シマンテック テスト用無料SSLサーバ証明書を利用したSSL通信設定手順
シマンテック テスト用無料SSLサーバ証明書を利用したSSL通信の設定手順です。
※有効期間は14日間です。
【手順】
<A. ADSelfService Plusの管理者ポータルでCSRを作成する>
1.管理者ポータルにログインし、管理>製品設定>接続>SSL認証ツールの順にクリック
2.「CSRの作成」において、各項目を入力し、「CSRを生成」をクリック
3.画面の上部に「CSRの作成が成功しました。 SelfService.csr から ダウンロードしてください」というポップアップが表示されるので、「SelfService.csr」をクリックしてCSRを表示
※CSRをIEで開くと、後の手順でエラーが発生します。IE以外のブラウザもしくはメモ帳で開いてください。
<B.シマンテック、テスト用無料 SSLサーバ証明書を申し込む>
1.シマンテックのストアフロントページから「無料テスト用SSL」をクリック
2.「製品選択」ページのサーバタイプの項目で、「Microsoft以外のサーバー」を選択
3.お客様情報を入力
4.「CSR張り付け」ページにおいて、上記で作成したCSRをコピー&ペーストする
※「-----BEGIN NEW CERTIFICATE REQUEST-----」および「-----END NEW CERTIFICATE REQUEST-----」までペーストしてください。
5.入力情報を確認し、テスト用サーバ証明書を申請
<C.サーバー証明書からP7Bファイルを作成>
1.シマンテックから送られてくるメール、「テスト用サーバ証明書発行のお知らせ」を開く
2.「B) X.509形式 (Apacheを代表とするサーバ(Microsoft IIS以外)用)」の 証明書をテキストエディタにコピー&ペーストをして「certificate.cer」という名前を付けて保存
※「-----BEGIN CERTIFICATE-----」、「 -----END CERTIFICATE----」を含めて証明書を作成してください。
3.certificate.cerをダブルクリック
4.詳細タブ>ファイルにコピーの順にクリック
5.証明書のエクスポートウィザードが開始されるので、「次へ」をクリック
6.「エクスポートファイルの形式」画面で、「cyptographic message Synatax standard - PKCS #7証明書(.P7B)(C)」を選択、「証明の パスがある証明書を可能であればすべて含む(I)」にチェックを入れ、「次へ」をクリック
7.作成するP7Bファイルの名前を入力して「次へ」をクリックし、エクスポート
8.作成したP7Bファイルをダブルクリック
9.証明書マネージャツールの左パネルの「C:」から始まるフォルダを展開
10.「証明書」フォルダをクリックし、右のパネルに証明書が2つ表示されることを確認
<D.中間CA明書を保存>
1.シマンテックからのメールにある「-テスト用SSLサーバ証明書専用中間CA証明書」URLへ移動
2.「テスト用無料SSLサーバ証明書認証局証明書(RSA版)」の「 Trial SSL Japan CA - G2」をクリック
3.中間CA証明書をテキストエディタにコピー&ペーストして「intermediate.cer」という名前を付けて保存
<E. keytoolで中間CA証明書およびP7Bファイルを格納>
1.「intermadiate.cer」とP7Bファイルを製品インストールディレクトリ>jre>binフォルダに置く
2.管理者としてコマンドプロンプトを開き、C:\ManageEngine\ADSelfService Plus\jre\binに移動
3.<インストールディレクトリ>\jre\binにあるSelfservice.keystoreのバックアップを取得
4.以下のコマンドを実行し、中間証明書を格納
cmd> keytool -import -alias intermediateCA -keystore selfservice.keystore -trustcacerts -file <中間CA証明書の名前 > .cer
※必ず中間CA証明書を始めに格納してください。
5.「この証明書を信頼しますか。」という質問に対して「y」を入力
6.以下のコマンドを実行し、P7Bファイルを格納
cmd> keytool -import -alias tomcat -keystore selfservice.keystore -trustcacerts -file <P7Bファイルの名前>.p7b
<F. ADSelfService Plusの設定を変更>
1.管理者ポータルにログインし、管理>製品設定>接続の順にクリック
2.「SSLポートの有効化 [https]」にチェックを入れる
3.「保存」をクリック
<G. Server.xmlを編集>
1.<インストールディレクトリ>\jre\binから<インストールディレクトリ>\confに、「SelfService.keystore」をコピーする
2.<インストールディレクトリ>\conf内のserver.xmlをテキストエディタで開く
※編集する前にserver.xmlのバックアップを取ってください。
3.connector tags内の以下の値を編集する
・「keystoreFile=」の後の値を「./conf/SelfService.keystore」に変更する
・「keystorePass=」の後の値を、CSRファイルを作成した際に入力したパスワードに変更する
例 <Connector SSLEnabled="true" acceptcount="100" clientauth="false" connectiontimeout="20000" debug="0" disableuploadtimeout="true" enablelookups="false" keystorefile="./conf/selfservice.keystore" keystorepass="ステップ1で入力したパスワード" maxsparethreads="75" maxthreads="150" minsparethreads="25" name="SSL" port="9251" scheme="https" secure="true" sslprotocol="TLS" sslprotocols="TLSv1,TLSv1.1,TLSv1.2"><connector>
4.値を変更後、server.xmlを保存する
<H. ADSelfService Plusにアクセスを行うクライアントPCにルート証明書をインストール>
1.クライアントPCからメール、「テスト用サーバ証明書発行のお知らせ」を開く
2.メールにある「-テスト用SSLサーバ証明書専用中間CA証明書」URLに移動
3.「テスト用無料SSLサーバ証明書認証局証明書(RSA版)」の「 Trial Class 3 Japan Root - G5」をクリック
4.ルート証明書をテキストエディタにコピー&ペーストし、「root.cer」という名前を付けて保存
5.「root.cer」をダブルクリック
6.全般タブ>証明書のインストールをクリックし、証明書インポートウィザードを開始
7.「証明書のインポートウィザードの開始」において保存場所をデフォルトの「現在のユーザー」のままにし、「次へ」を選択
8.「証明書ストア」にて「証明書をすべて次のストアに配置する」を選択し、「参照」をクリック
9.「信頼されたルート証明機関」を選択し、「OK」をクリック
10.「完了」をクリック
11.証明機関の信頼についての警告で「OK」をクリック
<I. ADSelfService Plusを再起動>
ADSelfService Plusにアクセスし、httpsで正しく通信を行えているかを確認してください。