SSL証明書のインストール（バージョン123180まで）

Network Configuration Manager（旧称DeviceExpert）には独自のSSL証明書をインストールできます。以下の手順に従ってください。

本製品はHTTPSサービスとして動作します。これには、実行ホストの名前をプリンシパル名とした、CA署名済みの有効なSSL証明書が必要です。デフォルトでは、初回起動時に自己署名証明書が作成されます。ユーザーのブラウザーは、この自己署名証明書を信頼しません。そのため、Network Configuration Manager接続時は、製品サーバーの証明書情報とホスト名を手動で慎重に確認し、ブラウザーに証明書の受諾を命ずる必要があります。

Network Configuration Managerサーバーを、Webブラウザーとユーザーに正しく認識させるには、次の手順を実行してください。

• NCMホスト用に、認証局から新しい署名済み証明書を取得する必要があります。
• または、NCMホストに、認証局から取得した証明書を、ワイルド カード プリンシパル指定してください。

証明書はOpenSSLやkeytool（Javaにバンドル）で作成し、認証局による署名をうけ、Network Configuration Managerで使うこともできます。どのツールを使用するかは、セキュリティ管理者と相談のうえ、選択ください。双方のツールの使用法は、以下に説明します。すでに認証局が署名した証明書をお持ちの場合は、OpenSSLでキー ストアを作成し、NCMに設定することをおすすめします（以下の手順の手順4と5）。

• OpenSSLを使用する
• Keytoolを使用する
• ワイルド カード証明書のインストール

OpenSSLを使用する

OpenSSLは、ほとんどのLinuxディストリビューションにバンドルされています。Windowsをお持ちで、OpenSSLがインストールされていない場合は、http://www.slproweb.com/products/Win32OpenSSL.htmlからダウンロードしてください。OpenSSLインストールの下の「bin」フォルダーが「PATH」環境変数に含まれていることを確認してください。

手順1：初めに、SSLハンド シェイクに使用する公開鍵と私有鍵のペアを作成します。

• コマンド プロンプトを開きます。
• 「openssl genrsa -des3 -out <privatekey_filename>.key 1024」を実行します。
• <privatekey_filename>は、私有鍵保存用に指定するファイル名です。 私有鍵のパス フレーズを入力するように求められます。「deviceexpert」または選択したパス フレーズを入力してください 正式な記載はありませんが、Tomcatにはパスワードに特殊文字を使う際の問題があるため、英字のみを含むパスワードを使用してください）。
• 同じフォルダー内に<privatekey_filename>.keyという名前のファイルが作成されます。

手順2：前の手順で作成した公開鍵を使用して署名済み証明書を作成するため、認証局宛ての証明書署名要求（CSR）を作成します。

• 「openssl req -new -key <privatekey_filename>.key -out <certreq_filename>.csr」を実行します。
• <privatekey_filename>.keyは前の手順で使用されたものです。
• <certreq_filename>.csrは、証明書署名要求をCA（認証局）に送信するために指定したファイル名です。
• これにより、Network Configuration Managerのホスト サーバーの識別名（DN）に含まれる一連の値を入力するように求められます。
• 必要に応じて値を入力します。重要なのは、「Common Name」にNetwork Configuration Managerをホストしているサーバーの完全修飾名です（これを使用してブラウザーからアクセスします。）
• 同じフォルダー内に<privatekey_filename>.csrという名前のファイルが作成されます。

手順3：認証局署名済み証明書を取得するには、CSRを認証局に送信します。

• 著名な認証局にはVerisign（http://verisign.com）、Thawte（http://www.thawte.com）、RapidSSL（http://www.rapidssl.com）がなどあります。CSR提出の詳細については認証局のドキュメントやWebサイトをチェックしてください。認証局への支払い料金にかかわる情報も記載されています。
• この手順には通常数日かかり、署名済みのSSL証明書と認証局のroot証明書が.cerファイルで戻ってきます。
• 手順1と2のファイルが保存されている作業フォルダーに両方を保存します。

手順4：CAの署名入りの証明書をキー ストアに追加してください。

• コマンド プロンプトで、同じ作業フォルダーに移動します。
• 「openssl pkcs12 -export -in <cert_file>.cer -inkey <privatekey_filename>.key -out <keystore_filename>.p12 -name Network Configuration Manager -CAfile <root_cert_file>.cer -caname Network Configuration Manager -chain」を実行します。
• ここでは、それぞれの指定内容は具体的には次の通りとなっています。
• cert_file.cerは、拡張子が.cerの署名付きSSL証明書です。
• privatekey_filename.keyは、.key拡張子のある私有鍵ファイルです。
• keystore_filename.p12は、.p12拡張子を付けて生成されるキー ストアです。
• root_cert_file.cerは、.cer拡張子を持つCAのroot証明書です。
• パスワードの入力を求められたら、手順1で私有鍵に使用したものと同じパスワードを入力します。2つのパスワードを同じにするというのは、Tomcat固有の制限によるものですので、ご容赦ください。
• これで、同じフォルダーにキー ストア ファイル<keystore_filename>.p12が生成されます。

