Endpoint Central オンプレミス版 ナレッジベース

SSL証明書のインポート手順


確認ビルド: Endpoint Central 11.2.2300.30、Endpoint Central 10.1.2220.22
この記事では、Endpoint Central オンプレミス版にSSL証明書をインポートする方法について説明しています。

SSL証明書のインポート手順

  • SSL形式およびPFX形式の証明書の使用をサポートしています。
  • インポート可能な証明書の有効期限は、397日未満に設定する必要があります。
  • 証明書のインポート手順を実行して、自己署名証明書をインポートすることはできません
  • 自己署名証明書 < プライベート認証局で発行された証明書 < パブリック認証局で発行された証明書 の順にセキュリティが高くなっています。セキュアな通信を実現するには、パブリック認証局(DigiCertやGlobalSignなどの信頼された認証機関)で発行されたSSL証明書をインポートする必要があります。
  • Endpoint Central と ServiceDesk Plus が同じコンピューターにインストールされている場合、同じPFXファイルが機能します(※注: ManageEngine製品は専用サーバーをご用意いただくことを推奨しております)。この場合、ServiceDesk Plusサーバーを別のコンピューターに移動する場合は、適切なホスト名を指定するようにPFXを変更する必要があります。ServiceDesk Plusの証明書インストールに関しては、以下のServiceDesk Plusオンプレミス版ナレッジご覧ください。

 


Endpoint Central 11.1.2242.01以降ビルドの場合

証明書をインポートする前のserver.keyおよびserver.csrファイルをバックアップとして他の場所に保管しておくことを推奨します。証明書をインポートすることで、これらのファイルは上書きされます。

  1. コマンドプロンプトを管理者として実行し、<サーバーフォルダー>\bin に移動します。

    cd C:\Program Files\ManageEngine\UEMS_CentralServer\bin

  2. generateCSR.batを実行して、csrファイルおよびkeyファイルを作成し、keyファイルの暗号化を解除します。
  3. generateCSR.bat

  4. Enter your option :が表示されたら 1 を入力しEnterキーを押します。
  5. 続いて.csrファイルの作成に必要な内容を入力することで、.csrファイルおよび.keyファイルが作成されます(入力を誤った場合は中断し、再度batファイルを実行します)。
    • Country Code (2 letter code) [IN] : にはカントリーコードを入力し、Enterキーを押します。(例)JP
    • State or Province Name (full name) [Some-State] : には都道府県名を入力し、Enterキーを押します。(例)Kanagawa
    • Locality Name (eg, city) [Chennai] : には都市名を入力し、Enterキーを押します。(例)Yokohama
    • Organization Name (eg, company) [Zoho] : には組織名を入力し、Enterキーを押します。(例)ZOHO-Japan
    • Organizational Unit Name (eg, section) [IT] : には部署名を入力し、Enterキーを押します。(例)EndpointManagement
    • Common Name (e.g. server FQDN or YOUR name) [ www.zoho.com ] : にはコモンネームを入力し、Enterキーを押します。(例)https://www.example.com の場合 example.com
    • Subject Alternative Names (e.g. *.zoho.com,manageengine.com)(provide the SAN values seperated by comma(,)) : にはSANを入力し、Enterキーを押します。複数ある場合半角カンマ区切りにします。
  6. server.csr および server.key ファイルが /bin および \apache\bin に生成されます。
  7. server.csrを認証局に提出し、証明書の発行を依頼します(証明書の有効期間は397日未満にする必要があります)。信頼された認証機関で発行するには費用と、数日程度の時間がかかります。
  8. 信頼された認証機関で発行された証明書およびCAの中間証明書を受領します。
  9. 証明書のファイル名をserver.crtに変更します。
  10. Administratorの役割をもつユーザーでコンソールにアクセスし、管理タブ > セキュリティ設定 を開きます。
  11. SSL証明書をインポートします。

 


Endpoint Central 11.1.2242.01以前のビルド、およびDesktop Centralの各ビルドの場合
SSL証明書のインポート

Endpoint CentralのHTTPS通信を有効化する手順は、こちらのナレッジをご覧ください。
HTTPS通信の有効化に加えて、自己署名証明書ではないSSL証明書(SSLサーバー証明書)をEndpoint Centralにインポートする場合、以下の手順を実行します。


1. CSRとキーファイルを作成し、認証局(CA)に送信して証明書を取得する
CSRとキーファイルを作成するには、以下の手順に従います。既に証明書を用意している場合は、アップロードする手順に進みます。

  1. テキストエディターを開き、以下のコードをコピーペーストします。

    [ req ] prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ] countryName =
    stateOrProvinceName =
    localityName =
    organizationName =
    commonName =
    [ req_ext ] subjectAltName = @alt_names
    [alt_names] DNS.1 =
    DNS.2 =
    DNS.3 =

