managerのいかなる前のバージョンはすべてアンインストールし、さらにインストールディレクトリを削除しておく必要があります。(例: C:\KousecCertMgr)

初期インストール

Kousec CertMgrインストーラープログラムを実行します。管理者権限を持つユーザーが実行しなければなりません。
インストール先フォルダーを選択します。フォルダー名や親フォルダーの名前には空白文字が含まれていてはなりません。
インストール中に、"KousecCertMgr"というWindowsサービスが作成され開始されます。

KousecCertMgrサービスはOS起動時に開始するように設定されます。またKousec Server Certificate Managerのメニューのショートカットから開始・停止・再開始も行えます。

アップグレードインストール

注意

BetaやRC版からユーザーデータを移行することはできません。
アップグレードインストールを行う前に、インストールディレクトリをバックアップすることを強く推奨します。

アップグレード手順

Kousec Server Certificte Managerソフトウェアをアンインストールします。ユーザーデータはインストールディレクトリに残ります。
新しいバージョンのKousec CertMgrインストーラープログラムを実行します。データを移行するには同じインストールディレクトリを選択しなければなりません。
以前のバージョンがアンインストールされたときに、KousecCertMgrサービスの情報も削除されます。サービスのアカウントを変更していた場合は、再度サービスのアカウントを設定する必要があります。（ライフサイクル管理でIIS7やWindows CAを使っている場合に必須です。）
本readmeや他のドキュメントにあるアップグレード時の注意事項を見て、管理者が行う必要がある作業があるか確認します。

Kousec Server Certificate Managerに最初にアクセスする

ウェブブラウザで https://localhost:23466/cake/cm/をオープンします。ウェブブラウザは信頼されていないSSL証明書について警告を発します。SSL証明書を受け入れてログイン画面まで進みます。初期設定ではユーザー名 admin パスワード admin となっています。なお、アイドルタイムアウトは2時間に設定しています。
初期パスワードは、Setting画面の"Change My Password"リンクをたどり変更することをお勧めします。 CertMgrが使用するSSL証明書の変更方法についてはユーザーガイドをご覧ください。

アクセス制限について

下記のようなアクセス制限をしています。

クライアントIPによる制限
Kousec CertMgrのウェブサーバーへのアクセスはいかなるIPv4アドレスを持つクイアントに許可されます。 IPアドレスアクセス制限の変更方法についてはユーザーガイドをご覧ください。またWindowsファイアウォールでコンピューターを保護していることを確認してください。
Kousec CertMgrへのログインおよびKousec CertMgr内のドキュメントフォルダーへのアクセスはさらにユーザー名とパスワードでログインしなければなりません。

詳細についてはユーザーズガイドを参照ください。

制限事項

下記の制限事項があります。

メッセージが英語のままの箇所があります。

サポートされているサーバーソフトウェア製品

証明書インストーラー
	ワンクリック・インストーラー	自動インストール
IIS 6	サポート	サポート
IIS 7/7.5	サポート	サポート
Exchange 2007	証明書インストールヘルパーとしてサポート	計画なし
Java (generic)	サポート	検討中
Apache/Linux	サポート Apache 2.0.x on CentOS/RHEL 4.x Apache 2.2.x on CentOS/RHEL 5.x Apache on Ubuntu 9 Server, Ubuntu 8 Server Apache 2.2.x on SUSE11(*)	サポート Apache 2.0.x on CentOS/RHEL 4.x Apache 2.2.x on CentOS/RHEL 5.x Apache on Ubuntu 9 Server, Ubuntu 8 Server Apache 2.2.x on SUSE11(*)
OpenSSL (generic)	vsftpd, Postfix, Dovecot をサポート OS: Ubuntu Server 9 and 8, CentOS/RHEL 5	vsftpd, Postfix, Dovecot をサポート OS: Ubuntu Server 9 and 8, CentOS/RHEL 5
VMware ESXi	ESXiフリーバージョンのみサポート	ESXi 3.5 Update 2以上 : サポート ESXi 4.0 Update 1: サポート
VMware ESX	計画中	ESX 4.0 Update 1: サポート
VMware vCenter Server	vCenter 4.0 Update 1 : サポート	検討中

