ADManager Plus ナレッジベース

SANを加えたプライベート認証局の証明書適用手順


SAN(Subject Alternative Name)を加えたプライベート認証局の証明書(Microsoft証明書サービス)をインストールするための手順は以下の通りです。

  1. ADManager PlusのSSLポートを有効化
  2. 証明書の要求
  3. Microsoft証明書サービス(内部認証局)で証明書の発行
  4. ブラウザへSSL証明書のインポート
  5. ADManager Plusに対する証明書の適用

 

1. ADManager PlusのSSLポートを有効化:

  1. ADManager Plusを起動します。
    (スタート>すべてのプログラム->ADManager Plus->Start ADManager Plusをクリックします。)

    ※サービスとして起動する場合
    コマンドプロンプトを開き、"services.msc"と入力して"サービス"を起動してください。
    "ManageEngine ADManager Plus"のサービスを選択し、サービスを開始します。
  1. "管理"タブ->接続をクリック->[SSLポートを有効にする]にチェックを入れ、設定を保存します。
    (デフォルトポート番号は8443です。)

 

メモ:変更前に指定するポートが開いていることを確認してください。

  1. ADManager Plusを停止します。
    ("スタート"->すべてのプログラム->ADManager Plus->Stop ADManager Plusをクリックします。)

 

2. 証明書の要求:

  1. ".keystore"と".csr"ファイルを作成するため、コマンドプロンプトから
    "<ADManager Plusインストールディレクトリ>\jre\bin"フォルダへ移動します。
    ".keystore"ファイルを作成するため、以下のコマンドを実行してください。
keytool -genkey -alias tomcat -keypass <key passwordを指定> -keyalg RSA -keysize 2048 -validity 1000 –keystore <keystore名を指定>.keystore

メモ:「-validity 1000」では、証明書の有効日数を指定しております。こちらの場合は、有効日数が1000日となっております。

以下の項目に対して入力が要求されます。
  • ADManager Plusが動いているサーバーのNetBIOSまたはFQDN
  • 組織単位
  • 都市名または地域名
  • 州名または地方名
  • 国番号(日本の国番号は”JP”です)

内容に間違いがなければ、最後に"yes"または"はい"と入力します。
メモ:コマンドを実行後、keystore passwordの入力が要求されるので、先ほど指定したkey passwordを入力します。(パスワードには単語文字を使用してください。)

  1. ".csr"(Certificate Signing Request) ファイルを作成するために以下のコマンドを実行してください。
keytool -certreq -alias tomcat -keyalg RSA -keysize 2048 -keystore < keystore名 >.keystore -file <csr名を指定>.csr
  1. SAN(Subject Alternative Name)を加えた".csr"(Certificate Signing Request) ファイルを作成するために以下のコマンドを実行してください。
keytool -certreq -alias tomcat -keyalg RSA -keysize 2048 -ext SAN=dns:<サーバー名など>,dns:<サーバー名.domain.comなど>,dns:<localhost> -keystore <keystore名>.keystore -file <csr名を指定>.csr

 

3. Microsoft証明書サービス(プライベート認証局)で証明書の発行:

  1. Microsoft証明書サービス(http://<サーバー名>/certsrv/)にアクセス->証明書を要求する"をクリックします。

    ※<サーバー名>はWindowsのWebサービス(IIS)や証明書サービスがインストールされているサーバーを指定します。
  1. "証明書の要求の詳細設定を送信する"をクリックします。
  2. "保存された要求"に、".csr"ファイルの内容をコピー&ペーストします。
    "証明書テンプレート"は、"Webサーバー"を選択して、"送信"ボタンをクリックします。

メモ:テキストエディタから".csr"ファイルを開き、内容をコピー後"保存された要求:"にペーストします。

  1. 証明書の発行後、"PKCS #7"タイプをダウンロードするために"証明書チェーンのダウンロード"をクリックします。

メモ:"<ADManager Plusインストールディレクトリ>\jre\bin"フォルダの下に証明書をコピー&ペーストします。

  1. 右上の"ホーム"リンクをクリック->"CA 証明書、証明書チェーン、または CRL のダウンロード"をクリックします。
    "CA証明書のダウンロード"リンクをクリックして、ルート証明書を保存します。

メモ:"<ADManager Plusインストールディレクトリ>\jre\bin"フォルダの下に証明書をコピー&ペーストします。

  1. プライベート認証局の証明書を".keystore"ファイルにインポートするため、
    コマンドプロンプトから"<ADManager Plusインストールディレクトリ>\jre\bin"フォルダへ移動します。
    ".keystore.file"に証明書をインポートするため、以下のコマンドを実行します。
Keytool –import –trustcacerts –alias tomcat –file certnew.p7b –keystore <keystore名>.keystore
  1. Java cacertsファイルの中の証明書信頼リストの中にルート証明書を追加します。
    証明書信頼リストに追加するため以下のコマンドを実行します。
keytool -import -alias <プライベートCA-keystore ..\lib\security\cacerts -file certnew.cer

メモ:プライベート認証局名は"certnew.cer"から確認できます。コマンドを実行後に要求されるパスワードは"changeit"と入力します。

4. ブラウザへSSL証明書のインポート:

クライアントPC側にルート証明書が登録されていない場合、サーバーから送られてくるSSLサーバー証明書の署名が検証できず、証明書エラーが発生します。本エラーを回避するには、ブラウザへSSL証明書をインポートする必要があります。なお、SSL証明書のインポート手順は、ブラウザごとに異なります。
例として、Google Chromeの設定方法について記載します:
  1. 設定→詳細設定→プライバシーとセキュリティ→「証明書の管理」をクリック
  2. 「信頼されたルート証明機関」→「インポート」をクリック
  3. 「証明書のインポートウィザード」より、対象の証明書をインストール

 

5. ADManager Plusに対する証明書の適用:

  1. "<ADManager Plusインストールディレクトリ>\jre\bin"フォルダの中の".keystore"ファイルをコピーし、
    "<ADManager Plusインストールディレクトリ>\conf"フォルダへペーストします。
  1. server.xml”をコピーし、“server.xml_bak”にリネームします。
  1. "server_xml"をテキストエディタ(メモ帳以外)から開き、
    "keystoreFile"の値を"./conf/<keystore名>.keystore"に変更します。
  1. "keystorePass"の値を、keystore作成の際パスワードとして指定した値に置き換えます。
  1. server.xmlファイルを保存して、ADManager Plusを起動します。
  1. 製品を再起動後、ブラウザで接続しエラーが無く接続が行えることを確認してください。