EventLog Analyzer ナレッジベース

AD CS(Active Directory Certificate Services)のSSL証明書を使用したhttps通信の設定方法


本ナレッジでは、AD CS(Active Directory Certificate Services)のSSL証明書を使用し、EventLog Analyzerウェブコンソールへの通信を https に変更する手順をご案内します。

前提条件

・EventLog AnalyzerがWindowsサーバーにインストールされていること
・当該Windowsサーバーにて、以下の役割が追加され、正常に起動していること (「サーバーマネージャー」よりご確認ください)
- AD CS(Active Directory 証明書サービス)

手順

1. EventLog Analyzerが正常に起動していることを確認します
2. EventLog Analyzer画面上より、[設定]タブ >> [システム設定] >> [接続設定] >> [一般設定] に移動します
3. 画面中央の[SSLを有効化]のチェックボックスにチェックを入れ、[保存]をクリックします
4. インストールサーバーにて管理者権限でコマンドプロンプトを開き、以下のディレクトリーに移動します
\ManageEngine\EventLog Analyzer\jre\bin

5. 以下のコマンドを実行します。
※keystoreファイルを作成するコマンドとなります
keytool -genkey -alias tomcat -keypass [キーツールのパスワード] -keyalg RSA -validity 1000 -keystore [キーファイル名].keystore
コマンドの実行例:([キーツールのパスワード]=Zaq12wsx、[キーファイル名]=ela の場合)
keytool -genkey -alias tomcat -keypass Zaq12wsx -keyalg RSA -validity 1000 -keystore ela.keystore

※注意
本コマンドは、パスワードおよび項目の入力が必要となります。
パスワードにはコマンドで指定したパスワードを入力します。
「姓名は何ですか」はCommon Name(CN)の項目です。こちらは証明書を使用するEventLog AnalyzerサーバーのCommon Nameを入力します。
例) http://fujimoto-win:8400 がEventLog AnalyzerのウェブアクセスのURLの場合、Common Nameは「fujimoto-win」となります。

6. 以下のコマンドを実行します
※csrファイルを作成するコマンドとなります。
keytool -certreq -alias tomcat -keyalg RSA -keystore [キーファイル名].keystore -file [csrファイル名].csr
コマンドの実行例:([キーファイル名]=ela、[csrファイル名]=ela の場合)
keytool -certreq -alias tomcat -keyalg RSA -keystore ela.keystore -file ela.csr


※パスワードは手順 5. で指定したものを使用します

7. \ManageEngine\EventLog Analyzer\jre\binフォルダー配下に、作成した keystoreファイル と csrファイルが存在することを確認します
8. 当該 csrファイルをテキストエディターで開き、内容をすべてコピーします

9. インストールサーバーにて、Internet Explorer等のブラウザーを起動し、以下のURL(サーバーのActive Directory 証明書サービス)にアクセスします
http://[サーバー名もしくはIPアドレス]/certsrv/
※エンタープライズCAを使用している場合は、ドメイン認証情報の入力が必要となる場合があります。

10. 画面上にて、[証明書を要求する] >> [証明書の要求の詳細設定] >> [Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信するか、または Base 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信する。] をクリックし、以下の項目を入力し、[送信]をクリックします
・保存された要求 >> 手順8. でコピーした内容の貼り付け
・証明書テンプレート >> 「Webサーバー」を選択

11. 同一画面上にて、画面右上の[ホーム] >> [CA 証明書、証明書チェーン、または CRL のダウンロード] をクリックします
12. [エンコード方式]にて「Base 64」を選択し、[CA 証明書チェーンのダウンロード]をクリックします
※当該csrファイル情報に基づいた「certnew.p7b」(PKCS #7証明書)がダウンロードされます
13. 同一画面上にて、画面右上の[ホーム] >> [CA 証明書、証明書チェーン、または CRL のダウンロード] をクリックします
14. [エンコード方式]にて「Base 64」を選択し、[CA 証明書のダウンロード]をクリックします
※当該csrファイル情報に基づいた「certnew.cer」(セキュリティ証明書)がダウンロードされます

15. 上記の手順にダウンロードした certnew.p7b および certnew.cer を、\ManageEngine\EventLog Analyzer\jre\binフォルダー配下に配置します
16. 再びコマンドプロンプトに移動し、以下のコマンドを実行します
※手順5. にて作成した keystoreファイルに「certnew.p7b」をバインドするコマンドとなります。
Keytool -import -trustcacerts -alias tomcat -file certnew.p7b -keystore [キーファイル名].keystore
コマンドの実行例:([キーファイル名]=ela の場合)
Keytool -import -trustcacerts -alias tomcat -file certnew.p7b -keystore ela.keystore

17. \ManageEngine\EventLog Analyzer\confフォルダー配下の「server.xml」をコピーし、バックアップとして任意の場所に複製します
18. 「server.xml」をテキストエディターで開き、最下部のConnectorタグ内の2つのフィールドである「keystoreFile」(ファイルの場所)と「keystorePass」(ファイルのパスワード)を上記の手順で設定した値に変更します
※以下、設定例となります。太文字の部分が変更箇所となります

<Connector SSLEnabled="true"
acceptCount="100"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256"
clientAuth="false"
connectionTimeout="20000"
debug="0"
disableUploadTimeout="true"
emptySessionPath="true"
enableLookups="false"
keystoreFile="./jre/bin/ela.keystore"
keystorePass="Zaq12wsx"
maxSpareThreads="75"
maxThreads="150"
minSpareThreads="25"
name="SSL"
port="8445"
scheme="https"
secure="true"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
sslProtocol="TLS"/>

19. EventLog Analyzerサービスを再起動し、https通信でUI画面にアクセスできることを確認します
※デフォルトのアクセスURLは「https://サーバー名:8445」となります。

※補足
https から http の通信に戻す場合は、以下の手順より実施いただけます。
・EventLog Analyzerの画面設定より、[SSLを有効化]のチェックを外す >> EventLog Analyzerサービスの再起動

以上となります。