Desktop Central オンプレミス版 ナレッジベース

SSL証明書のインポート手順


この記事では、Desktop Centralにサードパーティ証明書をインストールする方法について説明しています。

SSL証明書のインポート手順

Desktop Centralは、SSLおよびPFX証明書の使用をサポートしています。これらの証明書をDesktop Centralに追加すると、Desktop Centralサーバー・管理対象間の通信がHTTPS通信となり保護されます。
証明書には有効期限があるため、有効期限までに更新する必要があります。証明書の有効期限が切れた場合、証明書を更新してDesktop Centralサーバーにアップロードするまで、モバイルデバイスを管理することはできません。

サードパーティの証明書を作成/更新およびアップロードするには、以下の手順に従ってください。

(A) SSL証明書のインポート

1. CSRとキーファイルを作成する

CSRとキーファイルを作成するには、以下の手順に従います。

  1. テキストエディターを開き、以下のコードをコピーペーストします。

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName =
    stateOrProvinceName =
    localityName =
    organizationName =
    commonName =
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 =
    DNS.2 =
    DNS.3 =

  2. 必要に応じて編集します。
    • countryName: アルファベット2文字の国別コードを入力します。 (例)countryName = JP
    • stateOrProvinceName: 都道府県(国によっては州/省)名を入力します。 (例)stateOrProvinceName = Kanagawa
    • localityName: 基礎自治体名(都市名または地域名)を入力します。 (例)localityName = Yokohama
    • organizationName: 組織名/会社名を入力します。 (例)ZOHO Japan
    • commonName: ウェブサイトまたはドメイン名を入力します。 (例)dc.example.com
      • こちらにはコモンネームを指定してください。コモンネームにはコロン(:)などの記号は使用できませんので、例えばDesktop Centralに http://dc.example.com:8020 で接続している場合、コモンネームには、"dc.example.com"を指定してください。なお、コモンネームの詳細は以下のページをご覧ください。
      • ワイルドカード証明書を利用される場合は、名称の始めに"*"を入力します。 (例)*.dc.example.com
      • httpsで接続する際のWebサーバポート番号は443となります。Desktop Centralインストール時のデフォルトの番号は http: 8020 / https: 8383 ですので、証明書のインストール後にポート番号を443に変更します。
    • alt_names: Subject Alternative Name (SAN)をDNS.1、DNS.2、DNS.3に入力します。
  3. テキストファイルを<installation_directory>\DesktopCentral_Server\apache\binに、opensslsan.confとして保存します。
  4. コマンドプロンプトを開き、opensslsan.confを保存したフォルダーに移動します。

    dc C:\Program Files\DesktopCentral_Server\apache\bin

  5. 以下のコマンドを実行します。

    openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf

  6. Enter PEM pass phrase:に対して、パスフレーズを入力します。さらにVerifying - Enter PEM pass phrase:に対して、もう一度パスフレーズを入力します。
  7. server.csr および private.key が作成されます。
    詳細を確認するには、以下のコマンドを実行します。

    openssl.exe req -noout -text -in server.csr

    生成された秘密鍵 private.key ファイルは絶対に削除しないでください

 

2. CSRを認証局(CA)に送信して、CA署名付き証明書を取得する
  1. 作成した server.csrをCAに送信します。詳細については、ウェブサイト等をご確認ください。
  2. CA署名付きの証明書を取得するには通常数日必要です。
  3. 取得したファイルを保存し、署名されたSSL証明書ファイルの名前をserver.crtとします。

 

3. サードパーティ証明書をDesktopCentralにアップロードする
  1. Desktop Centralコンソール画面にAdministrator権限のあるユーザーでログインし、管理タブ > セキュリティ設定 > SSL証明のインポート をクリックして開きます。
  2. CAから取得した証明書をアップロードします。証明書は、SSLの場合は.crt、PFXの場合は.pfx形式です。
    • SSLの場合
      server.crtファイル、server.keyファイル、private.keyをアップロードします。続いて、中間証明書をアップロードするように求められます。
      [自動]を選択すると、中間証明書が自動的に検出されます(中間証明書が1つの証明書のみの場合)。
      独自の中間証明書を使用する場合や複数の中間証明書を使用する場合する場合は、[手動]を選択し、それらを手動でアップロードします。
    • PFXの場合
      .pfxファイルをアップロードする場合、CAから提供されたパスワードを入力するように求められます。
    • .pfxファイルまたは.crtファイルがDesktop Centralサーバーで指定されたNATアドレスと一致している必要があります。
  3. [保存]をクリックします。

以上で、サードパーティ証明書がDesktop Centralサーバーに正常にインポートされます。これらの証明書は、通信においてHTTPSが有効になっている場合に使用されます。HTTPSを有効にする方法はこちらをご覧ください。

Desktop CentralとServiceDesk Plusが同じコンピューターにインストールされている場合、同じPFXファイルが機能します(※注: ManageEngine製品は専用サーバーをご用意いただくことを強く推奨しております)。
上記の場合、ServiceDesk Plusサーバーを別のコンピューターに移動する場合は、適切なホスト名を指定するようにPFXを変更する必要があります。


ServiceDesk Plusオンプレミス版の証明書インストールに関するナレッジは以下をご覧ください。

このナレッジは、以下の記事を参考にしています。
https://www.manageengine.com/products/desktop-central/help/configuring_desktop_central/importing_ssl_certificates.html