ステップ 2: 署名証明書

証明書署名要求 (CSR) を BigFix Inventory にアップロードできる証明書に変換するには、CSR が認証局 (CA) によって署名されていなければなりません。openSSL 暗号ライブラリーを使用すると、プライベート CA を作成し、要求に署名することができます。

始める前に

プライベート CA を使用して要求に署名するのが唯一の方法というわけではありません。国際的なトラステッド CA (Entrust、VeriSign など) に要求を送信したり、組織の CA を使用したりすることもできます。これらの CA の証明書は、多くの場合、デフォルトで信頼されており、ブラウザーに警告が表示されることはありません。プライベート CA を使用する場合は、警告が表示される可能性があります。

手順

  1. プライベート認証局 (CA) とその CA 用の証明書を作成します。
    1. プライベート CA を作成します。このステップでは、秘密鍵および証明書の作成で作成したものと同様の秘密鍵 (.key) および要求 (.csr) を作成します。
      openssl req -new -newkey rsa:key_strength -nodes 
-out CA_csr_name.csr -keyout CA_key_name.key -sha256
      例えば、openssl req -new -newkey rsa:2048 -nodes -out CA_CSR.csr -keyout CA_private_key.key -sha256 です。
      各部の意味は以下のとおりです。
      key_strength
      鍵の強度 (ビット単位で測定)。BigFix Inventory で使用できる最大値は 2048 ビットです。
      CA_csr_name
      証明書署名要求 (CSR) のファイル名。認証局 (CA) では、個別の要求が必要になります。
      CA_key_name
      秘密鍵のファイル名。認証局 (CA) では、個別の秘密鍵が必要になります。
    2. プライベート CA 用の証明書を作成します。このステップでは、CSR の署名に使用できる証明書 (.arm) を作成します。
      openssl x509 -signkey path_to_CA_key.key -days 
number_of_days -req -in path_to_CA_csr.csr 
-out CA_certificate_name.arm -sha256
      例えば、openssl x509 -signkey CA_private_key.key -days 90 -req -in CA_CSR.csr -out CA_certificate.arm -sha256 です。
      各部の意味は以下のとおりです。
      key_strength
      鍵の強度 (ビット単位で測定)。BigFix Inventory で使用できる最大値は 2048 ビットです。
      path_to_CA_csr
      認証局 (CA) 用に作成した証明書署名要求 (CSR) のファイル名。
      path_to_CA_key
      認証局 (CA) 用に作成した秘密鍵のファイル名。
      number_of_days
      新規証明書が有効である日数。
      CA_certificate_name
      CA 用の証明書のファイル名。この証明書は、CSR の署名に使用されます。
  2. CA 証明書を使用して、「秘密鍵および証明書の作成」で作成した証明書署名要求に署名します。
    openssl x509 -req -days number_of_days -in path_to_csr.csr -CA path_to_CA_certificate.arm 
-CAkey path_to_CA_key.key -out new_certificate.arm -set_serial 01 -sha256
    例えば、openssl x509 -req -days 90 -in CSR.csr -CA CA_certificate.arm -CAkey CA_private_key.key -out certificate.arm -set_serial 01 -sha256 です。
    各部の意味は以下のとおりです。
    number_of_days
    新規証明書が有効である日数。
    path_to_csr
    署名する証明書署名要求 (CSR) のパス。
    path_to_CA_certificate
    認証局 (CA) 用に作成した証明書のパス。
    path_to_CA_key
    認証局 (CA) 用に作成した秘密鍵のパス。
    new_certificate
    証明書署名要求 (CSR) から作成された新規証明書のファイル名。この証明書を秘密鍵と一緒に BigFix Inventory にアップロードします。

タスクの結果

証明書署名要求に署名して、新規証明書を取得しました。

次のタスク

BigFix Inventory で暗号化通信を有効にし、秘密鍵と証明書をアップロードします。これらのファイルは、BigFix Inventory で既に使用可能な自己署名証明書に代わって使用されるので、セキュア通信が実現されます。詳しくは、こちらを参照してください:ステップ 3: セキュア通信の有効化