Endpoint Central オンプレミス版 ナレッジベース

ManageEngine > サポート > Endpoint Central オンプレミス版 ナレッジベース > セキュリティ/脆弱性情報 > SSL証明書のインポート手順
戻る

SSL証明書のインポート手順

  • 作成日:2021年2月8日 | 更新日:2025年9月9日

確認ビルド: Endpoint Central 11.2.2300.30、Endpoint Central 10.1.2220.22
この記事では、Endpoint Central オンプレミス版にSSL証明書をインポートする方法について説明しています。

SSL証明書のインポート手順

1. SSL証明書の取得

証明書署名要求(CSR)を使用し、認証局(CA)に送信して証明書を取得する手順です。CSRとキーファイルを作成するには、以下の手順に従います。既に証明書を用意している場合は、証明書に指定されたCNおよびSANを確認してインポートする手順に進みます。

Endpoint Central 11.1.2242.01以降ビルドの場合

証明書をインポートする前のserver.keyおよびserver.csrファイルをバックアップとして他の場所に保管しておくことを推奨します。証明書をインポートすることで、これらのファイルは上書きされます。

  1. コマンドプロンプトを管理者として実行し、<サーバーフォルダー>\bin に移動します。

    cd C:\Program Files\ManageEngine\UEMS_CentralServer\bin

  2. generateCSR.batを実行して、csrファイルおよびkeyファイルを作成し、keyファイルの暗号化を解除します。

    3. generateCSR.bat

  3. Enter your option :が表示されたら 1 を入力しEnterキーを押します。
  4. 続いて.csrファイルの作成に必要な内容を入力することで、.csrファイルおよび.keyファイルが作成されます(入力を誤った場合は中断し、再度batファイルを実行します)。
    • Country Code (2 letter code) [IN] : にはカントリーコードを入力し、Enterキーを押します。(例)JP
    • State or Province Name (full name) [Some-State] : には都道府県名を入力し、Enterキーを押します。(例)Kanagawa
    • Locality Name (eg, city) [Chennai] : には都市名を入力し、Enterキーを押します。(例)Yokohama
    • Organization Name (eg, company) [Zoho] : には組織名を入力し、Enterキーを押します。(例)ZOHO-Japan
    • Organizational Unit Name (eg, section) [IT] : には部署名を入力し、Enterキーを押します。(例)EndpointManagement
    • Common Name (e.g. server FQDN or YOUR name) [ www.zoho.com ] : にはコモンネームを入力し、Enterキーを押します。
      CN(Common Name):証明書に対してCNは1つのみ指定でき、通常FQDNを指定します。
      (例)Endpoint Centralに https://ec.example.com:8383 で接続している場合、コモンネームには、"ec.example.com"を指定します。
      また、ワイルドカード証明書を使用する場合は、"*"を使用します。
      (例)"*.ec.example.com"を指定します。
    • Subject Alternative Names (e.g. *.zoho.com,manageengine.com)(provide the SAN values seperated by comma(,)) : にはSANを入力し、Enterキーを押します。複数ある場合半角カンマ区切りにします。
      SAN (Subject Alternative Name) :証明書に対してSANは複数指定できます。証明書を使用してHTTPS通信を実行するため、各種通信に使用されるEndpoint Centralサーバーのホスト名、IPアドレス、FQDNなどのすべてがSANに含まれることを確認してください。

