Password Manager Pro - FAQ

1.一般

  1. Pasword Manager Proを使用する前に、インストールが必須条件となっているソフトウェアはありますか?
  2. 他の人は私が追加したリソースを見ることができますか?
  3. Pasword Manager Proのリソースに独自の属性を追加することは可能でしょうか?
  4. ユーザーが機密パスワードを他のメンバーに共有せず、組織から脱退した場合はどうなりますか?
  5. ADからのユーザー/リソースインポートにおいて、インポートに失敗した場合どのように解決したらよいですか?
  6. 別のマシン(PMPサーバーが実行されているマシン以外)にインストールされているMySQLデータベースサーバーでPMPアプリケーションを機能させるにはどうすればよいですか?
  7. カスタムクエリを実行して、他のレポートシステムと統合するための結果を生成することは可能ですか?
  8. ドメインSSOはファイアウォール/ VPN間で機能しますか?
  9. Password Manager Proのブランドを独自のロゴと組織情報に変更できますか?
  10. Password Manager Proは、ユーザーによるパスワード表示試行と取得作業を記録しますか?
  11. PostgreSQLのwal_archiveファイルのサイズが急速に増加するのはなぜですか?
  12. Password Manager ProはHA構成をサポートしていますか?
  13. Password Manager Proが保持するSyslog形式は何がありますか?
  14. グループ管理サービスアカウント(gMSA)を使用してPMPサービスを実行するにはどうすればよいですか?
  15. Password Manager ProはWindowsCALライセンスの数を変更しますか?

2. Webインタフェースと認証

  1. PMPがリッスンしているデフォルトのポート7272を変更出来ますか?
  2. Password Manager Proアカウントがユーザーに通知されない場合はどうなりますか?
  3. Password Manager Proで利用できる認証スキームは何ですか?
  4. Password Manager Proで使用できるユーザーの役割は何がありますか?またそれらのアクセスレベルは何ですか?
  5. Password Manager Proのログインパスワードを忘れた場合はどうなりますか?
  6. ブラウザからPassword Manager Proコンソールにアクセスしているときに、セキュリティ警告が表示されることがありますがなぜですか?

3. セキュリティー

  1. Password Manager Proのパスワードはどのくらい安全ですか?
  2. パスワード管理APIを介して行われる、アプリケーション間およびアプリケーションからデータベースへのパスワード管理はどのくらい安全ですか?
  3. 独自のSSL証明書をインストールできますか? (ビルド9700以降で適用可能な手順)
  4. どのように署名済みのSSL証明書を生成出来ますか? [または] Password Manager ProサーバーをWebブラウザとユーザーに信頼させるにはどうすればよいでしょうか?
  5. MySQLサーバー用に一意のSSL証明書を生成するにはどうすればよいですか? (ビルド6500以降で適用可能な手順)
  6. SubjectAlternativeName(SAN)を使用してサーバー証明書を作成できますか?

4. パスワード同期

  1. Password Manager Proコンソールからリソースパスワードを変更できますか?
  2. パスワード同期にエージェントモードとエージェントレスモードを使用するのはどのような時ですか?
  3. Linuxに他のディストリビューションまたはWindowsのいずれかのバージョンに独自のリソースタイプを追加した場合、エージェントレスパスワードリセットを有効にできますか?
  4. Password Manager Proにはない、カスタムリソースタイプに対してリモートパスワード同期を実行する方法はありますか?
  5. パスワード同期が行われない場合、どのようにトラブルシューティングすればよいですか?
  6. Windowsドメインパスワードのリセットが失敗し、「認証メカニズムが不明です」というエラーメッセージが表示された場合に、ドメインパスワードをリセットするにはどうすればよいですか?
  7. Windowsサービスアカウントのリセットを有効にするための前提条件は何ですか?
  8. ドメインSSOはファイアウォール/ VPN間で機能しますか?

5. バックアップとディザスタリカバリ

  1. Password Manager Proを元のサーバーから別のサーバーに移動できますか?
  2. Password Manager Proデータベースのディザスタリカバリは設定できますか?
  3. バックアップデータはどこに保管されますか? また暗合化されていますか?

6. ライセンス

  1. Password Manager Proのライセンスポリシーは何ですか?
  2. Password Manager Proの永久ライセンスを購入できますか?利用可能なオプションは何ですか?
  3. 複数サーバーで高可用性の設定をしたいです。これには1つのライセンスで十分ですか?
  4. Password Manager Proは1000人以上の管理者をサポートしていますか?
  5. 評価版を拡張し、さらに多くの管理者ユーザーをサポートまたはを期限を延長することは可能ですか?
  6. PremiumEditionまたはEnterpriseEditionに移行する際、Password Manager Proを再インストールする必要がありますか?

7. SSH鍵管理

  1. Password Manager Proを使用しているSSHユーザーアカウントとSSHサービスアカウントの管理方法に違いはありますか?  
  2. ローテートされていないSSHキーを表示する方法はありますか?  
  3. Password Manager Proは、SSH鍵とSSL証明書以外のデジタルキーの管理をサポートしていますか?  

8. SSL Certificate Management

  1. Password Manager Proと互換性のない証明書の種類はありますか?
  2. Password Manager Proの証明書リポジトリにある証明書の最新バージョンを自動的に識別して更新することは可能ですか?
  3. LinuxバージョンのPasswordManager Proは、Active DirectoryおよびMS証明書ストアからの証明書の検出をサポートしていますか?
  4. Password Manager Proの証明書リポジトリで同じコモンネームの証明書有効期限を追跡することは可能ですか?
  5. 証明書の秘密鍵をインポートするにはどうすればよいですか?
  6. 証明書を証明書ストアに配置し、証明書を使用するアプリケーションにマップするにはどうすればよいですか?
  7. Password Manager Proはサブネットベースの証明書検出をサポートしていますか?
  8. Password Manager Proは、MS証明書ストアからの証明書検出自動スケジューリングをサポートしていますか?
  9. 証明書に関連するアラートメールは、証明書のすべてのバージョン(「Cirtificate History」にも表示されるもの)に対して生成されますか、それともPassword Manager Proの証明書リポジトリにリストされている証明書に対してのみ生成されますか?
  10. 会社の内部認証局(CA)によって発行された証明書は、ライセンスの対象になりますか?

1. 一般

1. Pasword Manager Proを使用する前に、インストールが必須条件となっているソフトウェアはありますか?

Pasword Manager Proを利用開始するにあたって、インストールが必須条件となっているソフトウェアはありませんが、特権アカウントの検出とパスワードのリセット機能を使用するには、下記のコンポーネンツ条件を満たす必要があります。

  • Pasword Manager ProがインストールされているサーバーにMicrosoft .NET framework 4.5.2 またはそれ以上のバージョンがインストールされていること。
  • Microsoft Visual C++ 2015 再頒布可能パッケージがインストールされていること。

これら要件が設定されているか確認する方法:

  •  サポート » ソフトウェア要件 にて 設定をクリックする。

ポップアップボックスが開き、設定のステータスがご確認いただけます。


2. 他の人は私が追加したリソースを見ることができますか?

スーパー管理者を除いて (Pasword Manager Proのセットアップにて設定した場合)、管理者を含めどなたも、あなたが追加したリソースを確認することはできません。しかし、他の管理者と リソースを共有 した場合、その管理者はあなたのリソースを確認できるようになります。


3. Pasword Manager Proのリソースに独自の属性を追加することは可能でしょうか?

はい、Pasword Manager Proでは、あなたのニーズに特化した詳細設定を行うためリソースとユーザーアカウントの属性を拡張することが可能です。 詳細は こちらをご確認ください。


4. ユーザーが機密パスワードを他のメンバーに共有せず、組織から脱退した場合はどうなりますか?

管理者権限をもつユーザーが組織から脱退した場合は、その方が所有していたリソースを他の管理者に転送することができます。そうすることで、脱退した方はリソースを自分自身に転送しない限り、それらのリソースにアクセスすることはできなくなります。詳細はこちらをご確認ください。


5. ADからのユーザー/リソースインポートにおいて、インポートに失敗した場合どのように解決したらよいですか?

下記をご確認ください。

  • ユーザー資格情報が正しいかどうかを確認してください。
  • 管理者ユーザーにてインポートをしようとして失敗した場合、管理者以外のユーザーの資格情報を入力してみてください。 これにより接続が正しく確立されているか確認します。

上記の確認が失敗する場合はpasswordmanagerpro-support@manageengine.comまでご連絡ください。


6. 別のマシン(PMPサーバーが実行されているマシン以外)にインストールされているMySQLデータベースサーバーでPMPアプリケーションを機能させるにはどうすればよいですか?

