SSLサーバ証明書の作成/インポート方法
作成日:2014年9月4日 | 更新日:2022年11月1日
現象/要望
SSL通信時に自己署名証明書を利用せず、認証局から認証を受けた証明書を利用するための
証明書の作成とインポート方法を教えてほしい。
※SSL化の設定方法及び自己署名証明書の利用方法はこちら
設定手順
ご利用のビルド番号により、手順が異なります。
※ビルド番号の確認方法はこちら
ビルド12.3.186以降
※既に認証局から認証を受けた証明書を入手している場合は、手順4から行ってください
- [設定]->[一般設定](ビルドによっては[基本設定])->[セキュリティ設定]より[セキュアモード]を有効にし、[CSRの作成]を選択
- 認証局に提出するCSRファイルを作成するために必要な情報を入力し、[作成]を実行
(CSRファイルと秘密鍵がzip形式でダウンロードされます) - CSRファイルを認証局に提出し、証明書を入手
- 手順1と同じ画面から、[証明書のインポート]より以下の手順を実行
CERファイルとKEYファイルを利用して証明書をインポートする場合
証明書(CERファイル)を選択後、秘密鍵(KEYファイル)を選択し[取得]を選択し、[インポート]を実行
※場合によっては追加で中間証明書またはルート証明書のアップロードを促されますKEYSTOREファイルまたはPFXファイルを利用して証明書をインポートする場合
ファイルを選択後、パスワードを入力し、[エイリアス取得]を実行
正常に処理が完了したら、[取得]を選択し、[インポート]を実行 - OpManagerを再起動
ビルド12.3.170以前
※既にJava keytool等を使用して作成したkeystoreファイルで認証局にサーバー証明書の発行を依頼している場合:
<OpManagerインストールフォルダ>\conf\配下に「OpManager.truststore」とファイル名をリネームして配置します。
そして、ステップ3より開始します。
conf\OpManager.truststore のフルパスとして、
例:C:\ManageEngine\OpManager\conf\OpManager.truststore
と指定し、設定します。
※ステップ1の1でエラーが発生する場合:
\conf\OpManager.truststore ファイルを削除します。
ステップ1:Keystoreの作成
- keytoolコマンドを使用してKeystoreファイルを生成/管理します。管理者権限でコマンドプロンプトを起動し、<OpManager インストールフォルダ>\に移動します。次のコマンドを実行します:
Windowsの場合:
>jre\bin\keytool.exe -v -genkey -keyalg RSA -keystore conf\OpManager.truststore -alias opmanager
(OR)
>jre\bin\keytool.exe -v -genkey -keyalg RSA -keystore conf\OpManager.truststore -alias opmanager -keysize 2048 (for 2048 bit key)Linuxの場合:
# jre/bin/keytool -v -genkey -keyalg RSA -alias opmanager -keystore conf/OpManager.truststore - キーストアのパスワードを入力してください: 6文字以上のパスワードを設定します。 [Enter]
- 姓名を入力してください。
[Unknown]: OpManagerをインストールしているサーバ名のFQDNを入力します。 例:opmserver.manageengine.com [Enter] - 組織単位名を入力してください。
[Unknown]: 組織単位名を入力します。 例:SYSADMIN [Enter] - 組織名を入力してください。
[Unknown]: 組織名を入力します。 例:Zoho Japan [Enter] - 都市名または地域名を入力してください。
[Unknown]: 都市名または地域名を入力します。 例:Minatomirai [Enter] - 州名または地方名を入力してください。
[Unknown]: 都道府県を入力します。 例:Tokyo [Enter] - この単位に該当する2文字の国番号を入力してください。
[Unknown]: 2文字の国番号を入力します。 例:JP [Enter] - その後表示された情報に間違いがない場合、「y」または「yes」と入力し、[Enter]を押下します。
- パスワードの確認を求められます。選択したパスワードを確認します。
<OpManager インストールフォルダ>\conf\にOpManager.truststoreが作成されます。
ステップ2:keystoreからCSRを作成
- ステップ1で作成したkeystoreからkeytoolを使用してCSR(Certificate Signning Request)を作成します。次のコマンドを実行します:
Windowsの場合:
> jre\bin\keytool.exe -v -certreq -file conf\opmssl.csr -keystore conf\OpManager.truststore -alias opmanagerLinuxの場合:
# jre/bin/keytool -v -certreq -alias opmanager -keystore conf/OpManager.truststore -file conf/opmssl.csr - ステップ1で設定したkeystoreのパスワードを入力します。
- <OpManagerインストールディレクトリ>conf\配下にopmssl.csrが作成されます。