手順5：最後に、Network Configuration Managerサーバーを設定し、キー ストアをお客さまのSSL証明書でご利用ください。

• 前の手順で生成したこの<keystore_filename>.p12を<ncm_home>/confフォルダーにコピーします。
• コマンド プロンプトで、<ncm_home>/confフォルダーに移動します。
• ファイル「server.xml」を開き、以下の変更を行います。
• デフォルト値が「conf/server.keystore」に設定されているエントリ「keystoreFile」を検索します。値を「conf/<keystore_filename>.p12」に変更します。
• 「keystorePass」のエントリが「deviceexpert」、またはキー ストア作成時に前の手順で指定したパスワードに設定されていることを確認してください。
• keystorePassの次に新しいエントリkeystoreType="PKCS12"を追加します。
• server.xmlファイルを保存してください。
• Network Configuration Managerサーバーを再起動して、Webブラウザーで接続します。ブラウザーからの警告なしにNetwork Configuration Managerのログイン コンソールを表示できる場合は、SSL証明書のインストール成功です。

Keytoolを使用する

• 著名な認証局には Verisign (http://verisign.com)、Thawte (http://www.thawte.com)、RapidSSL (http://www.rapidssl.com)がなどあります。CSR提出の詳細については認証局のドキュメントやWebサイトをチェックしてください。認証局への支払い料金にかかわる情報も記載されています。
• この手順には通常数日かかり、署名済みのSSL証明書と認証局の証明書が.cerファイルで戻ってきます。
• 両方を<ncm_home>/jre/binフォルダーに保存します。

手順4：認証局署名済み証明書をNetwork Configuration Managerサーバーにインポート

• SSL証明書をキー ストアにインポートします。
• <ncm_home>/jre/binフォルダーに移動します。
• コマンド「keytool -import -alias Network Configuration Manager -keypass <privatekey_password>-storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_certificate>」を実行します。
• <your_ssl_certificate>は認証局から取得した証明書で、前の手順で保存した.cerファイルです。<privatekey_password>、<keystore_password>、<keystore_filename>は、前の手順で使用したものです。
• <keystore_filename>を<ncm_home>/confフォルダーにコピーします。

手順5：最後に、SSL証明書と一緒にキー ストアを使用するように、Network Configuration Managerサーバーを設定します。

• <ncm_home>/confフォルダーに移動します。
• server.xmlファイルを開きます。
• デフォルト値が「conf/server.keystore」に設定されているエントリ「keystoreFile」を検索します。<keystore_filename>が前の手順で使用したものである場所の値を「conf/<keystore_filename>」に変更します。
• keystoreFile隣の「keystorePass」を検索してください。デフォルト値は「deviceexpert」に設定されていますここで<keystore_password>の値を、前回の手順で使用したものに変更してください。
• Network Configuration Managerサーバーを再起動して、Webブラウザーで接続します。ブラウザーからの警告なしにNetwork Configuration Managerのログイン コンソールを表示できる場合は、SSL証明書のインストール成功です。

  メモ：TomcatはデフォルトでJKS（Java Key Store）とPKCS #12形式のキー ストアのみを受け付けます。キー ストアがPKCS #12形式の場合、キー ストア名とあわせてkeystoreType="PKCS12"を、server.xmlファイルに指定してください。これにより、形式がPKCS12であることがTomcatに伝えられます。この変更後にサーバーを再起動してください。

既存のワイルド カード対応SSL証明書をインストール

• <ncm_home>/confフォルダーに移動します。
• server.xmlファイルを開きます。
• デフォルト値が「conf/server.keystore」に設定されているエントリ「keystoreFile」を検索します。値を「conf/<keystore_filename>」に変更してください。ここでは、<keystore_filename>は、既存のワイルド カード証明書に所属するものを指定します。
• keystoreFile隣の「keystorePass」を検索してください。デフォルト値は「deviceexpert」に設定されています。ここで<keystore_password>の値を、前回の手順で使用したものに変更してください。
• Network Configuration Managerサーバーを再起動して、Webブラウザーで接続します。

ブラウザーからの警告なしにNCMのログイン コンソールを表示できる場合は、SSL証明書のインストール成功です。

メモ：詳細およびトラブル シューティングについては、認証局の資料を参照してください。