OpManager ナレッジベース

ManageEngine > サポート > OpManager ナレッジベース > 設定と操作 > SSLサーバ証明書の作成/インポート方法
戻る

SSLサーバ証明書の作成/インポート方法

  • 作成日:2014年9月4日 | 更新日:2022年11月1日

現象/要望

SSL通信時に自己署名証明書を利用せず、認証局から認証を受けた証明書を利用するための
証明書の作成とインポート方法を教えてほしい。
※SSL化の設定方法及び自己署名証明書の利用方法はこちら

設定手順

ご利用のビルド番号により、手順が異なります。
※ビルド番号の確認方法はこちら

ビルド12.3.186以降

※既に認証局から認証を受けた証明書を入手している場合は、手順4から行ってください

  1. [設定]->[一般設定](ビルドによっては[基本設定])->[セキュリティ設定]より[セキュアモード]を有効にし、[CSRの作成]を選択
  2. 認証局に提出するCSRファイルを作成するために必要な情報を入力し、[作成]を実行
    (CSRファイルと秘密鍵がzip形式でダウンロードされます)
  3. CSRファイルを認証局に提出し、証明書を入手
  4. 手順1と同じ画面から、[証明書のインポート]より以下の手順を実行
    CERファイルとKEYファイルを利用して証明書をインポートする場合

    証明書(CERファイル)を選択後、秘密鍵(KEYファイル)を選択し[取得]を選択し、[インポート]を実行
    ※場合によっては追加で中間証明書またはルート証明書のアップロードを促されます

    KEYSTOREファイルまたはPFXファイルを利用して証明書をインポートする場合

    ファイルを選択後、パスワードを入力し、[エイリアス取得]を実行
    正常に処理が完了したら、[取得]を選択し、[インポート]を実行

  5. OpManagerを再起動

ビルド12.3.170以前

※既にJava keytool等を使用して作成したkeystoreファイルで認証局にサーバー証明書の発行を依頼している場合:

<OpManagerインストールフォルダ>\conf\配下に「OpManager.truststore」とファイル名をリネームして配置します。
そして、ステップ3より開始します。

conf\OpManager.truststore のフルパスとして、
例:C:\ManageEngine\OpManager\conf\OpManager.truststore
と指定し、設定します。

※ステップ1の1でエラーが発生する場合:

 

\conf\OpManager.truststore ファイルを削除します。

ステップ1:Keystoreの作成

  1. keytoolコマンドを使用してKeystoreファイルを生成/管理します。管理者権限でコマンドプロンプトを起動し、<OpManager インストールフォルダ>\に移動します。次のコマンドを実行します:

    Windowsの場合:
    >jre\bin\keytool.exe -v -genkey -keyalg RSA -keystore conf\OpManager.truststore -alias opmanager
    (OR)
    >jre\bin\keytool.exe -v -genkey -keyalg RSA -keystore conf\OpManager.truststore -alias opmanager -keysize 2048 (for 2048 bit key)

    Linuxの場合:
    # jre/bin/keytool -v -genkey -keyalg RSA -alias opmanager -keystore conf/OpManager.truststore

  2. キーストアのパスワードを入力してください: 6文字以上のパスワードを設定します。 [Enter]
  3. 姓名を入力してください。
    [Unknown]: OpManagerをインストールしているサーバ名のFQDNを入力します。 例:opmserver.manageengine.com [Enter]
  4. 組織単位名を入力してください。
    [Unknown]: 組織単位名を入力します。 例:SYSADMIN [Enter]
  5. 組織名を入力してください。
    [Unknown]: 組織名を入力します。 例:Zoho Japan [Enter]
  6. 都市名または地域名を入力してください。
    [Unknown]: 都市名または地域名を入力します。 例:Minatomirai [Enter]
  7. 州名または地方名を入力してください。
    [Unknown]: 都道府県を入力します。 例:Tokyo [Enter]
  8. この単位に該当する2文字の国番号を入力してください。
    [Unknown]: 2文字の国番号を入力します。 例:JP [Enter]
  9. その後表示された情報に間違いがない場合、「y」または「yes」と入力し、[Enter]を押下します。
  10. パスワードの確認を求められます。選択したパスワードを確認します。
    <OpManager インストールフォルダ>\conf\OpManager.truststoreが作成されます。

ステップ2:keystoreからCSRを作成

  1. ステップ1で作成したkeystoreからkeytoolを使用してCSR(Certificate Signning Request)を作成します。次のコマンドを実行します:

    Windowsの場合:
    > jre\bin\keytool.exe -v -certreq -file conf\opmssl.csr -keystore conf\OpManager.truststore -alias opmanager

