ステップ 1: 秘密鍵および証明書の作成
セキュリティーを強化するには、BigFix Inventory でデフォルトで使用できる自己署名証明書を使用せずに、独自の秘密鍵と証明書を作成します。openSSL を使用して、秘密鍵と証明書署名要求 (CSR) を作成することができ、その CSR は、認証局 (CA) によって署名された後に証明書に変換できます。
始める前に
要確認: 最新の OpenSSL バージョンを使用して、秘密鍵と証明書を作成します。
この手順は、openSSL をサポートするすべてのオペレーティング・システムで有効です。
pkcs8 フォーマットの暗号化秘密鍵を生成している場合は、以下の行を installation_dir/jre/lib/security/java.security ファイルに追加します。
security.provider.10=org.bouncycastle.jce.provider.BouncyCastleProvider手順
- コマンド・ラインを開きます。
-
新規の秘密鍵を作成します。
例えば、openssl genrsa -des3 -out inventory.key -aes256 2048 などです。openssl genrsa -des3 -out inventory.key -aes256 2048ここで、- -des3
- 秘密鍵に対してパスワードを有効にします。これはオプション・パラメーターです。以下のコマンドを使用して、既存の秘密鍵についてもパスワードを有効にすることができます。
- key_name
- 新しい秘密鍵のファイル名。
- key_strength
- 鍵の強度 (ビット単位で測定)。BigFix Inventory で使用できる最大値は 2048 ビットです。
-
証明書署名要求 (CSR) を作成します。この要求は秘密鍵に関連付けられ、後で証明書に変換されます。
例えば、openssl req -new -key private_key.key -out CSR.csr です。openssl req -new -key path_to_private_key.key -out csr_name.csrここで、- path_to_private_key - 秘密鍵のパス。
- csr_name - 証明書署名要求 (CSR) のファイル名。
このコマンドを実行すると、ユーザーが証明書を識別し、それが信頼できることを確認するのに役立つ情報を入力するよう求められます。以下に示すコマンド・ラインからの抜粋には、サンプル情報が含まれています。データを実際の情報に置き換える必要があります。Country Name (2 letter code) [XX]: US State or Province Name (full name) []: New York Locality Name (eg, city) [Default City]: New York Organization Name (eg, company) [Default Company Ltd]: HCL (eg, section) []: Software Common Name (eg, your name or your server's hostname) []: inventory.bigfix.com Email Address []: inventory@bigfix.com注: また、証明書署名要求 (CSR) に件名の代替名 (SAN) を追加する必要があります。件名の代替名 (SAN) は、証明書によって保護されるドメイン名と IP アドレスを示す方法です。CSR の SAN は、OpenSSL のバージョンに応じて提供されます。SAN は多くの Web ブラウザーで必須フィールドになっています。特に Chrome では Chrome 58 の廃止 https://developer.chrome.com/blog/chrome-58-deprecations/) 以降、および Firefox バージョン 101 以降で必須フィールドになっています。