  2. 必要に応じて編集します。
    • countryName: アルファベット2文字の国別コードを入力します。 (例)countryName = JP
    • stateOrProvinceName: 都道府県(国によっては州/省)名を入力します。 (例)stateOrProvinceName = Kanagawa
    • localityName: 基礎自治体名(都市名または地域名)を入力します。 (例)localityName = Yokohama
    • organizationName: 組織名/会社名を入力します。 (例)ZOHO Japan
    • commonName: ウェブサイトまたはドメイン名を入力します。 (例)ec.example.com
      • コモンネームを指定してください。コモンネームにはコロン(:)などの記号は使用できません。例えばEndpoint Centralに http://ec.example.com:8020 で接続している場合、コモンネームには、"ec.example.com"を指定してください。なお、コモンネームの詳細は以下のページをご覧ください。
      • ワイルドカード証明書を利用される場合は、名称の始めに"*"を入力します。 (例)*.ec.example.com
      • Endpoint Central のデフォルトの通信ポートは http: 8020 / https: 8383 です。
    • alt_names: Subject Alternative Name (SAN)をDNS.1、DNS.2、DNS.3に入力します。
  3. テキストファイルを<installation_directory>\UEMS_Server\apache\binに、opensslsan.confとして保存します。
  4. コマンドプロンプトを開き、opensslsan.confを保存したフォルダーに移動します。

    (例) cd C:\Program Files\UEMS_Server\apache\bin

  5. 以下のコマンドを実行します。

    openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf

  6. Enter PEM pass phrase:に対して、パスフレーズを入力します。さらにVerifying - Enter PEM pass phrase:に対して、もう一度パスフレーズを入力します。
  7. server.csr および private.key が作成されます。
    詳細を確認するには、以下のコマンドを実行します。

    openssl.exe req -noout -text -in server.csr

    生成された秘密鍵 private.key ファイルは絶対に削除しないでください

  8. 作成した server.csrを認証局(CA)に送信します。詳細については、認証局のウェブサイト等をご確認ください(信頼された認証機関で署名された証明書を取得するには通常数日が必要です)。
  9. 取得したファイルを保存し、署名されたSSL証明書ファイルの名前をserver.crtとします。

 


2. 証明書をアップロードする

  1. Endpoint Central(Desktop Central)コンソール画面にAdministrator権限のあるユーザーでログインし、管理タブ > セキュリティ設定 > SSL証明のインポート をクリックして開きます。
  2. CAから取得した証明書をアップロードします。証明書は、SSLの場合は.crt、PFXの場合は.pfx形式です。
    • SSLの場合
      server.crtファイル、server.keyファイル、private.keyをアップロードします。続いて、中間証明書をアップロードするように求められます。
      [自動]を選択すると、中間証明書が自動的に検出されます(中間証明書が1つの証明書のみの場合)。
      独自の中間証明書を使用する場合や複数の中間証明書を使用する場合する場合は、[手動]を選択し、それらを手動でアップロードします。
    • PFXの場合
      .pfxファイルをアップロードする場合、CAから提供されたパスワードを入力するように求められます。
    • .pfxファイルまたは.crtファイルがEndpoint Centralサーバーで指定されたNATアドレスと一致している必要があります。
  3. [保存]をクリックします。

以上で、サードパーティ証明書がインポートされます。
Endpoint Centralサーバー(サービス)を再起動後、コンソール画面へのアクセスでは次のログイン時からSSL証明書を用いたHTTPS通信が実行されるようになります。
SSL証明書のインポートに加えて、エージェント・サーバー間の通信で証明書認証を有効化する場合、こちらの手順を実行します。

管理タブ > セキュリティ設定 > セキュリティ設定 において、証明書のインポート後における表示は次のようになります。

  • パブリック認証局で発行された証明書をインポートすると、「サードパーティのSSL証明書を使用」が有効化されます。
  • 社内認証局などのプライベート認証局で発行された証明書をインポートした場合、HTTPS通信が実行されていても、「サードパーティのSSL証明書を使用」や「エージェントとサーバー間で信頼された通信を使用する」の項目は有効化されません。

なお配信サーバーを設置している場合、エージェント・配信サーバー間の通信については自己署名証明書を用いたHTTPS通信となり、エージェント・サーバー間および配信サーバー・サーバー間の通信についてはインポートした証明祖を用いたHTTPS通信となります。

 


証明書の更新

インポート済みの証明書を更新する場合、証明書の発行と同様の手順を実行します。

  • 証明書には有効期限があるため、有効期限までに更新する必要があります。証明書の有効期限が切れた場合、証明書を更新してインポートが完了するまでMDM機能を使用してモバイルデバイスを管理することができなくなります(コンピューターの管理については、OSの設定によっては証明書の更新完了まで通信できなくなる場合があります)。
  • パブリック認証局で発行された証明書をインポートしたEndpoint Centralに対して、プライベート認証局で発行された証明書をインポートして更新することはできません。

このナレッジは、以下の記事を参考にしています。
https://www.manageengine.com/products/desktop-central/help/configuring_desktop_central/importing_ssl_certificates.html