セキュリティを強化するために、常にPMPアプリケーション(Tomcat Webサーバー上に構築されている)とMySQLデータベースを同じマシンで実行することをお勧めしております。 バンドルされたMySQLデータベースは、それがインストールされているマシンの外部に表示されないように構成されており(localhostからのみ要求された接続を受け入れます)、それらを分離するとこの側面が失われます。 他の場所でMySQLを実行する差し迫った必要性がある場合、以下の手順に従ってください。

  1. PMPサーバーが起動している場合はシャットダウンしてください。
  2. MySQLサーバーを別のマシンにインストールし、'PassTrix' という名前のデータベースを作成して下さい。(特にLinuxではケーシングが重要になります。)
  3. MySQLサーバーを起動し、リモートからデータベースに接続できることを確認します。(MySQLコマンドラインクライアントを使用します。)
  4. PMPにて以下の設定が変更されていることを確認してください。
    1. <PMP_Install_Dir>\conf\Persistenceフォルダを開く。
    2. persistence-configurations.xmlファイルを開き、エントリ'StartDBServer'を検索し、その値を'false'に変更する。 (デフォルトは'true') ファイルを保存する。
    3. <PMP_Install_Dir>\confフォルダを開く。
    4. database_params.txtファイルを開き、下記の変更を加える。
      • URLプロパティでエントリ 'localhost' と '5768' をリモートMySQLサーバーに対応するホスト名とポート番号に変更する。
      • rootで接続する場合は、usernameプロパティをそのままにしておく。それ以外の場合は、そのプロパティに適切な変更を加える。 PMPにはMySQLのroot権限が必要であることに注意する。
      • リモートMySQLサーバーでパスワードを設定している場合は、passwordプロパティに対してパスワードを指定する。それ以外の場合は、その行を削除またはコメントアウトする。
    5. Sファイルを保存する。
  5. ここで、PMPサーバーを再起動すると、リモートデータベース(既に実行されている想定)で動作します。

7. カスタムクエリを実行して、他のレポートシステムと統合するための結果を生成することは可能ですか?

はい、可能です。特定のリクエストについてはsupport@passwordmanagerpro.comまでお問い合わせください。XML出力を生成するための関連するSQLクエリをサポートさせていただきます。


8. ドメインSSOはファイアウォール/ VPN間で機能しますか?

ドメインのシングルサインオン(Windows統合認証)は、HTTPヘッダーに非標準のパラメーターを設定することにより、Windows環境で実現されます。これは通常、ファイアウォールやVPNなどのデバイスによって削除されます。 Password Manager Proは、ネットワーク内で使用するように設計されています。したがって、ネットワークの外部から接続しているユーザーがいる場合は、SSOを有効にすることはできません。


9. Password Manager Proのブランドを 独自のロゴと組織情報に変更できますか?

はい、Password Manager Proは以下のカスタムやリブランドオプションを提供しております。

  • モバイルアプリのウェブインターフェースに独自のロゴを使用する。 (推奨画像サイズは210*50ピクセル)
  • 製品のログインページの説明を設定する。
  • ユーザーインターフェイスのデフォルトの色を変更する。
  • カスタマイズされた法的コンテンツを含むバナーを表示する。
  • プライバシーポリシーの内容をカスタマイズし、そのための承認ボタンを表示する。

上記の機能を実行するには

  1. 管理 >> カスタマイズ >> リブランドへ移動
  2. [ロゴとレイアウト] セクションで、カスタマイズされたロゴとログインページの説明を設定し、デフォルトのログインページカラーを変更する。
  3. [ログインページのテキスト]で、ログインページに表示するポリシーや法的条件を追加する。

この構成はいつでも無効にできるますのでご注意ください。 ノウハウ


10. Password Manager Proは、ユーザーによるパスワード表示試行と取得作業を記録しますか?

はい、Password Manager Proは、パスワードの表示やコピー操作など、ユーザーが実行できる可能性があるすべての操作を記録します。監査証跡から、パスワードを取得したユーザーによるすべてのアクションと試行の包括的なリストを取得できます。 Know more


11. PostgreSQLのwal_archiveファイルのサイズが急速に増加するのはなぜですか?

この問題は、Password Manager Proで指定されたバックアップ場所にアクセスし、バックアップファイルが保存できなくなった場合に発生します。端的に言うと、PostgreSQLデータベースのバックアップが失敗することで、wal_archiveフォルダーのサイズが大きくなります。

解決方法:

  • Password ManagerProドライブに十分なディスク容量があるかどうかを確認する。
  • 十分な容量がない場合は、logsディレクトリとディレクトリ内にあるいくつかのファイルを削除する。
  • この場所に必要なバックアップは1つまたは2つのみ。
  • Password Manager Proにログインし、管理>> 設定 >> データベースバックアップへ移動する。
  • いますぐバックアップ' ボタンをクリックする。

これにより、インスタントバックアップがトリガーとなり、wal_archiveディレクトリが自動的に削除されます。


12. Password Manager ProはHA構成をサポートしていますか?

はい、詳細はHigh Availability をご確認ください。


13. Password Manager Proが保持するSyslog形式は何がありますか?

Password ManagerProがsyslogメッセージをコレクターホストに送信するために使用する、異なる3つの形式を以下に示します。

i. リソース監査

operatedName+":"+operatedIp operationType operatedDate statusMess resourceName+":"+accName+":"+reason

ii. ユーザー監査

operatedName+":"+operatedIp operationType operatedDate statusMess auditUserName+":"+reason

iii. キー監査

SSL: <190> Parent_Domain: manageengine.com Included_Domain: kmp.com Days_to_Expire: 100 Expire_Date: 5.08.2020
SSH: <190> Key_Name:172.21.147.130_test123_id Days_Exceeded:0 Modified_On:2016-02-16 17:41:24.008


14. グループ管理サービスアカウント(gMSA)を使用してPMPサービスを実行するにはどうすればよいですか?

グループ管理サービスアカウントを使用したPMPサービスの実行について詳しく知るには、こちらをクリックしご確認ください。


15. Password Manager ProはWindowsCALライセンスの数を変更しますか?

一般的には、RDPセッションは、Password Manager Proサーバーから呼び出され、SparkGatewayと呼ばれるサードパーティコンポーネントを介してエンドユーザーのブラウザに中継されます。このコンポーネントはPasswordManager Proにバンドルされており、WindowsCALライセンスとは関係ありません。したがって、Password Manager Proは、WindowsCALライセンスの数にまったく影響を与えません。ユーザーは、Microsoftが提案するように、できるだけ多くのCALライセンスを購入する必要があります。


2. Webインタフェースと認証

1. PMPがリッスンしているデフォルトのポート7272を変更出来ますか?

はい、以下の説明のようにデフォルトのポートを変更出来ます。

  1. Password Manager Proに管理者としてログインする。管理 >> 設定 >> サーバー設定へ進む。 
  2. サーバーポートフィールドに必要なポートを入力し、保存をクリックする。
  3. この設定を反映させるため、Password Manager Proを再起動する。

2. Password Manager Proアカウントがユーザーに通知されない場合はどうなりますか?

通常、Password Manager Proのアカウントは、メールでユーザーに通知されます。  ユーザーが通知メールを受信していない場合は以下の内容をご確認ください。

  • ご利用環境のSMTPサーバーの詳細を使用して、メールサーバー設定を適切に構成していること。
  • メールサーバー設定の一環として有効な資格情報を提供している場合、一部のメールサーバーでは、メールを受信するために同じ資格情報が必要である。
  • 一部のメールサーバーは、差出人アドレスなしで送信されたメールまたは不明なドメインから送信されたメールを拒否するため、'送信メールID' が正しく設定されていること。

3. Password Manager Proで利用できる認証スキームは何ですか?

Password Manager Proでは下記3つの認証メカニズム、いずれかを使用できます。

  • Active Directory: 有効にすると、認証要求が構成済みのドメインコントローラーに転送され、その結果に基づいて、ユーザーはPassword ManagerProへのアクセスを許可または拒否されます。ユーザー名、パスワード、およびドメインは、Password Manager Proのログイン画面で提供されます。このスキームは、事前にADから詳細をインポートしたユーザーに対してのみ機能し、Password Manager ProサーバーがWindowsシステムにインストールされている場合にのみ使用できます。
  • LDAP Directory: 有効にすると、認証要求は構成済みの LDAPディレクトリサーバーに転送され、その結果に基づいて、ユーザーはPassword ManagerProへのアクセスを許可または拒否されます。ユーザー名、パスワード、およびLDAP認証を使用するオプションは、Password Manager Proのログイン画面で提供されます。このスキームは、LDAPディレクトリから事前に詳細がインポートされたユーザーに対してのみ機能します。
  • Password Manager Pro ローカル認証: 認証は、Password Manager Proサーバーによってローカルで行われます。 ADまたはLDAP認証が有効になっているかどうかに関係なく、このスキームはユーザーが常にログインページで選択出来ます。このスキームにはユーザー用の個別のパスワードがあり、ADまたはLDAPパスワードがPassword Manager Proデータベースに保存されることはありません。ただし、セキュリティ上の理由から、AD / LDAP認証を有効にした後、ユーザーのローカル認証を無効にすることをお勧めします。詳細については、 ベストプラクティスガイドの 'User on-boarding and management' セクションをご参照ください。
  • Azure AD: ご使用の環境でPassword Manager ProをAzure Active Directory(Azure AD)と統合すると、 ユーザーがAzure AD資格情報を使用して、 WindowsプラットフォームとLinuxプラットフォームの両方でPassword ManagerProにログインできるようになります。この認証を使用するには、最初にPassword Manager ProをAzure ADポータルにネイティブクライアントとして追加しておく必要があります。 . 
  • スマートカード認証: この機能を有効にすると、ユーザーは スマートカードを所有し、個人識別番号(PIN も知っている必要があります。スマートカード認証は、AD、LDAP、ローカル認証などの他の第1要素認証方法をバイパスすることにご注意ください。
  • RADIUS認証: ご使用の環境でPassword Manager ProをRADIUSサーバーと統合し、Password Manager Proによって提供されるローカル認証をRADIUS認証を使用し置き換えることが出来ます。 RADIUSサーバーの資格情報を使用してPasswordManager Proにアクセスするユーザーは、まず Password ManagerProのユーザーとして追加されている必要があります。その際、Password Manager Proの「ユーザー名」がRADIUSサーバーへのアクセスに使用されるユーザー名と同じであることを確認してください。 
  • SAMLシングルサインオン: Password Manager Proはサービスプロバイダー(SP)として機能し、SAML 2.0を使用してIDプロバイダー(IdP)と統合します。その統合には基本的に、SPに関する詳細をIdPに提供することが含まれます。その逆も同様です。Password Manager ProをIdPと統合すると、ユーザーは IdPにログインするだけで、資格情報を再度入力しなくても、それぞれのIdPのGUIからPassword Manager Proに自動的にログインできます。 Password Manager Proは、Okta、 AD FS、およびAzure ADシングルサインオンとの統合をサポートします。.
    メモ:

