新規証明書への移行
既存の証明書の有効期限が近づいた場合、新規証明書を作成できます。これらの新規証明書を関連するエンドポイントに配布して、引き続きブローカー経由で正常にリモート・コントロール・セッションを確立できるようにします。
このタスクについて
CA が署名した証明書を使用している場合には、サーバー・トラストストアにはルート証明書のみが必要です。ルート証明書は一般的に有効期間が長く、本書執筆時点で一般的な現行 CA 証明書は 10 年または 20 年経過するまで有効期限は切れません。CA によって署名された SSL 証明書は、通常 1 年で有効期限が切れます。ただし、更新する必要があるのはブローカーにある SSL 証明書のみです。以下のいずれかの条件に一致する場合は、すべてのエンドポイントでトラストストアを更新する必要はありません。
- ブローカーの新規 SSL 証明書が同じ CA から発行されている。
- CA のルート証明書がサーバーのトラストストアに既にインストールされており、すべてのエンドポイントに渡されている。
自己署名証明書を作成し、ブローカーにインストールする前にすべてのエンドポイントに配布してください。新規証明書に移行するには、以下のステップを実行します。
手順
- 古い証明書が失効する前に新規証明書を生成します。 証明書の作成について詳しくは、自己署名証明書の作成を参照してください。これを行う時期は、エンドポイントを新規証明書で更新するためにどの程度の期間が必要と判断されるかによって異なります。満了日付の直前まで、古い証明書でブローカーを実行させてください。
- サーバー上のトラストストアに新規証明書を追加します。
証明書の追加について詳しくは、トラストストアへの証明書の追加を参照してください。
- イントラネットの内部からホームを呼び出すターゲットは、自動的にサーバーから新規証明書を受信して、トラストストアを更新します。
- ブローカー経由で正常にセッションを開始するターゲットでも、トラストストアが自動的に更新されます。このため、ブローカーは、引き続き古い証明書を使用して処理を実行する必要があります。これは、ターゲットでこの証明書が信頼されているからです。ターゲットはまだ新規証明書を信頼していないため、ブローカーを介してセッションを開始することができなくなります。
- 古い証明書が有効期限切れになる新規証明書をブローカーにインストールします。 証明書のインストールについて詳しくは、ブローカーでの鍵ストアの構成を参照してください。
- 古い証明書が有効期限切れになった後で、それをトラストストアから削除します。