(*) SUSE11 : SUSE Linux Enterprise Server 11

証明書自動インストールの要件

IIS6へのインストール

Windows XPにCertMgrをインストールした場合:
IIS 6.0 Manager for Windows XPをXPにインストールする必要があります。日本語版XPの場合下記に従って、まずOS付属のIIS 5.1の共通コンポーネントだけをインストールし、次にIIS 6.0 Manager for Windows XP(英語版)をインストールします。
- [INFO] IIS 6.0 サーバーを Windows XP Professional から管理する
- IIS 6.0 Manager for Windows XP を使用して、リモートサーバー上で実行されている IIS 6.0 のインスタンスに接続するときに、エラーメッセージが表示されます
Windows Server 2003にCertMgrをインストールした場合:
Windows Server 2003に含まれているIIS Managerをインストールする必要があります。
ネットワーク：
CertMgrマシンとターゲットのIISサーバーの間にファイアウォールがないこと。（DCOMプロトコルを使用します）

Install to IIS 7 or 7.5

CertMgrコンピューター: Windows XP もしくは Windows Server 2003:
Windows Management Framework Core (PowerShell 2.0, WinRM 2.0)をインストールし、Powershell Remotingを設定します。
- Windows Management Framework Core (PowerShell 2.0, WinRM 2.0)
管理対象サーバー: Windows Server 2008 もしくは Windows Server 2008 R2
管理対象サーバーがWindows Server 2008の場合、上記と同様に Windows Management Framework Core (PowerShell 2.0, WinRM 2.0) をインストールします。.
Windows Server 2008 R2の場合は、すでにPowerShell 2.0とWinRM 2.0はOSの一部としてインストールされています。
PowerShell Remotingを設定しておきます。
KousecCertMgrサービスのアカウント
Kousec Server Certificae Managerをインストール後、"KousecCertMgr"サービスを実行するアカウントを変更します。ローカルマシン上で管理権限(Administrators)をもつアカウントである必要があります。
ネットワーク:
管理対象サーバーはCertMgrコンピューターに対して、WinRMのTCPポートを開けておく必要があります。
```
 デフォルトポート: 5985(HTTP), 5986(HTTPS)
```
PowerShell Remotingを有効にする。
以下はPowerShell Remotingを有効にする基本的なステップです。本番環境用にはよりセキュアな構成にするために別のドキュメントを参照ください。
- CertMgrコンピューター
```
PS> Set-ExecutionPolicy RemoteSigned
PS> set-item WSMan:\localhost\Client\TrustedHosts -value "*"

64-bit Windows上での注意: 上記は32ビット版PowerShellで実行してください。
CMD> C:\WINDOWS\syswow64\windowspowershell\v1.0\powershell.exe
```
- 管理対象サーバー
```
PS> Enable-PSRemoting
```

Exchange 2007 サポート

Exchange 2007用のワンクリックインストーラーについて

Exchange 2007は大きく複雑な製品であり多様な配備トポロジーをもっています。したがってCertMgrは、まず必要ならば中間CAの証明書をインストールし次にサーバー証明書をImportしEnableするPowershellスクリプトを自動開始する証明書インストールパッケージを提供します。このスクリプトは実際にはコマンド(ImportとEnable)を表示しそのコマンドを実行するか尋ねてきます。さらにスクリプト終了後Powershellコマンドウィンドウをそのままオープンしておきますので、これらのコマンドを手動で実行したり、インポートした証明書がVALIDで必要なサービス向けにENABLEされているかを確認することができます。

Exchange 2007におけるサーバー証明書の使い方については、下記の記事をご覧ください:

Certificate Use in Exchange Server 2007

ビルトインプライベートCA発行の証明書の使用

Exchange 2007のサイト向けには、商用CA発行の証明書を使用することをMicrosoft社は薦めています。Exchange 2007のインストール直後は必要な証明書はすべて自己署名証明書となっていますので、ビルトインプライベートCA発行の証明書を使用する必要はありません。ただし検証用に活用することはできます。

プライベートCA発行の証明書を使用する場合の追加手順は下記のとおりです。

プライベートCAのCRL(Certificate Revocation List)と証明書をKousec Certmgrのウェブサーバー上で公開します。
CRLファイルはウェブサーバー上で"/privca_pub/1.crl"という名前で公開されています。CA証明書は"/privca_pub/ca-cert.cer"という名前で公開されています。
プライベートCAが発行するすべての証明書の証明書拡張属性内に上記URLを入れるように指示します。mycaディレクトリで ca_ext.confというファイルを作成し、下記テキストをそのファイルに入力します。この変更は対象のサーバー証明書を生成を生成する前に行っておく必要があります。