    For SAMLシングルサインオン認証の場合、デフォルトでは、アサーションコンシューマーURL がサーバーのホスト名です。アサーションURLを更新するには、次の手順に従います。

    1. 管理 >> セットアップ >> メールサーバー設定へ進む。
    2. アクセスURLに必要なURLを入力し、保存をクリックします。

    これでサービスプロバイダー詳細下のアサーションコンシューマーURLが更新されます。


4. Password Manager Proで使用できるユーザーの役割は何がありますか?またそれらのアクセスレベルは何ですか?

Password Manager Proには、5つの事前定義された役割があります。

  • 特権管理者
  • 管理者
  • パスワード管理者
  • パスワード監査担当者
  • パスワードユーザー

これらのデフォルトの役割とは別に、すべての管理者はすべてのリソースを表示および管理する権限を持つ"スーパー管理者"として昇格できます。 デフォルト役割のアクセスレベルの詳細については、 こちら をクリックしてください。


5. Password Manager Proのログインパスワードを忘れた場合はどうなりますか?

すでに有効なPasswordManager Proアカウントが付与されている場合は、パスワードをリセットするためにログインページで利用可能なリンク「Forgot Password?」を使用できます。提供されるユーザー名/メールIDのペアは、ユーザー用にすでに構成されているものと一致する必要があります。そのユーザーパスワードがリセットされ、新しいパスワードがそれぞれのメールアドレスに送信されます。 ただし、AD / LDAP認証が有効になっている場合、このオプションは必要ありません。


6. ブラウザからPassword Manager Proコンソールにアクセスしているときに、セキュリティ警告が表示されることがありますがなぜですか?

Password Manager Pro Webコンソールは、常にHTTPSプロトコル を使用してPassword Manager Proサーバーと通信します。 Password Manager Proサーバーには、デフォルトの自己署名SSL証明書が付属していますが、これは標準のWebブラウザーでは認識されないため警告が発行されます。 製品をテストまたは評価している間は、この警告を無視してかまいません。 ただし、本番環境で展開する場合は、すべての標準Webブラウザーで認識される認証局(CA)から購入したSSL証明書をインストールすることをお勧めします。 詳しくはこちら。


3.セキュリティー

1. Password Manager Proのパスワードはどのくらい安全ですか?

Password Manager Proでは、パスワードの安全な保管を確保し、侵入に対しての強固な防御を提供することを最優先事項としております。 次の対策により、パスワードの高レベルセキュリティが確保されています。

  • パスワードは Advanced Encryption Standard (AES)を使用して暗号化され、データベースに保存される。 AES は現在知られている最強の暗号化アルゴリズムであり、米国政府によって暗号化標準として採用されている。
  • すべてのパスワードを格納するデータベースは、それが実行されているホストからの接続のみを受け入れ、外部からは見えない。
  • 役割ベースのきめ細かいユーザーアクセス制御メカニズムにより、ユーザーは、付与されたアクセス許可に基づいてのみパスワードを表示およびアクセスが出来る。
  • Password Manager Proコンソールとサーバー間のすべてのトランザクションは、HTTPSを介して行われる。
  • Password Manager Proに組み込まれているパスワードジェネレータにより、強力なパスワード生成が出来る。

詳細については、 セキュリティー仕様書 をご確認ください。


2. パスワード管理APIを介して行われる、アプリケーション間およびアプリケーションからデータベースへのパスワード管理はどのくらい安全ですか?

Password Manager Proは、アプリケーション間/アプリケーションからデータベースのパスワード管理に使用できる、RESTfulAPIとSSHベースのCLIAPIを提供しています。アプリケーションは、HTTPSを介してPassword ManagerProに接続し、相互に作用します。 アプリケーションのIDは、最初にSSL証明書の有効性検証により確認され、次に、アプリケーションが存在するソースIP /ホスト名の検証により確認されます。 各アプリケーション/データベースは、Password ManagerProにAPIユーザーとして登録されている必要があります。 この 登録下では、アプリケーションサーバーのホスト名/ IP を指定する必要があり、REST API を使用する一意の認証トークンが生成されます。 このトークンは、認証のためのAPIリクエストと一緒に送信される必要があります。 これらのセキュリティーチェックに加えて、各アプリケーション/データベースは、管理ユーザーによって明示的に委任された情報にのみアクセスできます。 パスワードの共有/委任の詳細については、 こちら をご参照ください。


3. 独自のSSL証明書をインストールできますか?

は、独自のSSL証明書をインストールしていただけます。 下記の手順に従ってください。

注意: 下記手順は、ビルド9700以降にのみ適用されます。

  1. "管理 >> セットアップ >> サーバー設定"に進む。
  2. 鍵ストアの種別をCSRの生成時に選択した JKSPKCS12 または PKCS11のいずれかを選択する。  
  3. 鍵ストアのファイル名を参照してアップロードする。 
  4. CSRの生成時に設定した鍵ストアのパスワードを入力する。
  5. 必要であればサーバーポートを修正する。
  6. 保存する。 変更が適用されているか確認するため、Password Manager Proを一度再起動する。

4. どのように署名済みのSSL証明書を生成出来ますか?
[または]
Password Manager ProサーバーをWebブラウザとユーザーに信頼させるにはどうすればよいでしょうか?

Password Manager ProはHTTPSサービスとして実行されます。 実行するホスト名として、プリンシパル名を保持する有効なCA署名SSL証明書が必要です。 デフォルトでは、初回起動時に自己署名証明書が作成されますが、これはユーザーのブラウザによって信頼されていません。 したがって、Password Manager Proに接続するときは、Password Manager Proサーバーの証明書情報とホスト名を手動で慎重に確認し、ブラウザーに証明書を受け入れるように強制する必要があります。

Password Manager Pro サーバーをブラウザーとユーザーに信頼させるには:

  • Password Manager ProホストのCAから新しい署名付き証明書を取得する 。 [OR]
  • Password ManagerProホストのワイルドカードプリンシパルサポートを使用してCAから取得した既存の証明書を設定する。

署名済みのSSL証明書を生成するには他の手順もございます。

  1. Password Manager Plusの "証明書の管理" モジュールを使用する方法。
  2. OpenSSLまたはKeytool(Javaにバンドルされている)を使用して証明書を作成、CAで署名させ、Password Manager Proにて使用する方法。
  3. ワイルドカード証明書をインストールする方法。

セキュリティ管理者の推奨事項に基づいて、署名付きSSL証明書を生成するモードを決定できます。上記方法を使用するための詳細手順は、下記リンクにて記載されています。

注意: CAによる署名済み証明書を既にお持ちの場合は、OpenSSLを使用して鍵ストアを作成し、Password Manager Proで設定することを推奨しております。(下記手順 4と5)

  1. Password Manager Proの証明書管理モジュールを使用した署名済みSSL証明書の生成
  2. OpenSSLを使用した署名済みSSL証明書の生成
  3. Keytoolを使用した署名済みSSL証明書の生成
  4. ワイルドカード証明書をインストールしての署名済みSSL証明書の生成

1. Password Manager Proの証明書管理モジュールを使用した署名済みSSL証明書の生成

Password Manager Pro内、証明書の管理モジュールを介して署名済みSSL証明書を生成し、Password Manager Proコンソールから直接証明書の変更(証明書キーストア)を適用することもできます。 これには3つのプロセスがあります。

1.1 証明書署名要求(CSR)の生成:

Password Manager Proを介してローカルCAから証明書要求および取得を行うには、最初に証明書署名要求(CSR)を生成する必要があります。 こちらが手順です。

