Applications Manager ナレッジベース

ManageEngine > サポート > Applications Manager ナレッジベース > セキュリティ/脆弱性 > Applications Managerに独自のSSL証明書を使用する
戻る

Applications Managerに独自のSSL証明書を使用する

  • 作成日:2022年4月25日 | 更新日:2023年7月24日

概要

Applications Managerに独自のSSL証明書を使用する手順をご紹介いたします。

ビルド14260以降、証明書署名要求(CSR)を作成し、SSL証明書をApplications ManagerにインポートするオプションがUIに導入されました。
詳細な手順については、「証明書の管理」を参照してください。

設定方法

設定方法を3つご紹介いたします。

キーストアを変更する方法

SSL証明書を購入すると、ベンダーはキーストアファイルにインポートする必要のある証明書ファイルを提供します。
インポートは、JavaインストールまたはOpenSSLインストールまたは証明書マネージャーツールを使用して実行できます。

事前準備:
以下の2ファイルのバックアップを取得してください。
・Applications Managerインストールフォルダ \ working \ apache \ tomcat \配下のappmanager.keystoreファイル
・Applications Managerインストールフォルダ \ working \ apache \ tomcat \ conf \ backup\配下のserver.xmlファイル

  1. Applications Managerを停止します。
  2. SSL証明書を含むキーストアファイルを変更するには、
    Applications Managerインストールフォルダ \ working \ apache \ tomcat \に移動し、
    「appmanager.keystore」ファイルをキーストアファイルに置き換えます。
  3. keystoreFile 名が異なる場合 は、Applications Managerインストールフォルダ \ working \ apache \ tomcat \ conf \ backup\server.xmlファイルで「KEYSTORE_FILE」の代わりに絶対パスを使用してそのファイル名を指定します。
    ※トラストストアファイルがある場合は、keystoreFileの横に属性truststoreFile を追加し、そのパスを指定します。
  4. server.xmlファイル でencryptedKeystorePass 属性を見つけ、それをkeystorePassに変更して、キーストアのパスワードを指定します。
    ※keystorePassがすでに存在する場合は、それを使用してください。
    トラストストアファイルに別の証明書がある場合は、上記の属性の横に属性truststorePassを追加し、トラストアのパスワードを指定します。
    どちらの属性も 大文字と小文字が厳密に区別されます。
    再起動すると、セキュリティ上の理由から、属性は自動的に暗号化された形式に変更されます。
  5. Applications Managerを再起動し、httpsスキームとhttpsポートでアクセスできるかどうかをご確認ください。

APMプラグインをご利用のユーザー様で、証明書をOpManagerにインポートする場合:
OpManagerバージョン12.3.181以降の場合、OpManagerのキーストアとトラストストアファイルの場所を事前に取得してください。
AppManager配下のserver.xml keystoreFileとtruststoreFileのバックアップを取り、それぞれのファイル内でキーストアとトラストストアのパスワードをkeystorePassとtruststorePassに更新します。
再起動時に、APMプラグインはOpManagerの証明書ファイルを使用するようになります。

キーストアファイルを直接インポートする方法

キーストアを置き換えたり、別のキーストアファイルを使用したりする代わりに、Applications Manager(.. \ AppManager_home \ working \ apache \ tomcat \ appmanager.keystore)で使用されるキーストアファイルに証明書をインポートすることも可能です。
手順の例については、 こちらを参照してください。

CSRを生成している場合

keytool.exeを使用して証明書署名要求(CSR)を生成し、CSR オプションのSANも生成している場合、
<fqdn>は、証明書が発行されている完全修飾ドメイン名に置き換える必要があります。
[サブジェクト代替名]フィールドでは、マルチドメイン(SAN)や拡張検証マルチドメイン証明書などの単一のSSL証明書で保護する追加のホスト名(サイト、IPアドレス、共通名など)を指定できます。

-ext san = dns:<fqdn>

参考:SSL/TLS Configuration HOW-TO

補足

  • 各方法において、変更を加えた後はApplications ManagerまたはOpManagerを再起動する必要があります。
  • Microsoft CAを使用している場合は、base64でエンコードされたPKCS#10ファイルまたはbase64でエンコードされたPKCS#7ファイルを使用して証明書要求を行うようにしてください。
  • キーストアとして.pfxまたは.p12ファイルを使用している場合は、上記のserver.xmlファイルにkeystoreType = "PKCS12" truststoreType="PKCS12"を追加する必要があります。
  • 新しいSSL証明書で2048ビットの秘密鍵を使用している場合は、Java Cryptography Extension(JCE)Unlimited Strength Jurisdiction Policy FilesをOracleWebサイトから追加でダウンロードし、AppManagerのインストールフォルダにコピーします。
  • アクセスの際はキャッシュ/Cookieのクリア、シークレットウィンドウでのアクセスを推奨いたします。
  • 【Enterpriseエディションのみ】AdminサーバーとManagedサーバーの両方で同じキーストアファイルとパスワードを使用する必要があります。

本社版ナレッジ

このナレッジの総閲覧回数: 483

関連ナレッジ:

  1. HTTPレスポンスヘッダーから製品情報を非表示にする
  2. IPアドレスのホワイトリスト/ブラックリストの設定方法
  3. バックアップ・リストア方法(APMプラグイン)
  4. 非アクティブ・タイムアウト設定方法