[default]
crlDistributionPoints=URI:<外部-url>/privca_pub/1.crl
authorityInfoAccess=caIssuers;URI:<外部-url>/privca_pub/ca-cert.cer

例
[default]
crlDistributionPoints=URI:http://any-hostname-needed/privca_pub/1.crl
authorityInfoAccess=caIssuers;URI:http://any-hostname-needed/privca_pub/ca-cert.cer

"gencert -info"というコマンドで、ファイルが認識されることを確認できます。

これらのURLがターゲットサーバー(証明書をインストールしたExchange2007サーバー)からアクセス制御なしでアクセスできることを確認してください。次のコマンドでWindows OSからアクセスできるかどうか確認できます: "certutil -verify -urlfetch cert.pem" (cert.pemはエクスポートしたサーバー証明書ファイルです)

IIS (generic) サポート

下記のWindowsサービス用の証明書をインストールしたい場合は、IIS(generic)を選択します。

WinRM (PowerShell Remoting) over HTTPS
Windows Remote Desktop Services or Terminal Services

IIS (generic)用に作られたワンクリックインストーラーは、サーバー証明書と秘密鍵をローカルコンピューターのPersonal Certificatesストアに格納し、さらに必要に応じて関連したCA証明書をTrusted RootストアかCAストアに格納します。しかしアプリケーション(WinRMやWin RDS)がその証明書を使うように設定は行いません。サーバー管理者がそのタスクを行う必要があります。

WinRM: 詳細についてはこちらのドキュメントを参照してください。
Windows Remote Desktop Services もしくは Terminal Services:
Terminal Services Configurationツールを使って設定できます。Windowsのヘルプファイルを参照してください。

JKS (generic) サポート

CertMgrはJavaキーストアのインポートプログラムの入った証明書インストールパッケージを作成できます。この機能は秘密鍵をJKS(Java Keystore)形式のキーストアに格納する多くのJavaベースのアプリケーションサーバーをサポートします。JKSインポートプログラムは既存のキーストアファイルをバックアップし（もし存在すれば）します。そしてCertMgr管理者が指定したalias名で新しい秘密鍵とサーバー証明書と中間CA証明書をインポートします。Javaベースのサーバーはまたトラストストアと呼ばれる別のキーストアも使用することもあります。CertMgrのインポートプログラムではこのトラストストアには一切触れません。

証明書インストールパッケージを作成する

CertMgrアドミニストレーターとして、キーストアファイルの場所をサーバーインスタンスタブのJKS File Pathに設定することができます。更新するキーストアのフルパスを入力してください。指定されない場合は、証明書インストールパッケージを実行するユーザーのホームディレクトリにある ".keystore"というファイルが更新されます。aliasをAlias in Keystoreに、またキーストアパスワードをKeystore Passwordに入力します。

Server Instanceテキストボックスには、ターゲットサーバー上でサーバーソフトウェアインスタンスを識別するテキストを入力します。この情報はサーバー管理者向けのものです。

例

Server Instance: Tomcat-prod2
JKS File Path: C:\Document and Settings\Administrator\keystore.jks
Alias in Keystore: tomcat2
Keystore Password: mypass

証明書インストールパッケージを実行する

サーバー管理者としてインストーラーパッケージを受け取ったら、インストール依頼メールにあるdistributionパスワードを入力しunzipしてください。Windowsでは次に"jks_inst.bat"をダブルクリックします。Unix/Linuxでは、 "bash jks_inst.sh"または"java -cp JksUtil.jar JksUtil"を実行します。もしJKSファイルが存在するならばまずバックアップが取られます。しなければ新しいキーストアファイルが作成されます。JavaインストーラーはCertMgr管理者の設定に従い新しい秘密鍵と証明書をインポートします。

もし実際に必要なaliasまたはキーパスワードがCertMgr管理者が設定したものと異なるのであれば、インポート後に変更できます。インポートプログラムがそれらをkeytoolプログラム(JREに同梱)を用いて変更する方法を表示します。

