SSL ベースのセキュリティを使用する Web アプリケーションを監視するための CA CEM の設定に関連する主なタスクを以下に示します。
必要な場合は、秘密鍵を変換します。
CA CEM は複数の秘密鍵をサポートしているため、各種の秘密鍵を使用してさまざまな HTTPS サーバの SSL トラフィックを分析することができます。 CA CEM は、Apache サーバおよび OpenSSL ベースのサーバで使用される PEM 秘密鍵の形式をサポートしています。 Microsoft IIS、SunONE、iPlanet、および Netscape は秘密鍵方式を使用していますが、これらの鍵を、CA CEM で使用するために PEM ファイルに変換することができます。 CA CEM は、キャプチャしたデータの復号化に必要な鍵を自動的に識別します。
変換を実行するシステムで、OpenSSL が利用できる必要があります。 OpenSSL は http://www.openssl.org から入手できます。
サポートされている Web サーバの SSL 秘密鍵を取得する方法の詳細については、以下を参照してください。
CA CEM で使用できるように、Apache または OpenSSL ベースの Web サーバ秘密鍵ファイルを保存することができます。
以下の手順に従います。
/etc/httpd/conf.d/ssl.conf
SSLCertificateKeyFile=/etc/httpd/conf/ssl.key/server.key
詳細については、http://httpd.apache.org/ および http://www.openssl.org/ を参照してください。
Microsoft インターネット インフォメーション サービス(IIS)の秘密鍵は、CA CEM が読み取れる形式にエクスポートする必要があります。 このフォーマットは PFX です。 変換を実行するシステムで、OpenSSL が利用できる必要があります。 OpenSSL は http://www.openssl.org/ から入手できます。
まず、IIS サーバから秘密鍵をエクスポートしてから、出力ファイルを PEM 形式に変換します。
PFX 形式で鍵をエクスポートする方法
ウィザードが表示されます。
PFX ファイルを PEM 鍵ファイルに変換する方法
openssl pkcs12 -in filename.pfx -nocerts -out output.pem
この PEM ファイルの作成時に指定するパスワードは、このファイルを TIM にアップロードする際に使用するパス フレーズです。
Sun、SunONE、iPlanet、および Netscape の Web サーバはすべて同じコア テクノロジをベースとしています。 これらの秘密鍵は、CA CEM が読み取れる形式にエクスポートする必要があります。
変換の実行に使用するシステムには、以下のユーティリティが必要です。
以下の手順では、変換に Windows システムを使用するものと想定しています。
秘密鍵ファイルを作成する方法
c:¥nss-3.9¥lib;c:¥nspr-4.4.1¥lib
SunONE/iPlanet/Netscape の証明書および鍵は .db 拡張子のファイルに保管されます。
cd c:¥nss-3.9¥bin
デフォルトでは、NSS ツールは key3.db および cert7.db という名前のファイルを検索します。 データベース ファイルの名前が key3.db および cert7.db 以外の名前の場合、ファイルの名前を変更しないでください。 代わりに、certutil および pk12util を使用して通常とは異なる名前のファイルを見つけられるように、-P(プレフィックス)スイッチを指定します。
たとえば、ファイルの名前が prodSite-cert.db および prodSite-key.db の場合は、certutil コマンドを使用して、prodSite-cert7.db および prodSite-key3.db というファイルを作成します。 このコマンドの出力には、含まれる証明書の名前が表示されます。
certutil -P prodSite- -K -d C:¥dbfiles¥
ファイル prodSite-cert7.db および prodSite-key3.db が作成されます。
エクスポートおよび変換を実行する方法
pk12util -P prodSite- -d C:¥dbfiles¥ -o C:¥dbfiles¥output.p12 -n Server-Cert
これで、C:¥dbfiles ディレクトリに output.p12 という名前のファイルが作成されます。
出力パスワードは、このファイルを Enterprise Manager にアップロードする場合に必要なパスフレーズです。
openssl pkcs12 -in C:¥dbfiles¥output.p12 -nodes -out C:¥dbfiles¥pkcs12out.txt
このコマンドは、pkcs12 構造を MAC およびバッグ情報を含むテキスト ファイルに変換します。 また、秘密鍵および証明書の PEM ファイルも作成します。
pkcs12out.txt ファイルの内容は、以下の例のようになります。