  1. "証明書ↁCSRの作成"に進む。
  2. 作成 ボタンをクリックすると、CSR作成ページが開く。
  3. 新しいCSRを作成するか、既存の秘密鍵からCSRを作成するかに基づき[CSRを作成] または [秘密鍵からCSRを作成]のそれぞれどちらかを選択する。
    1. [CSRを作成]を選択すると、コモンネーム、SAN、組織単位、組織の場所、州、国、キーアルゴリズム、キーサイズ などの詳細を入力。 キーアルゴリズム と キーストアタイプを選択。有効性 と ストアのパスワード入力。
    2.  秘密鍵からCSRを作成を選んだ場合、必要な秘密鍵ファイルを参照して、秘密鍵パスワードと一緒に添付する。
  4. 作成 ボタンをクリック。 CSRコンテンツが表示されているウィンドウにリダイレクトされる。CSRコンテンツをコピーまたは、メールボックスにエクスポート出来る。
    • Email  - 指定したメールIDに電子メールで証明書ファイルを送信するには、このオプションを選択する。
    • Export CSR / Private Key - 要件に基づいてCSRまたは対応する秘密鍵のみをエクスポートするには、このオプションを選択する。
  5. "証明書 >> CSRの作成"の下にある保存されたCSRを表示する。 

  6. 注意: 各CSRに対応する「パスフレーズの表示」アイコンを使用すると、管理者はCSRファイルの鍵ストアパスワードを表示出来ます。

1.2 証明書への署名:

Password Manager Proには、Microsoft認証局、または環境内で信頼されているカスタムルートCA証明書を使用して、ネットワーク内すべてのクライアントに対して、証明書を署名し発行するオプションがあります。

    注意: ローカルCAから証明書に署名する前に、有効な証明書署名要求(CSR) を生成しておく必要があることを忘れないでください。 

下記手順に従って、証明書に署名してください。

  1. "証明書 ↁCSRを作成する"に進む。 
  2. 一覧から必要なCSRを選択し、 トップメニューの署名 をクリックする。 
  3. 表示されたポップアップウィンドウで、内部認証局を実行しているサーバーの名前、CA名を入力し、要件に基づいて証明書テンプレートを選択する。 証明書に署名をクリックする。 これによりCSRは署名され、発行された証明書は "証明書 >> 証明書"で確認出来る。

1.3 Password Manager Pro Webサーバーへの証明書鍵ストアの適用:

証明書鍵ストアを適用するために、まずは作成が必要です。 

  1. 証明書 >> 証明書へ進む。 コモンネームという見出しの下にある署名済み証明書のリンクをクリックします。 表示された証明書の詳細ページで、 画面右上、端の エクスポート アイコンをクリックする。 証明書ファイルがご自身のローカルにダウンロードされる。
  2. 次に証明書 ↁCSRを作成するへ進む。 
  3. 署名済み証明書のCSRに対応する証明書のインポートアイコンをクリックする。 ローカルマシンにダウンロードされた証明書ファイルを参照して選択し、 インポートをクリックする。 これにより、 証明書が秘密鍵と結合されてキーストアが形成される。
  4. 次に、 証明書 >> 証明書 と戻り、コモンネームという見出しの下にある証明書リンクをクリックする。 表示された証明書の詳細ページで、 下にスクロールし エクスポート リンクをクリックする。これにより、証明書キーストアがローカルマシンにダウンロードされる。
  5. 最後のステップは 管理 >> 設定 >> サーバー設定に移動し、次の手順を実行する。
    1. 鍵ストアタイプとしてCSRの生成時に選択した、 JKS, PKCS12 または PKCS11のいずれかを選択する。  
    2. 参照により 鍵ストアファイルをアップロードする。 
    3. CSRの生成時に入力したものと同じ 鍵ストアパスワードを入力する。
    4. 必要に応じて サーバーポートを変更する。
    5. 保存する。 証明書への変更を有効化するために、一度Password Manager Proを再起動する。
2. OpenSSLを使用して署名済み証明書を生成

OpenSSLは、主にLinuxディストリビューションにバンドルされています。 Windowsサーバーを使用していて、OpenSSLがインストールされていない場合は、 http://www.slproweb.com/products/Win32OpenSSL.htmlからダウンロードしてください。 OpenSSLインストールの下の 'bin' フォルダーが 'PATH' 環境変数に含まれていることを確認してください。

2.1 SSLハンドシェイクに使用される公開鍵と秘密鍵のペアを作成する

  1. コマンドプロンプトを開く。
  2. 'openssl genrsa -des3 -out <privatekey_filename>.key 1024'を実行する。
  3. <privatekey_filename> は秘密鍵を保存するために指定するファイル名を示している。

  4. 秘密鍵のパスフレーズを入力するように求められるので、 'passtrix' または任意のパスフレーズを入力する。 (明文化されていないが、Tomcatには特殊文字を含んだパスワードに対して問題があるため、英字のみを含むパスワードを使用すること。)
  5. 同じフォルダ内の <privatekey_filename>.key という名前でファイルが生成される。

2.2 前の手順で生成された公開鍵を使用し署名済み証明書を作成するために、認証局に送信する証明書署名要求(CSR)を作成する

  1. 'openssl req -new -key <privatekey_filename>.key -out <certreq_filename>.csr'を実行する。
    • <privatekey_filename>.key は、前の手順で使用したものである。
    • <certreq_filename>.csr は、証明書作成要求をCA(認証局)に送信するために指定するファイル名である。
  2. Password Manager Proをホスティングしているサーバー識別名(DN)の一部である、一連の値を入力するように求められる。
  3. 必要に応じて値を入力する。重要なのは、コモンネーム として Password Manager Proをホスティングしているサーバーの完全修飾名を指定すること。 (これを使用してブラウザーからアクセスするため。)
  4. 同じフォルダ内の <certreq_filename>.csr という名前でファイルが作成される。

2.3 CSRを認証局(CA)に送信して、CA署名付き証明書を取得する

著名なCAに Verisign (http://verisign.com)、 Thawte (http://www.thawte.com)、 RapidSSL (http://www.rapidssl.com)があります。 CSRの提出の詳細については、ドキュメント/ Webサイトを確認してください。ここでは、CA利用時の費用情報も記載されています。 通常、このプロセスには数日かかり、署名済みSSL証明書とCAルート証明書が.cer ファイルとして返却されます。 手順1と2のファイルが保存されている同じ作業フォルダに両方を保存してください。

2.4 CA署名済み証明書を鍵ストアにインポートする

  1. コマンドプロンプトを開き、同じ作業フォルダーに移動する。
  2. 'openssl pkcs12 -export -in <cert_file>.cer -inkey <privatekey_filename>.key -out <keystore_filename>.p12 -name Password Manager Pro -CAfile <root_cert_file>.cer -caname Password Manager Pro -chain'を実行する。

    ここでは:

    • cert_file.cer は、拡張子が.cerの署名付きSSL証明書である。
    • privatekey_filename.key は、拡張子が.keyの秘密鍵ファイルである。
    • keystore_filename.p12 は、p12拡張子で生成される鍵ストアである。
    • root_cert_file.cer は、拡張子が.cerのCAのルート証明書である。
  3. パスワードの入力を求められたら、 手順 1 で秘密鍵に使用したものと同じパスワードを入力する。 この要件は、2つのパスワードが一致していることが必須条件であるTomcat固有の制限によるものである。
  4. これで <keystore_filename>.p12 という名前の鍵ストアファイルが同じフォルダーに生成される。

2.5 SSL証明書で鍵ストアを使用出来るようにPasswordManagerProサーバーを設定する。

これは、OpenSSLを使用し、署名済みSSL証明書を生成するための最後のステップとなります。

  1. 手順4で生成した <keystore_filename>.p12 を <Password Manager Pro_Install_Folder>\conf フォルダーにコピーする。
  2. コマンドプロンプトを開き、 <Password Manager Pro_Install_Folder>\conf フォルダーに移動する。
  3. ファイル server.xml を開き、次の変更を行う。
    • デフォルト値が'conf/server.keystore'に設定されているエントリ 'keystoreFile'を検索。 値を'conf/<keystore_filename>.p12'変更する。
    • バージョン9700以降、鍵ストアのパスワードは暗号化されており、server.xmlファイルで直接更新することは出来ない。.xmlファイルの鍵ストアのパスワードを手動で更新するには、最初に暗号化を無効にする必要があるので、値'keystorePassEncrypted=true'を 'keystorePassEncrypted=false'に変更する。

    注意: この手順は、ビルド9700以降にのみ適用されます。

  1. ここで 'keystorePass'の値を "passtrix" または 鍵ストア作成時、前の手順で指定したパスワードに設定する。
  2. keystorePassエントリの横に新しいエントリ keystoreType= PKCS12 or PKCS11を追加する。
  3. server.xml ファイルを保存する。
  4. Password Manager Proサーバーを再起動し、Webブラウザーを介して接続する。 ブラウザからの警告がなくPasswordManager Proログインコンソールを表示できる場合は、SSL証明書がPassword ManagerProに正常にインストールされている。

3. Keytoolを使用した署名済みSSL証明書の生成

3.1 SSLハンドシェイクに使用される公開鍵と秘密鍵のペアを作成する。

  1. <Password Manager Pro_Home>/jre/bin フォルダーに移動する。
  2. 次のコマンドを実行:
    "keytool -genkey -alias <alias> -keyalg RSA -sigalg SHA256withRSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -keystore <keystore_filename>"