代替方法として、サーバーソフトウェアに同梱されている他のツールを使うこともできます。例えばWebLogic ServerのImportPrivateKeyなどです。

Java互換性

ターゲットサーバーには JRE 1.4以上がインストールされている必要があります。

テスト済み Javaベースの製品

Apache Tomcat : Tomcat 4.1, Tomcat 5.5, Tomcat 6.0
Oracle WebLogic Server : WebLogic Server 9.2, WebLogic Server 8.1

Apache on Linux Support (One-click Installer)

Certmgrはインストールスクリプト付きの証明書インストールパッケージを作成します。OS標準のディレクトリにインストールされたApacheに対応しています。インストールスクリプトはOSバージョンや証明書の場所を検出し、対応していない環境であれば、それまでの変更を戻して、停止します。
複数のApacheインスタンスがある場合、2番目以降はパッケージに含まれた証明書や鍵ファイルを使って手動でインストールを行う必要があります。

ターゲットサーバーの要件

Apacheサーバーはどんなサーバー証明書でもよいのでSSLを使うように既に設定されている必要があります。
CentOS/RHEL 4.x and 5.x : 追加ソフトウェアや設定は必要ありません。
SUSE 11 : 追加ソフトウェアや設定は必要ありません。
Ubuntu 9 and 8: PHP CLI版と "unzip"プログラムがインストールされている必要があります。次のコマンドをそれぞれ実行しプログラムをインストールしてください:
"sudo apt-get install php5-cli" と "sudo apt-get install unzip
サポートマトリクスに記載されていないLinuxディストリビューションバージョンについて：
インストーラーは個々の要件をチェックし全て満たされていたなら証明書のインストールを試みます。PHPのバージョンは4.3.x以上が必要です。SSL Conf Pathテキストボックスに（後ほど説明する）SSL Config Fileの場所を入力してください。

証明書インストールパッケージを作成する

証明書インストーラーはSSL証明書の設定(SSLCertificateFileとSSLCertificateKeyFile)を含んだApacheの設定ファイルを探します。これをここではSSL Config Fileと呼びます。SSL Config Fileの場所をServer Software OptionsタブのSSL Conf Pathテキストボックスで指定できます。標準（デフォルト）のSSL Config Fileを使っている場合は、SSL Conf Pathテキストボックスは空のままでかまいません。デフォルトのSSL Config Fileはお使いのLinuxディストリビューションのバージョンによって変わってきます。下記の表は、サポートしているLinuxディストリビューションのバージョン毎のデフォルトのSSL Config Fileの場所を示しています。

SSL Config File の場所
	デフォルトのSSL Config Fileの場所	備考
CentOS/RHEL 4.x	/etc/httpd/conf.d/ssl.conf
CentOS/RHEL 5.x	/etc/httpd/conf.d/ssl.conf
Ubuntu 8 Server	デフォルトのconfig fileはありません	SSL Conf Pathに指定してください。一般的には /etc/apache2/sites-available/ 配下です。
Ubuntu 9 Server	/etc/apache2/sites-available/default-ssl
SUSE 11	デフォルトのconfig fileはありません	SSL Conf Pathに指定してください。一般的には /etc/apache2/vhosts.d/*.conf のどれかです。

証明書インストールパッケージを実行する

サーバー管理者としてインストーラーパッケージを受け取ったら、まずターゲットサーバーの/tmpディレクトリにアップロードし、インストール依頼メールにあるdistributionパスワードを入力しunzipしてください。次に、メールにある手順に従ってください。
証明書・鍵ファイルやApacheの設定ファイルなど全てのファイルは修正前にバックアップが取られます。またインストールスクリプトはUNDOスクリプトを生成するので、それを実行することで、修正を取り消すことが可能です。

Apache on Linux Support (Automated Installer)

CertMgrは証明書インストールパッケージと必要なインストールスクリプトをターゲットサーバーに送り実行し証明書をインストールします。OS標準のディレクトリにインストールされたApacheに対応しています。インストールスクリプトはOSバージョンや証明書の場所を検出し、対応していない環境であれば、それまでの変更を戻して、停止します。複数のApacheインスタンスがある場合、2番目以降はパッケージに含まれた証明書や鍵ファイルを使って手動でインストールを行う必要があります。