    Linuxの場合:
    # jre/bin/keytool -v -certreq -alias opmanager -keystore conf/OpManager.truststore -file conf/opmssl.csr

  2. ステップ1で設定したkeystoreのパスワードを入力します。
  3. <OpManagerインストールディレクトリ>conf\配下にopmssl.csrが作成されます。
  4. CSRファイルの内容を、CA(認証局)のWebフォームにコピーします。
    後ほど使用するため、keystoreファイル(conf\OpManager.truststore)を保存するようにご注意ください。

ステップ3:SSL証明書のインポート方法

  1. 認証局から届いた証明書を<OpManager インストールフォルダ>\conf 配下に「ServerCert.cer」の名前で保存します。
    証明書は適切なkeystoreにインストールする必要があります。
    違うkeystoreにインストールをした場合、SSL証明は動作しません。つまり、ダウンロードした証明書はステップ1、2で作成/使用したkeystoreにインストールする必要があります。
    適切にインストールされない場合、証明書は適切に認証されません。
  2. <OpManager インストールフォルダ>\conf 配下に、認証局から届いたルート証明書を「CARoot.cer」中間証明書を「CAIntermediate.cer」の名前で保存します。
    ※認証局により、いくつかの証明書をインストールするよう指示されます。認証局の指示に従い、正しくインストールします。2-1) ルート証明書のインポート:

    • 証明書をkeystoreにインポートする度にCSR作成時に選択したパスワードを使用します。
    • 次のコマンドを実行してルート証明書をインストールします:

    Windowsの場合:
    jre\bin\keytool.exe -import -trustcacerts -file conf\CARoot.cer -keystore conf\OpManager.truststore -alias CARootCert

    Linuxの場合:
    # jre/bin/keytool -import -alias CARootCert -keystore conf/OpManager.truststore -file conf/CARoot.cer

    メモ:次のようなメッセージが表示される場合、'Yes'を入力します。"Certificate already exists in system-wide CA keystore under alias <entrustsslca> Do you still want to add it to your own keystore?[no]:""Certificate was added to keystore"のように確認できます。

    2-2) 必要な場合は、中間証明書をインストールします。(CAによって指示される場合)

    • 次のコマンドを実行してプライマリ証明書をインストールします:

    Windowsの場合:
    jre\bin\keytool.exe -import -trustcacerts -file conf\CAIntermediate.cer -keystore conf\OpManager.truststore -alias CAInterCert

    Linuxの場合
    # jre/bin/keytool -import -alias CAInterCert -keystore conf/OpManager.truststore -file conf/CAIntermediate.cer

    メモ:"Certificate reply was installed in keystore"のようなメッセージが表示され、証明書をインストールする場合は、'y'または'yes'を選択します。証明書がkeystoreにイ ンストールされました。このkeystoreを使用するにはサーバの設定を行う必要があります。

  3. 次のコマンドを実行し、サーバ証明書をインポートします。

    Windowsの場合:
    jre\bin\keytool.exe -import -trustcacerts -file conf\ServerCert.cer -keystore conf\OpManager.truststore -alias opmanager

    Linuxの場合:
    # jre/bin/keytool -import -alias opmanager -keystore conf/OpManager.truststore -file conf/ServerCert.cer

  4. Tomcatを設定します。
    1. <OpManagerインストールフォルダ>\tomcat\conf\backup\ 配下にあるssl_server.xmlファイルをテキストエディタで開きます。
    2. keystoreFile」と検索し、値として「WEBNMS_ROOT_DIR/conf/OpManager.truststore」と設定します。
    3. keystorePass」と検索し、値としてKeystoreに設定したパスワードを入力します。
  5. confファイルを編集します。
    1. <OpManagerインストールフォルダ>\conf\配下にあるOpManagerStartUp.propertiesファイルを開きます。
    2. https」と検索し、値として「Enable」と入力します。
  6. OpManagerサービスを起動し、https://[OpManagerサーバのIPアドレスまたはDNS名]:80で接続します。

【対応リリース】 x.x 以降

★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/index.html
★-----------------------------------------------------------------------------★

このナレッジの総閲覧回数: 10,995

関連ナレッジ:

  1. PostgreSQLを使用したバックアップ・リストアの方法を知りたい(ビルド9450,10100対応)
  2. ファイル監視においてファイルが存在しているにもかかわらず、ファイルが無いと検知されてしまう。
  3. postgreSQLに接続できない。(エラー:psql: FATAL: no pg_hba.conf entry for host "::1", user "postgres",)
  4. initDB.batの実行方法手順