    ここでは:
    <keystore_password> は鍵ストアにアクセスするためのパスワード、 <privatekey_password> は秘密鍵を保護するためのパスワードである。 tomcat固有の制限により、これら2つのパスワードは同じである必要があることに注意する。 明文化されていないが、Tomcatでは特殊文字を含むパスワードに関して問題があるため、英字のみを含むパスワードを使用すること。
    <no_of_days> は、キーペアが作成された日からの日数で、キーペアの有効性を示している。

  3. 上記のコマンドにおいては、ご自身とご自身の所属する組織に関する詳細を入力するように促します。
    • '姓名 name'、Password ManagerProを実行しているサーバーの FQDN を入力する。
    • その他のフィールドには、関連情報の詳細を入力する。
  1. 鍵ストアファイルは、生成されたキーペアを使用して、同じフォルダー内の<keystore_filename> という名前で作成される。

3.2 前の手順で生成された公開鍵を使用して署名済み証明書を作成するために、認証局に送信する証明書署名要求(CSR)を作成する

  1.  <Password Manager Pro_Home>/jre/bin フォルダーに移動する。
  2. 次のコマンドを実行する: "keytool -certreq -keyalg RSA -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore <keystore_filename>".
  3. 注意: 選択する<csr_filename> の拡張子は .csr 出なければなりません。

  1. <csr_filename> という名前のCSRファイルが同じフォルダに作成される。

3.3 CSRを認証局(CA)に送信して、署名済み証明書を取得する。

著名なCAに Verisign (http://verisign.com)、 Thawte (http://www.thawte.com)、 RapidSSL (http://www.rapidssl.com)があります。 CSR提出についての詳細は、ドキュメント/ Webサイトをご確認ください。 こちらは有料サービスですのでご注意ください。 また、通常、このプロセスには数日かかります。署名済みSSL証明書とCAの証明書を.cerファイルとして受け取ります。 両方のファイルを <Password Manager Pro_Home>/jre/bin フォルダーに保存します。

3.4 CA署名済み証明書をPassword Manager Proサーバーにインポートする。

  1. コマンドプロンプトを利用して <Password Manager Pro_Home>/jre/binフォルダーへ進む。 
  2. 証明書バンドル(p7b)として単一のファイルがある場合は、以下のコマンドを実行する。

    "keytool -import -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_bundle.p7b>"

    ここでは,

    • <boundlessness> は、CAから取得した証明書バンドルであり、前の手順で保存した.p7bファイルである。  <privatekey_password>、<keystore_password> および <keystore_filename> は、前の手順で使用したものである。
    • ルート証明書、中間証明書、実際の証明書の3つのファイルが .cer 形式である場合、以下のコマンドを使用してそれぞれをインポートする必要がある。
      • "keytool -import -alias root -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <rooter>"
      • "keytool -import -alias inter -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <inter.cer>"
      • "keytool -import -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_cert.cer>"
  3. 次に、 <keystore_filename> を <Password Manager Pro_Home>/conf フォルダーにコピーする。

3.5 SSL証明書で鍵ストアを使用するためにPassword Manager Proサーバーを設定する。

これがKeytoolを使用して署名済みSSL証明書を生成するための最後のステップです。

  1. <Password Manager Pro_Home>/conf フォルダーに進む。
  2. ファイルserver.xml.を開ける。
  3. デフォルト値が"conf/server.keystore"に設定されているエントリ'keystoreFile' を検索し、値を "conf/<keystore_filename>"に変更する。 この<keystore_filename> は前の手順で使用したものである。
  4.  version 9700以降、鍵ストアパスワードは暗号化されており、server.xmlファイルで直接更新することは出来ない。.xmlファイルの鍵ストアパスワードを手動で更新するには、最初に暗号化を無効にし、値 'keystorePassEncrypted=true' を 'keystorePassEncrypted=falseに変更する。

    注意: この手順は バージョン9700以降を使用してる場合にのみ適用できます。

  1. 'keystorePass' の値を "passtrix" または、鍵ストア作成時の前の手順で指定したパスワードに設定する。
  2. Password Manager Proサーバーを再起動し、Webブラウザーを介して接続する。 ブラウザからの警告なくPassword Manager Proのログインコンソールを表示できる場合、SSL証明書がPassword Manager Proに正常にインストールされている。

    注意: Tomcatはデフォルトとして、JKS(Javaキーストア)およびPKCS#12形式の鍵ストアのみを受け入れます。 鍵ストアがPKCS#12形式の場合、server.xml にキーストア名keystoreType = "PKCS12?とともに次のオプションを含めます。これにより、フォーマットがPKCS12であることをTomcatに通知します。 この変更を適用後、サーバーを再起動します。

4. 既存のワイルドカードでサポートされているSSL証明書をインストールして署名済みSSL証明書を生成する。

  1. <Password Manager Pro_Home>/conf フォルダーへ進む。
  2. server.xmlファイルを開ける。
  3. デフォルト値が"conf/server.keystore"に設定されているエントリ'keystoreFile'を検索する。<keystore_filename> が既存のワイルドカード証明書に属している場所で、値を "conf/<keystore_filename>" に変更しする。
  4. また、エントリ 'keystorePass' (keystoreFileの横にある)を検索する。 このエントリのデフォルト値は"passtrix"に設定されている。 値を "<keystore_password>"に変更する。 ここでは <keystore_password> は既存のワイルドカード証明書のキーストアを保護している。
  5. Password Manager Proサーバーを再起動し、Webブラウザーコンソールから接続する。 ブラウザからの警告なく、Password Manager Proのログインコンソールを表示できる場合は、SSL証明書がPassword Manager Proに正常にインストールされている。

    注意: 詳細とトラブルシューティングについては、ご自身のCAのドキュメントを参照してください。


5. Password Manager Proのログインパスワードを忘れた場合はどうなりますか? 
(ビルド6500以降に適用可能な手順)

以下の手順に従って、MySQLサーバーのSSL証明書を生成します。 (自己署名キーが必要な場合は、すべての手順に従ってください。CA署名付き証明書を使用している場合は、手順1、2、および5をスキップしてください。)

手順 1 認証局キーを作成する。

  • コマンドプロンプトを開く。
  • コマンドopenssl genrsa -out ca.key 1024を実行する。
  • 上記コマンド実行により ca.keyという名前の鍵が生成される。

手順 2 自己署名認証局証明書を作成する。

  • コマンドopenssl req -new -x509 -days 365 -key ca.key -out CAcert.pem  を実行する。
  • ここにあるファイルca.key は手順1で生成したファイルである。
  • 上記コマンド実行により CAcert.pemという名前のファイルが生成される。

手順 3 秘密鍵を生成する。

  • コマンドプロンプトを開く。
  • コマンドopenssl genrsa -out ServerKey.key 1024を実行する。
  • 上記コマンド実行により ServerKey.keyという名前のファイルが生成される。

手順 4 証明書要求を生成する。 

  • コマンドopenssl req -new -key ServerKey.key -out server.csrを実行する。
  • ここにあるファイルServerKey.key は手順1で生成したファイルである。
  • 上記コマンド実行により server.csrという名前のファイルが生成される。

手順 5 認証局に提出するための証明書署名要求(CSR)を作成する。自己署名証明書を使用している場合にのみこの手順を実行する。そうでない場合は、手順6に進む)。

  • コマンドopenssl x509 -req -days 365 -in server.csr -CA CAcert.pem -CAkey ca.key -set_serial 01 -out ServerCer.cerを実行する。
  • ここにあるファイルserver.csr は手順4で生成したファイル、 ファイルCAcert.pem は手順2で生成したファイル、 ca.key は手順2で生成したファイルである。
  • 上記コマンド実行により ServerCer.cerという名前のファイルが生成される。

手順 6 .p12ファイルを生成する。

  • コマンドopenssl pkcs12 -export -in ServerCer.cer -inkey ServerKey.key -out PMPKeyStore.p12 -name pmp -CAfile CAcert.pem -caname pmp -chainを実行する。
  • ここにあるファイル ServerCer.cer は手順5で生成したファイルである。 CA署名付き証明書を使用している場合は、拡張子が.cerの署名付きSSL証明書を入力する。 ServerKey.key は手順3で生成したもの; CAcert.pem は手順2で生成したファイルである。
  • 上記コマンド実行により PMPKeyStore.p12という名前のファイルが生成される。
  • ここで、「パスワードのエクスポート」を入力するように求められる。 ここで指定するパスワードは、以下の説明のようにラッパー(Windowsインストールの場合)およびwrapper_lin.conf(Linuxインストールの場合)のPMP設定ファイルへ入力する必要がある。

    ラッパー(Windowsインストールの場合)とwrapper_lin.conf(Linuxインストールの場合)を開き、次の行を検索:

    wrapper.java.additional.22=-Djavax.net.ssl.keyStorePassword=passtrix

    上記ではpasstrix を既に入力したパスワードに置き換える。

手順 7  SSL証明書で鍵ストアを使用するようにPMPサーバーを設定する。

  • 上記の手順を実行すると、 CAcert.pem, ServerKey.key, ServerCer.cer and PMPKeyStore.p12の4つのファイルが生成される。これらのファイルをコピーして <PMP-Installation-Folder>/conf ディレクトリに貼り付ける必要がある。

