CA CEM によるセキュアな Web アプリケーションの監視

CA CEM によるセキュアな Web アプリケーションの監視

SSL ベースのセキュリティを使用する Web アプリケーションを監視するための CA CEM の設定に関連する主なタスクを以下に示します。

1. Web サーバの SSL 秘密鍵を取得する。
2. SSL 秘密鍵が PEM ファイルにあることを確認する。

   必要な場合は、秘密鍵を変換します。

3. CA CEM for SSL を設定して、PEM ファイルを CA CEM にアップロードする。
4. SSL 対応の CA CEM を確認する。

SSL 秘密鍵のインポートおよび管理

CA CEM は複数の秘密鍵をサポートしているため、各種の秘密鍵を使用してさまざまな HTTPS サーバの SSL トラフィックを分析することができます。 CA CEM は、Apache サーバおよび OpenSSL ベースのサーバで使用される PEM 秘密鍵の形式をサポートしています。 Microsoft IIS、SunONE、iPlanet、および Netscape は秘密鍵方式を使用していますが、これらの鍵を、CA CEM で使用するために PEM ファイルに変換することができます。 CA CEM は、キャプチャしたデータの復号化に必要な鍵を自動的に識別します。

変換を実行するシステムで、OpenSSL が利用できる必要があります。 OpenSSL は http://www.openssl.org から入手できます。

サポートされている Web サーバの SSL 秘密鍵を取得する方法の詳細については、以下を参照してください。

• Apache または OpenSSL ベースの Web サーバ。
• Microsoft インターネット インフォメーション サービス（IIS）。
• SunONE、iPlanet、または Netscape エンタープライズ サーバ。

Apache または OpenSSL ベースの Web サーバ秘密鍵の保存

CA CEM で使用できるように、Apache または OpenSSL ベースの Web サーバ秘密鍵ファイルを保存することができます。

以下の手順に従います。

1. サーバ構成ファイルを見つけます。 例：

   /etc/httpd/conf.d/ssl.conf
   

2. 秘密鍵ファイルを参照している SSL 証明書キー ファイルを探します。 例：

   SSLCertificateKeyFile=/etc/httpd/conf/ssl.key/server.key
   

3. output.pem にそのファイルをコピーして名前を変更します。

詳細については、http://httpd.apache.org/ および http://www.openssl.org/ を参照してください。

Microsoft インターネット インフォメーション サービス（IIS）秘密鍵のエクスポート

Microsoft インターネット インフォメーション サービス（IIS）の秘密鍵は、CA CEM が読み取れる形式にエクスポートする必要があります。 このフォーマットは PFX です。 変換を実行するシステムで、OpenSSL が利用できる必要があります。 OpenSSL は http://www.openssl.org/ から入手できます。

まず、IIS サーバから秘密鍵をエクスポートしてから、出力ファイルを PEM 形式に変換します。

PFX 形式で鍵をエクスポートする方法

1. IIS が実行されている Windows ベースのシステムで、［スタート］の［ファイル名を指定して実行］をクリックします。
2. 「MMC.exe」と入力し、［OK］をクリックします。
3. ［コンソール］メニューの［スナップインの追加と削除］をクリックします。
4. ［追加］をクリックします。 ［証明書］スナップインを選択し、［追加］をクリックします。
5. ［コンピュータ アカウント］を選択し、［次へ］をクリックします。
6. ［ローカル コンピュータ］を選択し、［完了］をクリックします。
7. ［閉じる］をクリックした後、［OK］をクリックします。
8. ［証明書］のメニューを展開し、［個人］フォルダをクリックします。 エクスポートする証明書を右クリックし、［すべてのタスク］-［エクスポート］を選択します。

   ウィザードが表示されます。

9. チェックボックスを選択し、秘密鍵を含めて、PFX ファイルの作成が完了するまでウィザードの処理が続行します。

PFX ファイルを PEM 鍵ファイルに変換する方法

1. OpenSSL ソフトウェアを実行しているシステム上で以下のコマンドを入力します。

   openssl pkcs12 -in filename.pfx -nocerts -out output.pem
   

2. filename.pfx を、作成したファイルの名前に置換します。
3. output.pem を、作成中の出力ファイルの名前に置換します。
4. コマンドを実行します。

この PEM ファイルの作成時に指定するパスワードは、このファイルを TIM にアップロードする際に使用するパス フレーズです。

SunONE、iPlanet、Netscape Enterprise Server

Sun、SunONE、iPlanet、および Netscape の Web サーバはすべて同じコア テクノロジをベースとしています。 これらの秘密鍵は、CA CEM が読み取れる形式にエクスポートする必要があります。

