SANを加えたプライベート認証局の証明書適用手順
SAN(Subject Alternative Name)を加えたプライベート認証局の証明書(Microsoft証明書サービス)をインストールするための手順は以下の通りです。
- ADManager PlusのSSLポートを有効化
- 証明書の要求
- Microsoft証明書サービス(内部認証局)で証明書の発行
- ブラウザへSSL証明書のインポート
- ADManager Plusに対する証明書の適用
1. ADManager PlusのSSLポートを有効化:
- ADManager Plusを起動します。
(スタート>すべてのプログラム->ADManager Plus->Start ADManager Plusをクリックします。)
※サービスとして起動する場合
コマンドプロンプトを開き、"services.msc"と入力して"サービス"を起動してください。
"ManageEngine ADManager Plus"のサービスを選択し、サービスを開始します。
- "管理"タブ->接続をクリック->[SSLポートを有効にする]にチェックを入れ、設定を保存します。
(デフォルトポート番号は8443です。)
メモ:変更前に指定するポートが開いていることを確認してください。
- ADManager Plusを停止します。
("スタート"->すべてのプログラム->ADManager Plus->Stop ADManager Plusをクリックします。)
2. 証明書の要求:
- ".keystore"と".csr"ファイルを作成するため、コマンドプロンプトから
"<ADManager Plusインストールディレクトリ>\jre\bin"フォルダへ移動します。
".keystore"ファイルを作成するため、以下のコマンドを実行してください。
keytool -genkey -alias tomcat -keypass <key passwordを指定> -keyalg RSA -keysize 2048 -validity 1000 –keystore <keystore名を指定>.keystore
メモ:「-validity 1000」では、証明書の有効日数を指定しております。こちらの場合は、有効日数が1000日となっております。
以下の項目に対して入力が要求されます。
- ADManager Plusが動いているサーバーのNetBIOSまたはFQDN
- 組織単位
- 都市名または地域名
- 州名または地方名
- 国番号(日本の国番号は”JP”です)
内容に間違いがなければ、最後に"yes"または"はい"と入力します。
メモ:コマンドを実行後、keystore passwordの入力が要求されるので、先ほど指定したkey passwordを入力します。(パスワードには単語文字を使用してください。)
- ".csr"(Certificate Signing Request) ファイルを作成するために以下のコマンドを実行してください。
keytool -certreq -alias tomcat -keyalg RSA -keysize 2048 -keystore < keystore名 >.keystore -file <csr名を指定>.csr
- SAN(Subject Alternative Name)を加えた".csr"(Certificate Signing Request) ファイルを作成するために以下のコマンドを実行してください。
keytool -certreq -alias tomcat -keyalg RSA -keysize 2048 -ext SAN=dns:<サーバー名など>,dns:<サーバー名.domain.comなど>,dns:<localhost> -keystore <keystore名>.keystore -file <csr名を指定>.csr
3. Microsoft証明書サービス(プライベート認証局)で証明書の発行:
- Microsoft証明書サービス(http://<サーバー名>/certsrv/)にアクセス->証明書を要求する"をクリックします。
※<サーバー名>はWindowsのWebサービス(IIS)や証明書サービスがインストールされているサーバーを指定します。
- "証明書の要求の詳細設定を送信する"をクリックします。
- "保存された要求"に、".csr"ファイルの内容をコピー&ペーストします。
"証明書テンプレート"は、"Webサーバー"を選択して、"送信"ボタンをクリックします。
メモ:テキストエディタから".csr"ファイルを開き、内容をコピー後"保存された要求:"にペーストします。
- 証明書の発行後、"PKCS #7"タイプをダウンロードするために"証明書チェーンのダウンロード"をクリックします。
メモ:"<ADManager Plusインストールディレクトリ>\jre\bin"フォルダの下に証明書をコピー&ペーストします。
- 右上の"ホーム"リンクをクリック->"CA 証明書、証明書チェーン、または CRL のダウンロード"をクリックします。
"CA証明書のダウンロード"リンクをクリックして、ルート証明書を保存します。
メモ:"<ADManager Plusインストールディレクトリ>\jre\bin"フォルダの下に証明書をコピー&ペーストします。
- プライベート認証局の証明書を".keystore"ファイルにインポートするため、
コマンドプロンプトから"<ADManager Plusインストールディレクトリ>\jre\bin"フォルダへ移動します。
".keystore.file"に証明書をインポートするため、以下のコマンドを実行します。
Keytool –import –trustcacerts –alias tomcat –file certnew.p7b –keystore <keystore名>.keystore
- Java cacertsファイルの中の証明書信頼リストの中にルート証明書を追加します。
証明書信頼リストに追加するため以下のコマンドを実行します。
keytool -import -alias <プライベートCA名> -keystore ..\lib\security\cacerts -file certnew.cer
メモ:プライベート認証局名は"certnew.cer"から確認できます。コマンドを実行後に要求されるパスワードは"changeit"と入力します。
4. ブラウザへSSL証明書のインポート:
クライアントPC側にルート証明書が登録されていない場合、サーバーから送られてくるSSLサーバー証明書の署名が検証できず、証明書エラーが発生します。本エラーを回避するには、ブラウザへSSL証明書をインポートする必要があります。なお、SSL証明書のインポート手順は、ブラウザごとに異なります。
例として、Google Chromeの設定方法について記載します:
- 設定→詳細設定→プライバシーとセキュリティ→「証明書の管理」をクリック
- 「信頼されたルート証明機関」→「インポート」をクリック
- 「証明書のインポートウィザード」より、対象の証明書をインストール
5. ADManager Plusに対する証明書の適用:
- "<ADManager Plusインストールディレクトリ>\jre\bin"フォルダの中の".keystore"ファイルをコピーし、
"<ADManager Plusインストールディレクトリ>\conf"フォルダへペーストします。
- “server.xml”をコピーし、“server.xml_bak”にリネームします。
- "server_xml"をテキストエディタ(メモ帳以外)から開き、
"keystoreFile"の値を"./conf/<keystore名>.keystore"に変更します。
- "keystorePass"の値を、keystore作成の際パスワードとして指定した値に置き換えます。
- server.xmlファイルを保存して、ADManager Plusを起動します。
- 製品を再起動後、ブラウザで接続しエラーが無く接続が行えることを確認してください。