手順 8  CAcert.pemをPMPにインポートする。

  • <PMP-Installation-Folder>/bin ディレクトリに移動し、次のコマンドを実行する。

Windowsの場合: importcert.bat <手順2で生成したCAcert.pemファイルの絶対パス>
Linuxの場合  : sh importcert.sh\bat <手順2で生成したCAcert.pemファイルの絶対パス>

手順 9 これらファイルをMySQLに配置する。

  • 手順6の後に生成された下記3つのファイルをコピーして、次のように名前を変更する。

CAcert.pem は ca-cert.pemとして変更する。
ServerKey.keyは server-key.pemとして変更する。
ServerCer.cerserver-cert.pemとして変更する。

  • 次に、名前を変更したファイルを<PMP-Installation-Folder>/mysql/data directoryに配置する。

重要: HA構成を設定している場合は、PMPのセカンダリインストールにおいても手順7、8、および9を実行してください。


6. SubjectAlternativeName(SAN)を使用してサーバー証明書を作成できますか?

はい、エイリアス名を持つSANを使用して証明書を作成し、それをPassword Manager Proに適用できます。下記手順に従ってください。

1. 署名のため、Password Manager ProのSSL証明書管理モジュールを使用してCSRを作成、任意のCAに送信する。

1.1 証明書署名要求(CSR)を作成する。

  1. Password Manager Pro に管理者としてログインする。
  2. 証明書 >> CSRの作成 に進む。
  3. '作成' ボタンをクリック。
  4. ここで、証明書の名前を入力する。
  5. SubjectAlternativeName(SAN)は、コモンネームを入力した後でクリックすると自動的に入力される。テキストフィールドに追加のSANを含めることが出来る。
  6. 組織単位、場所、有効性、パスワードなど、その他の詳細を入力する。
  7. '作成'をクリックする。
  8. 完了すると、証明書と秘密鍵をエクスポートするか、指定した電子メールアドレスにCSRを送信するか選択するオプションが表示される。

1.2 Submit the CSR to a Certificate Authority (CA) to obtain a CA signed certificate

After creating the CSR, the next step is get the CSR verified and signed by a CA. There are two options to do this:

  1. CSRを認証局(CA)に送信して、CA署名済み証明書を取得する。
  2. Microsoft認証局、または自身の環境内で信頼されているカスタムルートCA証明書を使用し、ネットワーク内のすべてのクライアントに署名、証明書を発行する。 これを行うには、証明書 >> CSRの作成 に移動し、 証明書を選択し '署名'をクリックする。  証明書の署名についての詳細については、 こちら をご参照ください。

署名すると、'証明書'の下に証明書を表示できるようになります。

1.3 CA署名済み証明書をPassword Manager Proサーバーにインポートする。r  

ネットワークに証明書をインポートするには:

  1. 証明書に移動する。
  2. '追加'をクリックする。
  3. 必要なオプションを選択:
    1. ファイルベースの証明書を参照 必要な証明書ファイルをシステムから直接参照してインポートする。
    2. コンテンツベースの証明書コピー  必要な証明書ファイルのコンテンツをコピーして、テキストボックスに貼り付ける。
    3. 鍵ストアベースのインポート  使用可能なすべての個別の証明書を同時にインポートする。必要な鍵ストアファイルをアップロードし、対応するパスワード(存在する場合)を入力する。
  4. '追加'をクリックする。

2. Microsoft内部CAを使用し、SANで証明書を作成する。

Microsoft Internal CAを使用してSubjectAlternativeNameでサーバー証明書を作成するには、以下の手順に従ってください。 また、追加属性において、 'san:dns=<Password Manager Proへのアクセスに使用するURL>', を指定して、証明書の作成を試みます。

  1. Microsoft Certificate Serviceが実行されているサーバーに接続する。
  2. コマンドプロンプトを開き、 certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 を実行する。
  3. 次に、Microsoft Certificate Service(certsvc)を再起動する。
    次のコマンドを使用して秘密鍵を作成する。: ./keytool -genkey -alias Password Manager Pro -keyalg RSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -sigalg SHA256withRSA -keysize 2048 -keystore <keystore_filename>
  4. ここで名前の入力を求められた場合、Password Manager Proにアクセス時に使用する名前を指定する。
  5. 次のコマンドを使用して、証明書署名要求(CSR)を作成する:  keytool -certreq -keyalg RSA -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore Password Manager Pro.keystore
    1. CSR要求をMicrosoft内部CAに送信する:
    2. IEを開き、CAの証明書リクエストページに移動する。
    3. 高度な証明書をリクエストする。
    4. 証明書要求をリクエストする。
    5. <csr_filename>.cer ファイルの内容をコピーして貼り付ける。
    6. 証明書テンプレートはWebサーバーであることが必須。
    7. 追加属性に  san:dns=passwordmanager&dns=passwordmanager.tcu.ad.local  と入力し、‘送信’をクリックする。
    8. base64形式の証明書チェーンをPassword Manager Procert.p7bとしてダウンロードする。
  6. ダウンロードした 'Password Manager Procert.p7b' ファイルをPassword Manager Pro.keystore "keytool -import -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -keystore Password Manager Pro.keystore -trustcacerts -file Password Manager Procert.p7b"へインポートする。

    注意: 

    1. 上記コマンドにおいて、「応答からチェーンを確立できませんでした」というエラーメッセージが表示された場合は、 CAのルート証明書と中間証明書がPassword ManagerProの信頼されたストアで利用できないことを意味しています。 したがって、実際の証明書をインポートする前に、別のエイリアスでルート証明書をインポートしてから、実際の証明書をインポートする必要があります。また、複数のルート証明書がある場合は、異なるエイリアス名でそれらを1つずつインポートする必要があります。 例えば・・・

      ./keytool -import -alias root1 -keypass Password123 -storepass Password123 -keystore Password Manager Pro.keystore -trustcacerts -file root1.cer./keytool -import -alias root2 -keypass Password123 -storepass Password123 -keystore Password Manager Pro.keystore -trustcacerts -file root2.cer

      このようにルート証明書または中間ルート証明書の数に基づいて、異なるエイリアス名で上記のコマンドを実行してから、実際の証明書で対応する必要があります。

    2. 実際の証明書は、.cerまたは .crt形式である必要があります。
  1. Password ManagerProで証明書キーストアを適用する。
    1. 管理者としてPasswordManagerProにログインする。
    2. 管理者>> 設定 >> サーバー設定に移動する。
    3. 鍵ストアタイプとしてPKCS12 または PKCS11を選択する。
    4. 参照 をクリックし PFX/P12 ファイルを選択する。
    5. 正しい鍵ストアパスワードを入力し、設定を保存する。
    6. Password Manager Proを再起動して証明書の変更を有効にする。 

3.GoDaddy、Verisign、Commodoなどのサードパーティベンダーによって署名済みのSANを使用して証明書を作成する。

サードパーティベンダーから署名済みのSAN証明書を取得するには、以下の手順に従ってください。

  1. 次のコマンドを使用して秘密鍵を作成する。 ./keytool -genkey -alias Password Manager Pro -keyalg RSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -sigalg SHA256withRSA -keysize 2048 -keystore <keystore_filename>

    ここで、名前と名前の入力を求められたら、Password Manager Proへのアクセスに使用する名前を使用する。

  2. 次のコマンドを使用して、証明書署名要求(CSR)を作成する。 keytool -certreq -keyalg RSA -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore Password Manager Pro.keystore
  3. CSRリクエストをサードパーティの署名ツールに送信し、SAN名を使用して証明書に署名してもらう。 base64形式の証明書チェーンをPassword Manager Procert.p7bとしてダウンロードする。
  4. ダウンロードした 'Password Manager Procert.p7b' ファイルをPassword Manager Pro.keystore keytool -import -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -keystore Password Manager Pro.keystore -trustcacerts -file Password Manager Procert.p7b にインポートする。
  5. 注意: 上記コマンドにおいて「応答からチェーンを確立できませんでした」というエラーメッセージが表示された場合、CAのルート証明書と中間証明書がPassword ManagerProの信頼されたストアで利用できないことを意味しています。 したがって、実際の証明書をインポートする前に、別のエイリアスでルート証明書をインポートしてから、実際の証明書をインポートする必要があります。また、複数のルート証明書がある場合は、異なるエイリアス名でそれらを1つずつインポートする必要があります。例えば・・・

    ./keytool -import -alias root1 -keypass Password123 -storepass Password123 -keystore Password Manager Pro.keystore -trustcacerts -file root1.cer./keytool -import -alias root2 -keypass Password123 -storepass Password123 -keystore Password Manager Pro.keystore -trustcacerts -file root2.cer

    ルート証明書または中間ルート証明書の数に基づいて、異なるエイリアス名で上記のコマンドを実行してから、実際の証明書で対応する必要があります。

  6. Password Manager Proで証明書キーストアを適用する。
    1. 管理者としてPasswordManagerProにログインする。
    2. 管理者>> 設定 >> サーバー設定に移動する。
    3. 鍵ストアタイプとしてPKCS12 または PKCS11を選択する。
    4. 参照 をクリックし PFX/P12 ファイルを選択する。
    5. 正しい鍵ストアパスワードを入力し、設定を保存する。
    6. Password Manager Proを再起動して証明書の変更を有効にする。 

4. パスワード同期

1. Password Manager Proコンソールからリソースパスワードを変更できますか?

はい。 Password Manager Proは、さまざまなエンドポイントのパスワードをリモートでリセットできます。 Password Manager Proは、パスワードを変更する際、エージェントベースとエージェントレスモードの両方をサポートしています。 詳しくは こちら をご参照ください。


2. パスワード同期にエージェントモードとエージェントレスモードを使用するのはどんなときですか?