      • エージェント/配信サーバーからEndpoint Centralサーバーへの通信(Endpoint CentralサーバーのIPアドレス、ホスト名、FQDN)
      • セキュアゲートウェイサーバーなど、NAT経由の通信(NAT設定のNAT FQDN)
      • ServiceDesk Plus連携をしている場合、ServiceDesk Plusサーバーとの通信(連携設定のFQDNまたはIPアドレス)
      • その他連携しているシステムとの通信
      • コンソール画面へアクセスする通信
  5. server.csr および server.key ファイルが /bin および \apache\bin に生成されます。
  6. server.csrを認証局に提出し、証明書の発行を依頼します。なおパブリック認証機関で発行するには費用と、数日程度の時間がかかります。
    • インポート可能な証明書の有効期限は、パブリック認証局(信頼された認証機関)で発行された証明書の場合397日未満に、プライベート認証局(エンタープライズ認証局)で発行された証明書の場合825日未満に設定する必要があります。
    • パブリック認証局で発行された証明書や、プライベート認証局(エンタープライズ認証局)で発行された証明書をインポート可能ですが、自己署名証明書をインポートすることはできません。
    • Endpoint CentralとServiceDesk Plusが同じサーバーマシンにインストールされている場合、同じPFXファイルを使用することも可能です(※注: ManageEngine製品は専用サーバーをご用意いただくことを推奨しております)。また、ServiceDesk Plusサーバーを別のサーバーマシンに移行するような場合は、適切なホスト名を指定するようにPFXを変更する必要があります。詳細は以下のServiceDesk Plusオンプレミス版ナレッジご覧ください。
  7. 認証機関で発行された証明書およびCAの中間証明書を受領します。
  8. 証明書のファイル名をserver.crtに変更します。
  9. 続いてインポート手順に進みます。

 

Endpoint Central 11.1.2242.01以前のビルド、およびDesktop Centralの各ビルドの場合
  1. テキストエディターを開き、以下のコードをコピーペーストします。

    [ req ] prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ] countryName =
    stateOrProvinceName =
    localityName =
    organizationName =
    commonName =
    [ req_ext ] subjectAltName = @alt_names
    [alt_names] DNS.1 =
    DNS.2 =
    DNS.3 =

  2. 必要に応じて編集します。
    • countryName: アルファベット2文字の国別コードを入力します。 (例)countryName = JP
    • stateOrProvinceName: 都道府県(国によっては州/省)名を入力します。 (例)stateOrProvinceName = Kanagawa
    • localityName: 基礎自治体名(都市名または地域名)を入力します。 (例)localityName = Yokohama
    • organizationName: 組織名/会社名を入力します。 (例)ZOHO Japan
    • commonName: コモンネームを入力します。 (例)ec.example.com
      CN(Common Name):証明書に対してCNは1つのみ指定でき、通常FQDNを指定します。
      (例)Endpoint Centralに https://ec.example.com:8383 で接続している場合、コモンネームには、"ec.example.com"を指定します。
      また、ワイルドカード証明書を使用する場合は、"*"を使用します。
      (例)"*.ec.example.com"を指定します。
    • alt_names: Subject Alternative Name (SAN)をDNS.1、DNS.2、DNS.3に入力します。
      SAN (Subject Alternative Name) :証明書に対してSANは複数指定できます。Endpoint Centralサーバーは、証明書を使用してHTTPS通信を実行するため、各種通信に使用されるEndpoint Centralサーバーのホスト名、IPアドレス、FQDNなどのすべてがSANに含まれることを確認してください。

      • エージェント/配信サーバーからEndpoint Centralサーバーへの通信(Endpoint CentralサーバーのIPアドレス、ホスト名、FQDN)
      • セキュアゲートウェイサーバーなど、NAT経由の通信(NAT設定のNAT FQDN)
      • ServiceDesk Plus連携をしている場合、ServiceDesk Plusサーバーとの通信(連携設定のFQDNまたはIPアドレス)
      • その他連携しているシステムとの通信
      • コンソール画面へアクセスする通信
  3. テキストファイルを<installation_directory>\UEMS_Server\apache\binに、opensslsan.confとして保存します。
  4. コマンドプロンプトを開き、opensslsan.confを保存したフォルダーに移動します。

    (例) cd C:\Program Files\UEMS_Server\apache\bin

  5. 以下のコマンドを実行します。

    openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf

  6. Enter PEM pass phrase:に対して、パスフレーズを入力します。さらにVerifying - Enter PEM pass phrase:に対して、もう一度パスフレーズを入力します。
  7. server.csr および private.key が作成されます。
    詳細を確認するには、以下のコマンドを実行します。

    openssl.exe req -noout -text -in server.csr

    生成された秘密鍵 private.key ファイルは絶対に削除しないでください

  8. 作成した server.csrを認証局(CA)に送信します。詳細については、認証局のウェブサイト等をご確認ください(信頼された認証機関で署名された証明書を取得するには通常数日が必要です)。
  9. 取得したファイルを保存し、署名されたSSL証明書ファイルの名前をserver.crtとします。
  10. 続いてインポート手順に進みます。

