証明書のインストール

Remote Control に証明書をインストールするには、既存の P12 鍵ストアまたは JKS 鍵ストアを使用するか、既存の証明書を既存の鍵ストアにインポートします。

このタスクについて

Remote Control サーバーの再インストールまたはアップグレードを行うと、証明書の構成に対する変更内容がすべて上書きされます。Remote Control の証明書をインストールするための適切な方法を選択してください。サーバーのインストーラーを使用して、SSL 証明書を構成することもできます。インストール時の SSL 証明書の構成について詳しくは、BigFix® Remote Control インストール・ガイドを参照してください。

既存の鍵ストアを使用するには、次の手順を実行します

手順

  1. ssl.xml ファイルを編集します。
  2. <keystore/> パラメーターを探し、証明書の鍵ストアの適切な値を設定します。
    ID
    デフォルト値は defaultKeyStore です。この値を任意の ID に変更することも、デフォルト値のままにしておくこともできます。
    パスワード

    AES でエンコードされたパスワードを使用してカスタム証明書を適切に適用するには、次の手順を実行します。

    1. サーバーが停止していることを確認します。
    2. [installdir]\tools\env\env.xml ファイルを開きます。
    3. wlp.password.encryption.key 変数の value プロパティーで報告された値をコピーします。

      例: From <variable name="wlp.password.encryption.key" value="8f7008648eb308479c88f388e82000209a26" />, copy 8f7008648eb308479c88f388e82000209a26

    4. 次のコマンドを実行します。
      [installdir]\wlp\bin\securityUtility.bat encode --encoding=aes --key=<encryption_key>
      ここで、<encryption_key> は前のステップでコピーした値です。
      注: Linux では、securityUtility ツールに .bat 拡張子がありません。したがって、securityUtility.bat の代わりに securityUtility を使用してください。
    5. 暗号化するパスワードを 2 回挿入します。
    6. 生成された暗号化パスワードを [installdir]\wlp\usr\servers\trcserver\ssl.xml の XML ファイルに手動でコピーします。
      注: 暗号化されたパスワードは、"{aes}" で始まります。例えば、 {aes}AFLSwk76PovVwmQlVCULHEkkkzRqPUgLoZVy33sMxPZf)
    7. サーバーを再起動します。
    Location (場所)
    既存の鍵ストアの絶対パスを入力します。この値は、jks ファイルまたは p12 ファイルへのパスにすることができます。
    タイプ
    鍵ストア・ファイルのタイプを決定します。p12 ファイルを使用している場合は、PKCS12 を使用します。jks ファイルを使用する場合は、タイプの値を定義する必要はありません。
  3. ファイルを保存します。
  4. Remote Controlサーバーを再始動します。

署名証明書を生成するには、次の手順を実行します

手順

  1. コマンド・ライン・ウィンドウを開きます。
  2. Remote Control インストール・ディレクトリーに移動します。
  3. java\jre\bin サブディレクトリー (Windows システムの場合) または java/jre/bin サブディレクトリー (Linux システムの場合) に変更します。
  4. ikeyman.sh (Linux システムの場合) または ikeyman.exe (Windows システムの場合) を実行します。
  5. GUI ウィンドウで、「鍵データベース・ファイル」 > 「開く」を選択します。
  6. \[installdir]\/wlp/usr/servers/trcserver/resources/security ディレクトリーに移動します。ここで installdirRemote Control インストール・ディレクトリーです。
    1. 「key.jks」を選択します。このファイルは、デフォルトの鍵ストアです。
    2. 「開く」をクリックします。
    3. パスワード TrCWebAS を入力します。
    4. 証明書をインストールするための適切な手順を実行します。
      • 認証要求を作成する
        1. 「作成」 > 「新規認証要求の作成」を選択します。
        2. 「鍵ラベル」の名前を入力します。名前が GUI に表示されます。
        3. 追加情報があれば入力します。
        4. OK」をクリックします。
        5. certreq.arm ファイルが生成され、指定した場所に保存されます。このファイルは、署名のために認証局に送信する必要があります。その後、cert.arm ファイルが返されます。
        6. 署名証明書を受け取ったら、「受信」を選択します。
        7. cert.arm 署名ファイルを参照します。
        8. OK」をクリックします。
      • 既存の証明書を外部で署名する
        1. 「要求の再作成」を選択します。
        2. certreq.arm ファイルが生成され、指定した場所に保存されます。このファイルは、署名のために認証局に送信する必要があります。その後、cert.arm ファイルが返されます。
        3. 署名証明書を受け取ったら、「受信」を選択します。
        4. cert.arm 署名ファイルを参照します。
        5. OK」をクリックします。
  7. 2 つ目の証明書がリスト表示されます。デフォルト証明書を削除します。
  8. key.jks ファイルを保存して上書きします。パスワードの入力を求めるプロンプトが表示されたら、TrCWebAS と入力します。
  9. サーバーを再始動します。正しい証明書を使用して https ポートが署名されます。