まず、両方のモードの必要条件を見てみましょう。

 エージェントモード では、各エンドポイントにサービスとしてエージェントをインストールし、管理者権限で パスワードリセットを実行する必要があります。 エージェントではアウトバウンドトラフィックを使用した一方向通信でPassword Manager Pro サーバーに到達します。

 エージェントレスモードでは、パスワードの変更を実行するには、管理者の資格情報を指定する必要があります。 Linuxの場合、2つのアカウントを指定する必要があります。1つはroot権限を持ち、もう1つはリモートログインに使用できる通常のユーザー権限を持ちます。 TelnetまたはSSHサービスがリソースで実行されていることが必須です。Windowsドメインの場合、ドメイン管理者の資格情報を提供する必要があります。 WindowsおよびWindowsドメインの場合、Password Manager Proはリモート呼び出しを行うため、リソースにて関連ポートが開いている必要があります。

これに基づいて、次のヒントに示されているように、環境に必要なモードを選択できます。

次の場合はエージェントモードを選択してください。

  • Password ManagerProの特定リソースで管理者資格情報が保存されていない場合
  • リソースで必要なサービスを実行していない場合(Linuxの場合はTelnet / SSH、Windowsの場合はRPC
  • LinuxでPassword Manager Proを実行していて、Windowsリソースのパスワードを変更したい場合

上記に当てはまらない場合は、パスワード変更を行うためにより便利で信頼性の高い方法の、エージェントレスモードを選択してください。



3.Linuxに他のディストリビューションまたはWindowsのいずれかのバージョンに独自のリソースタイプを追加した場合、エージェントレスパスワードリセットを有効にできますか?

はい、可能です。リソースタイプラベルに文字列「Linux」または「Windows」が含まれている限り、これらのリソースに対してエージェントレスパスワードリセットを設定することが可能です。

パスワードのリセットを有効にするための有効リソースタイプラベルの例:

Debian Linux, Linux - Cent OS, SuSE Linux, Windows XP Workstation, Windows 2003 Server


4. Password Manager Proにはない、カスタムリソースタイプに対してリモートパスワード同期を実行する方法はありますか?

Password Manager Proは、 SSHコマンドセット・パスワードリセットプラグイン・パスワードリセットリスナーを介したカスタムリソースタイプのリモートパスワードリセット をサポートしています。

  • SSHコマンドセット: SSHベースのデバイスの場合、デフォルトまたはカスタマイズSSHコマンドセットを使用して、Password Manager Proより直接コマンドベースの実行可能ファイルを作成できます。 これらのコマンドセットは、Password Manager Proですぐに使用できない各々のSSHデバイスアカウントと紐付け、 CLI を必要とせずにパスワードリセットを実行できます。
  • パスワードセットプラグイン: 独自の実装クラスを作成し、Password Manager Proを介して実行することで、カスタムリソースタイプの自動パスワードリセットを適用できます。 プラグインを使用すると、レガシーアカウントに対してアクセス制御を活用し、使用時、即座にパスワードを自動リセットすることもできます。 前述のように、これらのアカウントパスワードは、関連するプラグインを介して使用するたびにリセットされるワンタイムパスワードとして機能します。
  • パスワードリセットリスナー: リスナーは、ローカルパスワードの変更・Password Manager Proですぐに使用できるリモートパスワードリセットの2点ががサポートされていないカスタムリソースタイプのパスワードをリセットするため、呼び出すことが可能なカスタムスクリプトまたは実行可能ファイルです。 カスタムスクリプトを含むリソースタイプごとに、リスナースクリプトを個別に設定可能です。

5. パスワード同期が行われない場合、どのようにトラブルシューティングすればよいですか?

エージェントモード:

  • エージェントが実行されているか確認するため、Windowsのアクティブなプロセスリストでエントリ'PasswordManagerProAgent.exe'を確認するか、Linuxで'PasswordManagerProAgent'という名前のプロセスが存在するかどうかを確認する。
  • エージェントがインストールされているアカウントが、パスワードを変更するための十分な権限を持っているかどうかを確認する。

エージェントレスモード:

  • 適切な管理者資格情報が提供されており、リモート同期オプションが有効になっているかどうかを確認する。
  • 必要なサービスがリソースで実行されているかどうかを確認する。(Linuxの場合はTelnet / SSH、Windowsの場合はRPC)
  • 提供されているDNS名を使用して、Password Manager Proサーバーからリソースにアクセスできるか確認する。

6. Windowsドメインパスワードのリセットが失敗し、"認証メカニズムが不明です "というエラーメッセージが表示された場合に、ドメインパスワードをリセットするにはどうすればよいですか?

これはPassword Manager ProがWindowsサービスとして起動しており、'ログオン’プロパティがローカルシステムアカウントに設定されている時に起こります。ドメインパスワードをリセットできるようにするには、任意のドメインユーザーアカウントに変更してください。 設定変更するには、以下の手順に従ってください:

  1. Windowsサービスアプレットに移動する。(コントロールパネル --> 管理ツール --> サービス)
  2. 'ManageEngine Password Manager Pro' サービスを選択し、右クリックして -->'プロパティ'を選択する。
  3. 'ログオン' タブをクリックし 'アカウント'ラジオボタンを選択して、 任意のドメインユーザーのユーザー名とパスワードを<ドメイン名>\<ユーザー名>の形式で入力する。
  4. 設定を保存して、サーバーを再起動する。

7.Windowsサービスアカウントのリセットを有効にするための前提条件は何ですか?

Windowsサービスアカウントリセットを有効にする前に、依存したサービスが実行しているサーバーで、次のサービスが有効になっているか確認してください。

  • WindowsRPCサービスが有効になっていること。
  • Windows Management Instrumentation (WMI) サービスが有効になっていること。

8.ドメインSSOはファイアウォール/ VPN間で機能しますか?

ドメインのシングルサインオン(Windows統合認証)は、HTTPヘッダーに非標準のパラメーターを設定することにより、Windows環境で実現されます。これは通常、ファイアウォールやVPNなどのデバイスによって削除されてしまいます。 Password Manager Proは、ネットワーク内で使用するように設計されおり、ネットワークの外部から接続しているユーザーがいる場合、SSOを有効にすることはできません。


5. バックアップと& ディザスタリカバリ

1. Password Manager Proを元のサーバーから別のサーバーに移動できますか?

はい。以下の手順に従って、Password ManagerProを別のサーバーに移行できます。

  1. Password Manager Proのサービスを停止し、トレイアイコンを終了する。 
  2. Postgresプロセスがタスクマネージャーで実行されていないことを確認する。 
  3. Password Manager Proディレクトリ全体をコピーして新しいサーバーに移動させる。 
  4. 管理者権限でコマンドプロンプトを起動し、<Password Manager Pro HOME>\bin ディレクトリに移動する。コマンド Password Manager Pro.bat installを実行する。 (これにより Password Manager Pro サービスがインストールされる。) 
  5. 暗号化鍵(Password Manager Pro_key.key)を新しいサーバーに移動し、Password Manager Pro / conf /manage_key.confファイルで正しい場所を指定する。 暗合鍵の詳細については こちら をクリックしてください。
  6. サービスコンソールに移動し、サービスアカウントを提供して、Password ManagerProサービスを開始する。 
  7. トレイアイコンが必要な場合<Password Manager Pro HOME>に移動し、Password Manager Pro.exeを右クリックして、"管理者として実行"を選択する。 
    これで、URLの新しいサーバー名を使用してPassword Manager ProWebページにアクセスできるようになります。

2. Password Manager Proデータベースのディザスタリカバリは設定できますか?

はい、可能です。Password Manager Proは、データベースの内容全体を定期的にバックアップできます。これは、Password ManagerProコンソールから設定できます。詳細はこちらをご参照ください。


3. バックアップデータはどこに保管されますか? また暗合化されていますか?

