Patch Manager Plus オンプレミス版 ナレッジベース

この記事では、Patch Manager PlusにSSL証明書をインストールする方法について説明しています。

SSL証明書のインポート手順（Patch Manager Plus 11.2.2300.30以上の場合）

SSL証明書（SSLサーバー証明書）をPatch Manager Plusにアップロードするには、以下の手順を実行します。

SSL証明書の作成とインポート

1. CSRとキーファイルを作成する

CSRとキーファイルを作成するには、以下の手順に従います。

1. 既に存在する「server.key」および「server.csr」のファイルをコピーして、別の場所にバックアップとして保存しておきます。（これら２つのファイルが、以降の手順で上書きされるためです。）
   • 「server.key」は、<サーバーインストールディレクトリ>\nginx\conf にあります
     （<サーバーインストールディレクトリ>は C:\Program Files\UEMS_CentralServer などです）。
   • 「server.csr」は、<サーバーインストールディレクトリ>\bin にあります（以前に作成したことがある場合のみ）。
2. コマンドプロンプトを「管理者として実行」して、<サーバーインストールディレクトリ>\bin にある「generateCSR.bat」を実行します。
3. 「generateCSR.bat」を実行すると、以下の３つが表示されます。
   1. Generate CSR and Key file
   2. Decrypt the private key
   3. Exit
4. ここでは .csr ファイルと .key ファイルを生成するため、１を入力します。
5. アルファベット2文字の国名コードを入力します。日本の場合はJPです。それ以外の国と地域の場合は、こちら（外部リンク）を参照してください。なお、国名コードを誤って入力した場合は、batファイルを再実行してください。
6. .csrファイルの生成に必要な情報を指定します。
   • State or Province Name (full name) [Some-State] ： 都道府県（国によっては州/省）名を入力します。（例）Kanagawa
   • Locality Name (eg, city) [Chennai] ： 基礎自治体名（都市名または地域名）を入力します。（例）Yokohama
   • Organization Name (eg, company) [ ZOHO ] ： 組織名/会社名を入力します。（例）ZOHO Japan
   • Organizational Unit Name (eg, section) [IT] ： （例）IT
   • Common Name (e.g. server FQDN or YOUR name) [ www.zoho.com ]： コモンネームを指定します。
     • コモンネームを指定してください。コモンネームにはコロン(:)などの記号は使用できません。例えばPatch Manager Plusに http://ptm.example.com:8020 で接続している場合、コモンネームには、"ptm.example.com"を指定してください。なお、コモンネームの詳細は以下のページをご覧ください。
       • Common Name（コモンネーム）（外部リンク）
     • ワイルドカード証明書を利用する場合は、名称の始めに"*"を入力します。 (例)*.ptm.example.com
   • Subject Alternative Names (e.g. *.zoho.com,manageengine.com)(provide the SAN values seperated by comma(,)) ： SANをカンマ区切りで入力します。
7. 以上により、「server.key」および「server.csr」が <サーバーインストールディレクトリ>\bin に生成されます。

2. CSRを認証局（CA）に送信して、CA署名付き証明書を取得する

1. 作成した server.csr をCAに送信します。CSRの送信方法については、CAのWebサイトや各種ドキュメントをご確認ください。
2. CA署名付きの証明書を取得するには通常数日必要です。
3. 取得したファイルを保存し、署名されたSSL証明書ファイルの名前をserver.crtに変更します。

3. サードパーティ証明書をPatch Manager Plusにアップロードする

1. Patch Manager Plusにログインし、［管理］タブ → ［セキュリティ設定］ → ［SSL証明のインポート］ をクリックします。
2. CAから取得した証明書をアップロードします。証明書は、SSLの場合は.crt、PFXの場合は.pfx形式です。
   • SSLの場合
     server.crtファイルをアップロードすると、続いて.keyファイルをアップロードするよう、画面に表示されます。server.keyをアップロードします。さらに続いて、中間証明書をアップロードするように求められます。
     「自動」を選択すると、中間証明書が自動的に検出されます（中間証明書が1つの証明書のみの場合）。
     独自の中間証明書を使用する場合や複数の中間証明書を使用する場合は、「手動」を選択し、それらを手動でアップロードします。
   • PFXの場合
     .pfxファイルをアップロードする場合、CAから提供されたパスワードを入力するように求められます。
3. 「保存」をクリックします。以上で証明書のインポートが完了します。
4. インポートされた証明書をPatch Manager PlusのWebサーバーに読み込ませるため、Patch Manager Plusのサービスを再起動します（「services.msc」から「ManageEngine UEMS - Server」を再起動してください）。