 

2. SSL証明書のインポート
  1. Endpoint Central(Desktop Central)コンソール画面にAdministrator権限のあるユーザーでログインし、「管理」タブ →「セキュリティ設定」→「SSL証明のインポート」をクリックして開きます。
  2. CAから取得した証明書をアップロードします。証明書は、SSLの場合は.crt(ADCSを使用した場合.req)、PFXの場合は.pfx形式です。
    • SSLの場合
      server.crtファイル、server.keyファイル、private.keyをアップロードします。続いて、中間証明書をアップロードするように求められます。
      [自動]を選択すると、中間証明書が自動的に検出されます(中間証明書が1つの証明書のみの場合)。
      独自の中間証明書を使用する場合や複数の中間証明書を使用する場合する場合は、[手動]を選択し、それらを手動でアップロードします。
    • PFXの場合
      .pfxファイルをアップロードする場合、CAから提供されたパスワードを入力するように求められます。
      • .pfxファイルまたは.crtファイルがEndpoint Centralサーバーで指定されたNATアドレスと一致している必要があります。
  3. [保存]をクリックします。

以上で、SSL証明書がインポートされます。Endpoint Centralサーバーサービスを再起動後、コンソール画面へのアクセスでは次のログイン時からSSL証明書を用いたHTTPS通信が実行されるようになります。

Endpoint Central セキュリティスコアへの影響
「管理」タブ →「セキュリティ設定」→「セキュリティ設定」において、証明書のインポート後によって各項目およびセキュリティスコアの値が変化します。
パブリック認証局(信頼された証明機関)で発行された証明書をインポートした場合のみ、「サードパーティのSSL証明書を使用」項目が有効化されます。社内認証局などのプライベート認証局で発行された証明書をインポートした場合、HTTPS通信が実行されていても、「サードパーティのSSL証明書を使用」や「エージェントとサーバー間で信頼された通信を使用する」の項目は有効化されません。

エージェント・サーバー間の通信に対する影響
Endpoint Centralサーバーサービスを再起動後、インポートした証明書を使用したHTTPS通信に切り替わります。
なお配信サーバーを設置している場合、エージェント~配信サーバー間の通信については自己署名証明書を用いたHTTPS通信となり、エージェント・製品サーバー間および配信サーバー・サーバー間の通信についてはインポートした証明書を用いたHTTPS通信となります。

エージェント・サーバー間の通信の安全性をさらに強化したい場合、証明書認証を有効化することも可能です。こちらをご確認ください。

 

3. SSL証明書の更新

インポート済みの証明書を更新する場合、証明書の発行と同様の手順を実行します。

  • 証明書には有効期限があるため、有効期限までに更新する必要があります。証明書の有効期限が切れた場合、証明書を更新してインポートが完了するまでMDM機能を使用してモバイルデバイスを管理することができなくなります(コンピューターの管理については、OSの設定によっては証明書の更新完了まで通信できなくなる場合があります)。
  • これまでパブリック認証局で発行された証明書をインポートしていたEndpoint Centralサーバーに対して、プライベート認証局で発行された証明書を使用して更新することはできません。

このナレッジは、以下の記事を参考にしています。
https://www.manageengine.com/products/desktop-central/help/configuring_desktop_central/importing_ssl_certificates.html
 

このナレッジの総閲覧回数: 3,099

関連ナレッジ:

  1. Endpoint Centralサーバーの移行方法
  2. 【既知の不具合】ServiceDesk Plusと連携した環境において、Red Hatのインベントリスキャン(資産スキャン)に失敗する
  3. ServiceDesk Plusと連携すると、どんなメリットがありますか?
  4. SSL証明書がADで見つからないか、指定のポート番号が到達不能です。

タグ: