ADSelfService Plus ナレッジベース

シマンテック テスト用無料SSLサーバ証明書を利用したSSL通信設定手順


シマンテック テスト用無料SSLサーバ証明書を利用したSSL通信の設定手順です。

※有効期間は14日間です。

【手順】

<A. ADSelfService Plusの管理者ポータルでCSRを作成する>

1.管理者ポータルにログインし、管理>製品設定>接続>SSL認証ツールの順にクリック

2.「CSRの作成」において、各項目を入力し、「CSRを生成」をクリック

3.画面の上部に「CSRの作成が成功しました。 SelfService.csr から ダウンロードしてください」というポップアップが表示されるので、「SelfService.csr」をクリックしてCSRを表示

※CSRをIEで開くと、後の手順でエラーが発生します。IE以外のブラウザもしくはメモ帳で開いてください。

 

<B.シマンテック、テスト用無料 SSLサーバ証明書を申し込む>

1.シマンテックのストアフロントページから「無料テスト用SSL」をクリック

2.「製品選択」ページのサーバタイプの項目で、「Microsoft以外のサーバー」を選択

3.お客様情報を入力

4.「CSR張り付け」ページにおいて、上記で作成したCSRをコピー&ペーストする

※「-----BEGIN NEW CERTIFICATE REQUEST-----」および「-----END NEW CERTIFICATE REQUEST-----」までペーストしてください。

5.入力情報を確認し、テスト用サーバ証明書を申請

 

<C.サーバー証明書からP7Bファイルを作成>

1.シマンテックから送られてくるメール、「テスト用サーバ証明書発行のお知らせ」を開く

2.「B) X.509形式 (Apacheを代表とするサーバ(Microsoft IIS以外)用)」の 証明書をテキストエディタにコピー&ペーストをして「certificate.cer」という名前を付けて保存

※「-----BEGIN CERTIFICATE-----」、「 -----END CERTIFICATE----」を含めて証明書を作成してください。

3.certificate.cerをダブルクリック

4.詳細タブ>ファイルにコピーの順にクリック

5.証明書のエクスポートウィザードが開始されるので、「次へ」をクリック

6.「エクスポートファイルの形式」画面で、「cyptographic message Synatax standard - PKCS #7証明書(.P7B)(C)」を選択、「証明の パスがある証明書を可能であればすべて含む(I)」にチェックを入れ、「次へ」をクリック

7.作成するP7Bファイルの名前を入力して「次へ」をクリックし、エクスポート

8.作成したP7Bファイルをダブルクリック

9.証明書マネージャツールの左パネルの「C:」から始まるフォルダを展開

10.「証明書」フォルダをクリックし、右のパネルに証明書が2つ表示されることを確認

 

<D.中間CA明書を保存>

1.シマンテックからのメールにある「-テスト用SSLサーバ証明書専用中間CA証明書」URLへ移動

2.「テスト用無料SSLサーバ証明書認証局証明書(RSA版)」の「 Trial SSL Japan CA - G2」をクリック

3.中間CA証明書をテキストエディタにコピー&ペーストして「intermediate.cer」という名前を付けて保存

 

<E. keytoolで中間CA証明書およびP7Bファイルを格納>

1.「intermadiate.cer」とP7Bファイルを製品インストールディレクトリ>jre>binフォルダに置く

2.管理者としてコマンドプロンプトを開き、C:\ManageEngine\ADSelfService Plus\jre\binに移動

3.<インストールディレクトリ>\jre\binにあるSelfservice.keystoreのバックアップを取得

4.以下のコマンドを実行し、中間証明書を格納

cmd> keytool -import -alias intermediateCA -keystore selfservice.keystore -trustcacerts -file <中間CA証明書の名前 > .cer

※必ず中間CA証明書を始めに格納してください。

5.「この証明書を信頼しますか。」という質問に対して「y」を入力

6.以下のコマンドを実行し、P7Bファイルを格納

cmd> keytool -import -alias tomcat -keystore selfservice.keystore -trustcacerts -file <P7Bファイルの名前>.p7b

 

<F. ADSelfService Plusの設定を変更>

1.管理者ポータルにログインし、管理>製品設定>接続の順にクリック

2.「SSLポートの有効化 [https]」にチェックを入れる

3.「保存」をクリック

 

<G. Server.xmlを編集>

1.<インストールディレクトリ>\jre\binから<インストールディレクトリ>\confに、「SelfService.keystore」をコピーする

2.<インストールディレクトリ>\conf内のserver.xmlをテキストエディタで開く

※編集する前にserver.xmlのバックアップを取ってください。

3.connector tags内の以下の値を編集する

・「keystoreFile=」の後の値を「./conf/SelfService.keystore」に変更する

・「keystorePass=」の後の値を、CSRファイルを作成した際に入力したパスワードに変更する

例 <Connector SSLEnabled="true" acceptcount="100" clientauth="false" connectiontimeout="20000" debug="0" disableuploadtimeout="true" enablelookups="false" keystorefile="./conf/selfservice.keystore" keystorepass="ステップ1で入力したパスワード" maxsparethreads="75" maxthreads="150" minsparethreads="25" name="SSL" port="9251" scheme="https" secure="true" sslprotocol="TLS" sslprotocols="TLSv1,TLSv1.1,TLSv1.2"><connector>

4.値を変更後、server.xmlを保存する

 

<H. ADSelfService Plusにアクセスを行うクライアントPCにルート証明書をインストール>

1.クライアントPCからメール、「テスト用サーバ証明書発行のお知らせ」を開く

2.メールにある「-テスト用SSLサーバ証明書専用中間CA証明書」URLに移動

3.「テスト用無料SSLサーバ証明書認証局証明書(RSA版)」の「 Trial Class 3 Japan Root - G5」をクリック

4.ルート証明書をテキストエディタにコピー&ペーストし、「root.cer」という名前を付けて保存

5.「root.cer」をダブルクリック

6.全般タブ>証明書のインストールをクリックし、証明書インポートウィザードを開始

7.「証明書のインポートウィザードの開始」において保存場所をデフォルトの「現在のユーザー」のままにし、「次へ」を選択

8.「証明書ストア」にて「証明書をすべて次のストアに配置する」を選択し、「参照」をクリック

9.「信頼されたルート証明機関」を選択し、「OK」をクリック

10.「完了」をクリック

11.証明機関の信頼についての警告で「OK」をクリック

 

<I. ADSelfService Plusを再起動>

 

ADSelfService Plusにアクセスし、httpsで正しく通信を行えているかを確認してください。