バックアップファイル内のすべての機密データは<Password Manager Pro_Install_Directory/backUp>デイレク鳥は以下の.zipファイルに暗号化された形式で保存されます。障害復旧のためには、このファイルを安全なセカンダリストレージ等にバックアップすることをお勧めします。


6. ライセンス

1. Password Manager Proのライセンスポリシーは何ですか?

Password ManagerProには3つのエディションがあります。

評価版 - 評価版では30日間 2人の管理者を ご利用できます。リソースは無制限に管理でき、Enterprise版の全機能を評価いただけます。この期間中にも無料技術支援を受けていただくことが可能です。

無料版 - このエディションでは、ダウンロードオプションは常に有効です。 管理者は1人のみサポートしており、最大10個のリソースを管理でき、Standardエディションすべての機能にアクセスが可能です。

登録版 - 業務に必要な管理者数とエディションタイプに基づいてライセンスを購入する必要があります。Standard/Premium/Enterprizeがあります。

  • Standard - パスワードを保管し、エンタープライズユーザー間でパスワードを選択的に共有するための安全なパスワードレポジトリが必要であれば、Standardエディションが適しています。
  • Premium - パスワードの保存と共有とは別に、リモートパスワード同期、パスワードアラートと通知、アプリケーション間のパスワード管理、レポート、高可用性などのエンタープライズクラスのパスワード管理機能が必要な場合、Premiumエディションが最も適しています。
  • Enterprise - 特権アカウントの自動検出、チケットシステムおよびSIEMソリューションとの統合、ジャンプサーバー設定、すぐに使用可能なコンプライアンスレポート、バックエンドデータベースとしてのSQLサーバー/クラスターなど、より多くのエンタープライズクラスの機能が必要な場合、Enterprizeエディションが最も適しています。

注意: Password Manager Proには、管理者、パスワード管理者、特権管理者、監査担当者、パスワードユーザーの5つのユーザー役割があります。 「管理者」という用語は、管理者、パスワード管理者、および特権管理者を意味します。そのため、ライセンスによって管理者、パスワード管理者、特権管理者を含む管理者全体の数が制限されます。パスワードユーザーと監査担当者の数に制限はありません。 この5つの役割についての詳細はこちらをご参照ください。

より明確な情報は、下記の機能比較表をご参照ください。

Standard Edition Premium Edition Enterprise Edition



2.Password Manager Proの永久ライセンスを購入できますか?利用可能なオプションは何ですか?

Password Manager Proの価格設定は年間サブスクリプションモデルに従いますが、永久ライセンスオプションも提供します。永久ライセンスの費用は年間サブスクリプション価格の3倍で、2年目からは20%のAMSがかかります。詳細はsales@manageengine.comまたはsupport@passwordmanagerpro.comまでご連絡ください。


3.複数サーバーで高可用性の設定をしたいです。これには1つのライセンスで十分ですか?

はい、PremiumまたはEnterprise Editionのライセンスを1つ購入していただくと、高可用性を設定していただけます。 ただし、プライマリサーバーとセカンダリサーバーに同じライセンスを適用するようご注意ください。 下記手順に従ってください。

  1. プライマリサーバーのPMPサービスを停止させる。
  2. セカンダリサーバーのURLを使用し、PMPに管理者としてログインする。
  3. コンソールの右上にある人型アイコンの下、ライセンスを開く。
  4. プライマリサーバーにアップデートしてあるファイルと同様のファイルをセカンダリサーバーにアップデートする。

4.Password Manager Proは1000人以上の管理者をサポートしていますか?

はい、もちろんです。1000人を超える管理者ユーザーのライセンスが必要な場合の詳細情報は、sales@manageengine.comまたはsupport@passwordmanagerpro.com までご連絡ください。


5.評価版を拡張し、さらに多くの管理者ユーザーをサポートまたはを期限を延長することは可能ですか?

はい。ご希望詳細内容を こちらのWebサイトまでご連絡いただけばライセンスキーをお渡しいたします。


6.PremiumEditionまたはEnterpriseEditionに移行する際、Password Manager Proを再インストールする必要がありますか?

いいえ。現在ご使用のPassword Manager Proにそれぞれのライセンスを適用すると、Enterprise / Premiumエディションのすべての機能が自動的にアクティブになります。


7. SSH鍵管理

1. Password Manager Proを使用したSSHユーザーアカウントとSSHサービスアカウントの管理方法に違いはありますか?   

いいえ。Password Manager Proは、SSHユーザーアカウントとSSHサービスアカウントの管理に同じアプローチを採用しています。 異なる点としては リソース検出中にリソースとの接続を確立させるためサービス/rootアカウントの資格情報が提供される場合、リソース内のすべてのユーザーアカウントから鍵をインポート及び管理のための拡張特権を取得することです。 

一方、ユーザーアカウントの資格情報を使用しリソースへの接続を確立すると、その特定のアカウントに存在するSSH鍵に対してのみ鍵管理の特権を取得します。 


2.ローテートされていないSSH鍵を確認する方法はありますか?   

はい。通知ポリシーで指定されているように、事前定義された期間でローテートされなかった鍵の数を表示するダッシュボードがあります。 


3.Password Manager Proは、SSH鍵とSSL証明書以外のデジタル鍵の管理をサポートしていますか?  

Password Manager Proには、あらゆるタイプのデジタル鍵の保存・管理を容易にする「鍵ストア」と呼ばれる鍵Vaultがあります。ただし、検出しインポートするオプションはSSH鍵とSSL証明書のみに制限されており、他の種類のデジタル鍵にはご使用いただけません。


 8. SSL証明書管理

1.Password Manager Proと互換性のない証明書の種類はありますか?  

いいえ。Password Manager Proでは、すべてのX.509証明書タイプをサポートしています。


2.Password Manager Proの証明書リポジトリにある証明書の最新バージョンを自動的に識別して更新することは可能ですか?  

はい。タスクスケジュールを作成して自動証明書検出を実行できます。これにより、対象システムから古い証明書をインポートし、Password Manager Proの証明書リポジトリにある更新バージョンに置き換えることが可能です。スケジュール作成の詳細については こちら をご確認ください。


3.LinuxバージョンのPasswordManager Proは、Active DirectoryおよびMS証明書ストアからの証明書の検出をサポートしていますか?  

いいえ、しておりません。 [ADユーザー証明書]タブと[MS証明書ストア]タブは、WindowsバージョンのPassword Manager Proでのみ表示されます。


4.Password Manager Proの証明書リポジトリで同じコモンネームの証明書有効期限を追跡することは可能ですか?  

Password Manager Proは、証明書をコモンネームで区別し、証明書リポジトリ内の単一エントリと同じコモンネームで証明書を記録します。 Password Manager Proのライセンスは証明書数に紐づいており、同じ証明書に多くのライセンスを消費しないようにするため、このような設計となっております。 

ただし、両証明書を別々に管理する必要があるのであれば、 Password Manager Proの証明書リポジトリに別々のエントリとして保管することもできます。リストに保管されると、新たに追加された証明書はライセンス対象としてカウントされます。

証明書リポジトリの別のエントリと同じコモンネームの証明書を追加する方法:

  1. 証明書タブに進み証明書をクリック、証明書の右端にあるCertificate Historyアイコンをクリックする。
  2. 該当バージョンの証明書横にある証明書の管理アイコンをクリックし証明書の管理をクリックする。
  3. 選択したバージョンは、証明書リポジトリにて別々の証明書として一覧表示される。
  4. 証明書1バージョンのみを管理したい場合は、該当のバージョン横にある証明書の管理アイコンをクリックし、'現在の証明書として設定する'オプションを選択する。 

5.証明書の秘密鍵をインポートするにはどうすればよいですか?  

下記手順に従い、証明書の秘密鍵をPassword Manager Proにインポートします。

  1. 証明書タブに進み証明書をクリックする。
  2. 秘密鍵をインポートしたい証明書を選択する。
  3. Moreのドロップダウンリストの一番上にある鍵をインポートするオプションを選択する。

秘密鍵を含むファイルを参照し、鍵ストアのパスワードを入力して、'インポートする'をクリックする。秘密鍵はインポートされ、選択した証明書に添付されます。


6.証明書を証明書ストアに配置し、証明書を使用するアプリケーションにマップするにはどうすればよいですか?   

Password Manager Proは、対象サーバーであるMicrosoft証明書ストアにリポジトリから証明書をデプロイすることで、証明書デプロイを簡単にしています。  

 こちらをクリックして、一つ一つの証明書デプロイ手順説明をご確認いただけます。 

対応するアプリケーションに証明書をマップするには変更を有効化するため、アプリケーションが実行されているサーバーを手動で再起動する必要があります。 


7.Password Manager Proはサブネットベースの証明書検出をサポートしていますか?  

いいえ。Password Manager Proでは現在、サブネットベースのSSL証明書の検出をサポートしていません。  


8.Password Manager Proは、MS証明書ストアからの証明書検出自動スケジューリングをサポートしていますか?

いいえ。現在、Password Manager Proでは、MS証明書ストアからの証明書検出の自動スケジューリングをサポートしていません。 


9.証明書に関連するアラートメールは、証明書のすべてのバージョン(「Cirtificate History」にも表示されるもの)に対して生成されますか、 それともPassword Manager Proの証明書リポジトリにリストされている証明書に対してのみ生成されますか?  

メール通知は、Password Manager Proの証明書リポジトリにリストされている証明書に対してのみ生成され、「Cirtificate History」セクションに表示されている異なる証明書バージョンに対しては生成されません。 


10.会社の内部認証局(CA)によって発行された証明書は、ライセンスの対象になりますか?  

はい。 Password Manager Proを使用して管理されているすべてのタイプのSSL証明書、SSH鍵、およびその他のデジタル鍵がライセンス対象になります。Password Manager Proを使用して管理されているデジタルIDの種類と個数に関する洞察を提供する"ライセンス詳細" というダッシュボードウィジェットが存在し、 ライセンスの対象と認識されています。