変換の実行に使用するシステムには、以下のユーティリティが必要です。

• OpenSSL
• ネットワーク セキュリティ サービス（NSS）
• Netscape ポータブル ランタイム（NSPR）

以下の手順では、変換に Windows システムを使用するものと想定しています。

秘密鍵ファイルを作成する方法

1. 鍵管理ユーティリティをダウンロードして解凍します。
   • OpenSSL - http://www.openssl.org/ から入手できます。
   • ネットワーク セキュリティ サービス（NSS） - http://www.mozilla.org/projects/security/pki/nss/ から入手できます。
   • Netscape ポータブル ランタイム（NSPR） - http://www.mozilla.org/projects/nspr/ から入手できます。
2. ファイルを解凍します。
   • zip ファイルを一時ディレクトリに解凍します。
   • nss-3.9.zip を c:¥ に解凍します。
   • nspr-4.4.1 を c:¥ に解凍します。
3. Win32-OpenSSL-v0.9.7c で有効： Win32-OpenSSL-v0.9.7c を実行して C:¥OpenSSL ディレクトリにインストールします。
4. 以下の行が含まれるように、PATH 変数を変更します。

   c:¥nss-3.9¥lib;c:¥nspr-4.4.1¥lib
   

   SunONE/iPlanet/Netscape の証明書および鍵は .db 拡張子のファイルに保管されます。

5. *.db ファイルを書き込み可能なディレクトリ（この例では c:¥dbfiles）にコピーします。
6. コマンド プロンプトを開き、以下のコマンドを入力します。

   cd c:¥nss-3.9¥bin
   

   デフォルトでは、NSS ツールは key3.db および cert7.db という名前のファイルを検索します。 データベース ファイルの名前が key3.db および cert7.db 以外の名前の場合、ファイルの名前を変更しないでください。 代わりに、certutil および pk12util を使用して通常とは異なる名前のファイルを見つけられるように、-P（プレフィックス）スイッチを指定します。

   たとえば、ファイルの名前が prodSite-cert.db および prodSite-key.db の場合は、certutil コマンドを使用して、prodSite-cert7.db および prodSite-key3.db というファイルを作成します。 このコマンドの出力には、含まれる証明書の名前が表示されます。

   certutil -P prodSite- -K -d C:¥dbfiles¥
   

7. NSS 証明書 DB 用のパスワードまたは PIN を入力します（データベース パスワードを入力します）。

   ファイル prodSite-cert7.db および prodSite-key3.db が作成されます。

エクスポートおよび変換を実行する方法

1. プロンプトで、以下のように入力します。

   pk12util -P prodSite- -d C:¥dbfiles¥ -o C:¥dbfiles¥output.p12 -n Server-Cert
   

2. NSS 証明書 DB 用のパスワードまたは PIN を入力します（データベース パスワードを入力します）。
3. PKCS12 ファイル用のパスワードを入力します（出力パスワードを入力します）。
4. パスワードを再入力します（出力パスワードを再入力します）。