Enter Import Password: MAC verified OK Bag Attributes localKeyID: 01 00 00 00 1.3.6.1.4.1.311.17.1: Microsoft Enhanced Cryptographic Provider v1.0 friendlyName: 98849c683ad0e90810a77235bd728b12_668b93c6-0795- 4ba7-9da8-78737a299d3f Key Attributes X509v3 Key Usage: 10 -----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ+Mc6msuRWBUDHeIH2eV1 yiL7ID/0vkUN6qGnnqVuMQ3kuy7mnN/qSPz37/FKTbwF10QOP2LCZVuhU6SI/90Q 1rTINqQEPi1hyPV10lDv8Fjevhv80jMD1gvjaCmP84FzcrifyDgHonh4nQIDAQAB AoGAUXaJIjqeDjge15MHNuQBUqXr+o4V/ZpA+2WcgXsbYhaX0KI3fRdFFASI4XN0 ZdpolP7oY/cdF6w5EFsVc64t7dIpD+AineQpGeYJ4WhmBstyVlBShNb9drcCQDFg vvcyfmi3tTl3MfecV3WhENU6889iGogbglMMQvqmtOCFDPY7fPM3I38FbEwO3Yu+ gWEZ/f7DLDdsT7GDKf0CQQDSAqXwTMabqGB6bWxqy6M5lpWBW8YAQAXpKhLILRqb C/JxfD63KTN90pegkhEOBn5OdqtqfS4kodv45bHeHYxn -----END RSA PRIVATE KEY----- Bag Attributes localKeyID: 01 00 00 00 subject=/C=US/ST=Utah/L=SLC/O=MooseCo./OU=Moose Land/CN=www.megamoose.com issuer=/C=US/ST=Utah/L=SLC/O=MooseCo./OU=Moose Land/CN=www.megamoose.com -----BEGIN CERTIFICATE----- MIICgDCCAemgAwIBAgIDBJ3zMA0GCSqGSIb3DQEBBAUAMIGSMQswCQYDVQQGEwJa QTEVMBMGA1UECBMMV2VzdGVybiBDYXBlMRIwEAYDVQQHEwlDYXBlIFRvd24xDzAN BgNVBAoTBlRoYXd0ZTEdMBsGA1UECxMUQ2VydGlmaWNhdGUgU2VydmljZXMxKDAm BgNVBAMTH1BlcnNvbmFsIEZyZWVtYWlsIFJTQSAyMDAwLjguMzAwHhcNMDEwNDE3 MDAzNzU5WhcNMDIwNDE3MDAzNzU5WjBFMR8wHQYDVQQDExZUaGF3dGUgRnJlZW1h aWwgTWVtYmVyMSIwIAYJKoZIhvcNAQkBFhNqbGV2eUBzb25pY3dhbGwuY29tMIGf MA0GCSqGSIb3DQEBAQUAA4Ger3DBiQKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ Y29tMAwGA1UdEwEB/wQCMAAwDQYJKoZIhvcNAQEEBQADgYEAcHF7eiQDoCQ08snA izV22+7FWiEkSR0PLcOFTytyOUJoQ0RLt7SPqKPJ2NswyC0A2nHgnOFL7ImFGiAi 5Xg9lEAtscgC7ceo0C3GBKorPE8hiqGCuVcClYKLws7yGRWRPTzQp7TemCoAMOcv iO/6K6qicSzUpEj7eYqCbogmEYU= -----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ+Mc6msuRWBUDHeIH2eV1 yiL7ID/0vkUN6qGnnqVuMQ3kuy7mnN/qSPz37/FKTbwF10QOP2LCZVuhU6SI/90Q 1rTINqQEPi1hyPV10lDv8Fjevhv80jMD1gvjaCmP84FzcrifyDgHonh4nQIDAQAB AoGAUXaJIjqeDjge15MHNuQBUqXr+o4V/ZpA+2WcgXsbYhaX0KI3fRdFFASI4XN0 ZdpolP7oY/cdF6w5EFsVc64t7dIpD+AineQpGeYJ4WhmBstyVlBShNb9drcCQDFg vvcyfmi3tTl3MfecV3WhENU6889iGogbglMMQvqmtOCFDPY7fPM3I38FbEwO3Yu+ gWEZ/f7DLDdsT7GDKf0CQQDSAqXwTMabqGB6bWxqy6M5lpWBW8YAQAXpKhLILRqb C/JxfD63KTN90pegkhEOBn5OdqtqfS4kodv45bHeHYxn -----END RSA PRIVATE KEY-----
Copyright © 2013 CA.
All rights reserved.
|
|