システム要件

One-click installerの要件に加えて、さらに下記の要件があります:

CertMgrコンピューターはSSH v2 プロトコルでターゲットサーバーにアクセスできなければなりません。SSHのパスワード認証でのログインが可能でなければなりません。
- SUSE 11 : SSHDの設定でPasswordAuthentication を 'yes' にします。
ターゲットサーバーのスーパーユーザー(root)のユーザー名とパスワードが証明書配備プロセスに登録されていなければなりません。ユーザー名・パスワードは証明書インストールパッケージには書き込まれません。
もしターゲットサーバーはrootユーザーのログインを許さず代わりに"sudo"コマンドを使うよう要求する場合は、どんなコマンドも発行できるようなsudoの権限があるユーザー名を入力してください。
- Ubuntu OSがこのケースになります。

証明書インストールパッケージを作成する

One-click installerと同様に必要に応じてSSL Conf PathテキストボックスにSSL Config Fileの場所を入力してください。Username for Auto-installとPassword for Auto-installにはCertMgrがターゲットサーバーにアクセスするためのユーザー名とパスワードを入力してください。"root"ユーザーかOSスーパーユーザーとしてタスクを実行できるsudo権限をもったユーザーを入力してください。また Server Name for Certificate で指定したサーバー名でCertMgrコンピューターがターゲットサーバーにアクセスできることを確認してください。

Auto-Installを実行する

Auto-installのための追加情報を入力して証明書インストールパッケージを作成したあとに、 Install certificate now ボタンをおしてください。CertMgrは証明書のインストールを試み結果を表示します。auto-installの実行ログをみるのには See log をクリックしてください。

OpenSSLベースのサーバーソフトウェアのサポート (One-click Installer/Automated Install)

OpenSSLをSSLライブラリとして使用する多くのサーバーソフトウェアをサポートしています。下記表は現在サポートしているサーバーソフトウェアのタイプを示しています。Apache HTTP Server(これもOpenSSLを使用しています)についてはこのOpenSSLのタイプではなく、Apache/Linuxタイプのサーバーソフトウェアとしてサポートしていることにご注意ください。他のOpenSSLベースのソフトウェアでここに掲載されていないものについては、このタイプを選択し手動で証明書をインストールすることができます。

ターゲットサーバーの要件

サーバーソフトウェアはどんなサーバー証明書でもよいのでSSLを使うように既に設定されている必要があります。
サーバー上ではGNU bash (shell)とperlが使用可能でなければなりません。
現在サポートしているOSはLinuxです。

ソフトウェアのタイプ	説明	OS
vsftpd	vsftpd FTP server	Linux
Postfix	Postfix SMTP server	Linux
Dovecot	Dovecot POP3/IMAP server	Linux
Not Listed	その他多くのOpenSSLベースのプログラムについてはこれを選択し手動で証明書をインストールします。	Linux,Windows and others

証明書インストールパッケージを作成する

Server Software Type選択ボックスで Openssl (generic)を選択します。そして Server Software Options タブで、適切なソフトウェアタイプを選択します。他のオプションについてはオンラインヘルプを参照してください。

証明書インストールパッケージを実行する (One-click installer)

サーバー管理者としてインストーラーパッケージを受け取ったら、まずターゲットサーバーの/tmpディレクトリにアップロードし、インストール依頼メールにあるdistributionパスワードを入力しunzipしてください。次に、メールにある手順に従ってください。
証明書・鍵ファイルなど全てのファイルは修正前にバックアップが取られます。またインストールスクリプトはUNDOスクリプトを生成するので、それを実行することで、修正を取り消すことが可能です。

リモートからインストーラーを実行する (Automated install)

ソフトウェアタイプとして vsftpd/Dovecot/Postfix どいずれかを選択した場合、自動インストールを実行することも可能です。自動インストールのオプションにOSのユーザー名とパスワードを指定してください。スーパーユーザー(root)か sudo権限を持ったユーザーを指定してください。

VMware ESXiのサポート

自動証明書インストール

システム要件と諸注意

CertMgrコンピューター上に追加ソフトウェアは必要ありません。
TCPポート 443番がCertMgrコンピューターから到達可能である必要があります。
ESXiサーバー上に証明書がインストールされた後、VMware管理者が手動で Restart Management Agents を実行する必要があります。