- CSRファイルの内容を、CA(認証局)のWebフォームにコピーします。
後ほど使用するため、keystoreファイル(conf\OpManager.truststore)を保存するようにご注意ください。
ステップ3:SSL証明書のインポート方法
- 認証局から届いた証明書を<OpManager インストールフォルダ>\conf 配下に「ServerCert.cer」の名前で保存します。
証明書は適切なkeystoreにインストールする必要があります。
違うkeystoreにインストールをした場合、SSL証明は動作しません。つまり、ダウンロードした証明書はステップ1、2で作成/使用したkeystoreにインストールする必要があります。
適切にインストールされない場合、証明書は適切に認証されません。 - <OpManager インストールフォルダ>\conf 配下に、認証局から届いたルート証明書を「CARoot.cer」、中間証明書を「CAIntermediate.cer」の名前で保存します。
※認証局により、いくつかの証明書をインストールするよう指示されます。認証局の指示に従い、正しくインストールします。2-1) ルート証明書のインポート:- 証明書をkeystoreにインポートする度にCSR作成時に選択したパスワードを使用します。
- 次のコマンドを実行してルート証明書をインストールします:
Windowsの場合:
jre\bin\keytool.exe -import -trustcacerts -file conf\CARoot.cer -keystore conf\OpManager.truststore -alias CARootCertLinuxの場合:
# jre/bin/keytool -import -alias CARootCert -keystore conf/OpManager.truststore -file conf/CARoot.cerメモ:次のようなメッセージが表示される場合、'Yes'を入力します。"Certificate already exists in system-wide CA keystore under alias <entrustsslca> Do you still want to add it to your own keystore?[no]:""Certificate was added to keystore"のように確認できます。
2-2) 必要な場合は、中間証明書をインストールします。(CAによって指示される場合)
- 次のコマンドを実行してプライマリ証明書をインストールします:
Windowsの場合:
jre\bin\keytool.exe -import -trustcacerts -file conf\CAIntermediate.cer -keystore conf\OpManager.truststore -alias CAInterCertLinuxの場合
# jre/bin/keytool -import -alias CAInterCert -keystore conf/OpManager.truststore -file conf/CAIntermediate.cerメモ:"Certificate reply was installed in keystore"のようなメッセージが表示され、証明書をインストールする場合は、'y'または'yes'を選択します。証明書がkeystoreにイ ンストールされました。このkeystoreを使用するにはサーバの設定を行う必要があります。
- 次のコマンドを実行し、サーバ証明書をインポートします。
Windowsの場合:
jre\bin\keytool.exe -import -trustcacerts -file conf\ServerCert.cer -keystore conf\OpManager.truststore -alias opmanagerLinuxの場合:
# jre/bin/keytool -import -alias opmanager -keystore conf/OpManager.truststore -file conf/ServerCert.cer - Tomcatを設定します。
- <OpManagerインストールフォルダ>\tomcat\conf\backup\ 配下にあるssl_server.xmlファイルをテキストエディタで開きます。
- 「keystoreFile」と検索し、値として「WEBNMS_ROOT_DIR/conf/OpManager.truststore」と設定します。
- 「keystorePass」と検索し、値としてKeystoreに設定したパスワードを入力します。
- confファイルを編集します。
- <OpManagerインストールフォルダ>\conf\配下にあるOpManagerStartUp.propertiesファイルを開きます。
- 「https」と検索し、値として「Enable」と入力します。
- OpManagerサービスを起動し、https://[OpManagerサーバのIPアドレスまたはDNS名]:80で接続します。
【対応リリース】 x.x 以降
★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/index.html
★-----------------------------------------------------------------------------★