   これで、C:¥dbfiles ディレクトリに output.p12 という名前のファイルが作成されます。

   出力パスワードは、このファイルを Enterprise Manager にアップロードする場合に必要なパスフレーズです。

5. OpenSSL¥bin ディレクトリから、以下のコマンドを実行します。

   openssl pkcs12 -in C:¥dbfiles¥output.p12 -nodes -out C:¥dbfiles¥pkcs12out.txt
   

   このコマンドは、pkcs12 構造を MAC およびバッグ情報を含むテキスト ファイルに変換します。 また、秘密鍵および証明書の PEM ファイルも作成します。

   pkcs12out.txt ファイルの内容は、以下の例のようになります。

   Enter Import Password:
   MAC verified OK
   Bag Attributes
   localKeyID: 01 00 00 00
   1.3.6.1.4.1.311.17.1: Microsoft Enhanced Cryptographic Provider v1.0
   friendlyName: 98849c683ad0e90810a77235bd728b12_668b93c6-0795-
   4ba7-9da8-78737a299d3f
   Key Attributes
   X509v3 Key Usage: 10
   -----BEGIN RSA PRIVATE KEY-----
   MIICXQIBAAKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ+Mc6msuRWBUDHeIH2eV1
   yiL7ID/0vkUN6qGnnqVuMQ3kuy7mnN/qSPz37/FKTbwF10QOP2LCZVuhU6SI/90Q
   1rTINqQEPi1hyPV10lDv8Fjevhv80jMD1gvjaCmP84FzcrifyDgHonh4nQIDAQAB
   AoGAUXaJIjqeDjge15MHNuQBUqXr+o4V/ZpA+2WcgXsbYhaX0KI3fRdFFASI4XN0
   ZdpolP7oY/cdF6w5EFsVc64t7dIpD+AineQpGeYJ4WhmBstyVlBShNb9drcCQDFg
   vvcyfmi3tTl3MfecV3WhENU6889iGogbglMMQvqmtOCFDPY7fPM3I38FbEwO3Yu+
   gWEZ/f7DLDdsT7GDKf0CQQDSAqXwTMabqGB6bWxqy6M5lpWBW8YAQAXpKhLILRqb
   C/JxfD63KTN90pegkhEOBn5OdqtqfS4kodv45bHeHYxn
   -----END RSA PRIVATE KEY-----
   Bag Attributes
   localKeyID: 01 00 00 00
   subject=/C=US/ST=Utah/L=SLC/O=MooseCo./OU=Moose
   Land/CN=www.megamoose.com
   issuer=/C=US/ST=Utah/L=SLC/O=MooseCo./OU=Moose
   Land/CN=www.megamoose.com
   -----BEGIN CERTIFICATE-----
   MIICgDCCAemgAwIBAgIDBJ3zMA0GCSqGSIb3DQEBBAUAMIGSMQswCQYDVQQGEwJa
   QTEVMBMGA1UECBMMV2VzdGVybiBDYXBlMRIwEAYDVQQHEwlDYXBlIFRvd24xDzAN
   BgNVBAoTBlRoYXd0ZTEdMBsGA1UECxMUQ2VydGlmaWNhdGUgU2VydmljZXMxKDAm
   BgNVBAMTH1BlcnNvbmFsIEZyZWVtYWlsIFJTQSAyMDAwLjguMzAwHhcNMDEwNDE3
   MDAzNzU5WhcNMDIwNDE3MDAzNzU5WjBFMR8wHQYDVQQDExZUaGF3dGUgRnJlZW1h
   aWwgTWVtYmVyMSIwIAYJKoZIhvcNAQkBFhNqbGV2eUBzb25pY3dhbGwuY29tMIGf
   MA0GCSqGSIb3DQEBAQUAA4Ger3DBiQKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ
   Y29tMAwGA1UdEwEB/wQCMAAwDQYJKoZIhvcNAQEEBQADgYEAcHF7eiQDoCQ08snA
   izV22+7FWiEkSR0PLcOFTytyOUJoQ0RLt7SPqKPJ2NswyC0A2nHgnOFL7ImFGiAi
   5Xg9lEAtscgC7ceo0C3GBKorPE8hiqGCuVcClYKLws7yGRWRPTzQp7TemCoAMOcv
   iO/6K6qicSzUpEj7eYqCbogmEYU=
   -----END CERTIFICATE-----
   

6. この例で示すように、EM 拡張子を付けた別のファイル（たとえば output.pem）に鍵のストラクチャをコピー アンド ペーストします。

   -----BEGIN RSA PRIVATE KEY-----
   MIICXQIBAAKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ+Mc6msuRWBUDHeIH2eV1
   yiL7ID/0vkUN6qGnnqVuMQ3kuy7mnN/qSPz37/FKTbwF10QOP2LCZVuhU6SI/90Q
   1rTINqQEPi1hyPV10lDv8Fjevhv80jMD1gvjaCmP84FzcrifyDgHonh4nQIDAQAB
   AoGAUXaJIjqeDjge15MHNuQBUqXr+o4V/ZpA+2WcgXsbYhaX0KI3fRdFFASI4XN0
   ZdpolP7oY/cdF6w5EFsVc64t7dIpD+AineQpGeYJ4WhmBstyVlBShNb9drcCQDFg
   vvcyfmi3tTl3MfecV3WhENU6889iGogbglMMQvqmtOCFDPY7fPM3I38FbEwO3Yu+
   gWEZ/f7DLDdsT7GDKf0CQQDSAqXwTMabqGB6bWxqy6M5lpWBW8YAQAXpKhLILRqb
   C/JxfD63KTN90pegkhEOBn5OdqtqfS4kodv45bHeHYxn
   -----END RSA PRIVATE KEY-----