初めて証明書をインストールする場合の基本手順

VMware ESXi direct consoleにてmanagement networkを必要に応じて設定します。 Restart Management Networkを選び設定を有効にします。
VI ClientまたはvSphere Clientで、VMware ESXiサーバーのホスト名(hostname.domainname)を適切な値に設定します。そこの指示に従い、設定を有効にします。
CertMgr上でESXiサーバー用の証明書を用意します。証明書のコモンネームには同じホスト名(hostname.domainname)を設定します。また複数のホスト名をCertMgrのDomain Name Listに入力してマルチドメイン証明書を作成することもできます。たとえば、"hostname", "hostname.domainname", "192.168.1.188" を入力した場合、ESXiサーバーは３つのうちのどの名前でもアクセスできます。
CertMgrの配備プロセスにおいて、自動インストールのオプションにESXiサーバーのユーザー名とパスワードを入力します。[証明書インストール]をクリックしてインストールします。
VMware ESXi direct consoleにて Restart Management Agents を選び証明書を有効にします。

One Click Installer

システム要件と諸注意

ワンクリックインストーラーを実行するにはESXiのハイパーバイザーカーネルにログインしなければなりません。この操作はVMware社でサポートされていません。フリー版のESXiをお使いのときだけ、この方法をお使いいただけます。

証明書インストールの基本手順

CertMgr上でESXiサーバのための証明書を準備します。
PCに証明書インストールパッケージをダウンロードします。
PC上でパッケージパスワードを入力しパッケージをunzipします。このパッケージには暗号化されていない秘密鍵が含まれています。取扱には注意を払います。
パッケージに含まれている３つのファイルをESXiサーバー上の/tmpディレクトリに転送します。サポートされていないSSHやDatastoreブラウザを使って転送できます。
ESXiサーバー上で右のコマンドを実行します: "sh /tmp/inst_esxi.sh"
インストーラースクリプトは自動的にESXi management servicesを再起動させます。
ESXiサーバーに転送する際に残される暗号化されていない秘密鍵を削除してください。

VMware ESXのサポート

自動証明書インストール

システム要件と諸注意

CertMgrコンピューター上に追加ソフトウェアは必要ありません。
ESXサービスコンソールOS上のTCP port 22 (SSH)がCertMgrコンピューターに対してオープンになっている必要があります。
スーパーユーザー(root)でのSSHログインが有効になっている必要があります。通常ユーザーでのログインとsudo実行はサポートされていません。

初めて証明書をインストールする場合の基本手順

ESXサービスコンソール上でrootがログインできるようSSHDを設定します。/etc/ssh/sshd_configファイルのパラーメータ PermitRootLogin をyesに変更しsshdサービスを再起動させます。
CertMgr上でESXサーバー用の証明書を用意します。証明書はコモンネームに、同じホスト名(hostname.domainname)を設定する必要があります。またCertMgr上のDomain Name Listに複数のホスト名を入れることでマルチドメイン証明書を作成できます。例えば、hostname、hostname.domainname、192.168.1.188を入れることで、ESXサーバーはこれら３つのどの名前でもアクセスすることが可能になります。
CertMgrの配備プロセスにおいて、Auto-InstallオプションとしてESXサーバーのユーザー名(root)とパスワードを入力します。
証明書のインストール後、ESXサーバー上でいくつかのmanagement serviceが再起動されます。新しい証明書を持つHTTPSサービスが立ち上がるまで、２・３分以上かかります。そのために証明書インストール直後の配備チェックは失敗することがあります。その場合、5分か10分後に配備チェックを再度おこなってください。

VMware vCenter Serverのサポート

vCenter ServerのデフォルトのSSL自己署名証明書を置き換えるためのワンクリック証明書インストーラーを作成することが可能です。.