以上により、証明書がエージェント・サーバー間のHTTPS通信などにおいて使用されるようになります。

SSL証明書のインポート手順（Patch Manager Plus 10.1.2220.22以下の場合）

SSL証明書（SSLサーバー証明書）をPatch Manager Plusにアップロードするには、以下の手順を実行します。

SSL証明書の作成とインポート

1. CSRとキーファイルを作成する

CSRとキーファイルを作成するには、以下の手順に従います。

1. テキストエディターを開き、以下のコードをコピーペーストします。
   

   [ req ] prompt=no
   default_bits = 2048
   distinguished_name = req_distinguished_name
   req_extensions = req_ext
   [ req_distinguished_name ] countryName =
   stateOrProvinceName =
   localityName =
   organizationName =
   commonName =
   [ req_ext ] subjectAltName = @alt_names
   [alt_names] DNS.1 =
   DNS.2 =
   DNS.3 =

2. 必要に応じて編集します。
   • countryName: アルファベット2文字の国別コードを入力します。 (例)countryName = JP
   • stateOrProvinceName: 都道府県(国によっては州/省)名を入力します。 (例)stateOrProvinceName = Kanagawa
   • localityName: 基礎自治体名(都市名または地域名)を入力します。 (例)localityName = Yokohama
   • organizationName: 組織名/会社名を入力します。 (例)ZOHO Japan
   • commonName: ウェブサイトまたはドメイン名を入力します。 (例)ptm.example.com
     • コモンネームを指定してください。コモンネームにはコロン(:)などの記号は使用できません。例えばPatch Manager Plusに http://ptm.example.com:8020 で接続している場合、コモンネームには、"ptm.example.com"を指定してください。なお、コモンネームの詳細は以下のページをご覧ください。
       • Common Name（コモンネーム）(外部リンク)
     • ワイルドカード証明書を利用される場合は、名称の始めに"*"を入力します。 (例)*.ptm.example.com
     • Patch Manager Plusのデフォルトの通信ポートは http: 8020 / https: 8383 です。
   • alt_names: Subject Alternative Name (SAN)をDNS.1、DNS.2、DNS.3に入力します。
3. テキストファイルを<installation_directory>\UEMS_Server\apache\binに、opensslsan.confとして保存します。
4. コマンドプロンプトを開き、opensslsan.confを保存したフォルダーに移動します。
   

   (例) cd C:\Program Files\UEMS_Server\apache\bin

5. 以下のコマンドを実行します。
   

   openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf

6. Enter PEM pass phrase:に対して、パスフレーズを入力します。さらにVerifying - Enter PEM pass phrase:に対して、もう一度パスフレーズを入力します。
7. server.csr および private.key が作成されます。
   詳細を確認するには、以下のコマンドを実行します。

   openssl.exe req -noout -text -in server.csr

   生成された秘密鍵 private.key ファイルは絶対に削除しないでください。

2. CSRを認証局（CA）に送信して、CA署名付き証明書を取得する

1. 作成した server.csrをCAに送信します。詳細については、ウェブサイト等をご確認ください。
2. CA署名付きの証明書を取得するには通常数日必要です。
3. 取得したファイルを保存し、署名されたSSL証明書ファイルの名前をserver.crtとします。

3. サードパーティ証明書をPatch Manager Plusにアップロードする

1. コンソール画面にAdministrator権限のあるユーザーでログインし、管理タブ > セキュリティ設定 > SSL証明のインポート をクリックして開きます。
2. CAから取得した証明書をアップロードします。証明書は、SSLの場合は.crt、PFXの場合は.pfx形式です。
   • SSLの場合
     server.crtファイル、server.keyファイル、private.keyをアップロードします。続いて、中間証明書をアップロードするように求められます。
     [自動]を選択すると、中間証明書が自動的に検出されます(中間証明書が1つの証明書のみの場合)。
     独自の中間証明書を使用する場合や複数の中間証明書を使用する場合する場合は、[手動]を選択し、それらを手動でアップロードします。
   • PFXの場合
     .pfxファイルをアップロードする場合、CAから提供されたパスワードを入力するように求められます。
   .pfxファイルまたは.crtファイルがPatch Manager Plusサーバーで指定されたNATアドレスと一致している必要があります。
3. [保存]をクリックします。

以上で、サードパーティ証明書がPatch Manager Plusサーバーに正常にインポートされます。この証明書はエージェント・サーバー間のHTTPS通信や製品ユーザーがコンソール画面へアクセスする際に使用されます。
 

このナレッジは、以下の記事を参考にしています。
https://www.manageengine.com/products/desktop-central/help/configuring_desktop_central/importing_ssl_certificates.html