ワンクリック証明書インストーラー

システム要件と諸注意

CertMgrコンピューター上に追加ソフトウェアは必要ありません。.
インストールステップの多くで、ワンクリックインストーラーはユーザーの確認を求めてきます。これはvCenter Serverのシャットダウンと再起動のタイミングをサーバー管理者に認識してもらう必要があるからです。

基本的手順

CertMgr上でvCenter Serverコンピューター用の証明書を用意します。証明書のコモンネームには同じホスト名(hostname.domainname)を設定します。また複数のホスト名をCertMgrのDomain Name Listに入力してマルチドメイン証明書を作成することもできます。たとえば、"hostname", "hostname.domainname", "192.168.1.188" を入力した場合、vCenter Serverコンピューターは３つのうちのどの名前でもアクセスできます。
CertMgrの配備プロセスで、vCenter Serverコンピューター向けに証明書パッケージを作成します。その証明書パッケージとパッケージパスワードをvCenter Serverコンピューターの管理者に送ります。
vCenterの管理者が証明書パッケージを受け取ったら、vCenter Serverコンピューターにそれをアップロードし、パッケージパスワードを入力して実行します。ユーザーの確認を求めてきます。.

Kousec Server Certificate ManagerをいかにVMware vSphere環境に適用できるかについて記述した別のドキュメントをコウセック・ソフトウェアのウェブサイトにて公開する予定です。

Windows証明書サービスとの統合

Windows証明書サービスへの証明書要求と受取りを自動化できます。Kousec CertMgrは二つの運用モードをサポートしています。ひとつは、Windows CAに直接接続する方法です。もうひとつは、Windows Certificate Enrollment Web Services (CES)を経由し、後ろにあるWindows CAに接続する方法です。

サポートされる構成

Windows Certification Authority (Windows CA)

Windows証明書機関(CA)のコンピューター：
Enterprise CAをインストールしたWindows Server 2003 Enterprise Edition
Enterprise CAをインストールしたWindows Server 2008 Enterprise Edition
Enterprise CAをインストールしたWindows Server 2008 R2 Enterprise Editionもしくは Standard Edition
Kousec CertMgrコンピューター： Kousec CertMgrがサポートしている全てのWindows OS
Kousec CertMgrコンピューターとWindows証明書期間(CA)のコンピューターは同一Active Directoryドメインのメンバーである必要があります。
（この要件は下記にあるよう若干緩和できます。）

Windows Certificate Enrollment Web Service (Windows CES)

Windows証明書機関(CA)のコンピューター：
Enterprise CAをインストールしたWindows Server 2008 R2 Enterprise Edition
Windows Certificate Enrollment Web Serviceのコンピューター:
Windows Server 2008 R2 Enterprise Edition
- CESの認証タイプは Username and password
Kousec CertMgrコンピューター：
Windows Server 2008 R2 Standard Edition もしくは Enterprise Edition (64-bit)
Windows 7 (評価目的のみ)
Kousec CertMgrコンピューターとWindows CESコンピューターは無関係なActiveDirectoryドメインのメンバーで構いません。

必要な設定 (for Windows CA)：
Kousec Server Certificae Managerのインストール後、,"Kousec CertMgr"サービスの実行ユーザーアカウントを以下のアクセス権限があるドメインユーザーに変更します。

Windows CA上の証明書テンプレートにREADとENROLL許可を持っている。一般的には、Domain AdminsとEnterprise AdminsグループはＣＡ上の全ての証明書テンプレート全てにこれらの許可をもっています。
Kousec CertMgrを（ドメインメンバーでなく）スタンドアロン・コンピューターで実行する必要があるのであれば、ドメインユーザーと同じ名前とパスワードを持つローカルユーザーを作成し、そのユーザーアカウントでKousec CertMgrサービスを実行します。

CertMgrウェブコンソールにログインしたら「CA契約」を開き、そこの指示に従います。

必要な設定 (for Windows CES)

CA契約で情報を入力する際、Windows CA上の証明書テンプレートにREADとENROLL許可を持っていADユーザーアカウントの名前をパスワードを入力します。ユーザー名はドメイン名を前に置く必要があります:

例: DOMAIN\MyUser

Server Stringには、Windows CESのURIを入力します。URIはIIS ManagerのCES仮想ディレクトリのApplication Settingsで確認できます。URIは下記のようなものです:

https://myca.example.com/example-MYCA-CA_CES_UsernamePassword/service.svc/CES

このHTTPSアクセスはサーバーのIIS証明書を認証します。発行CAがプライベートCAであれば、ローカルコンピューターのTrusted RootストアにCA証明書をインストールしてください。

Kousec Software, Inc.
記載されている会社名、製品名は、各社の登録商標または商標です。