実装ガイド › 通信の暗号方式の変更 › SSL、認証、および証明書 › SSL 暗号化の有効化 › サードパーティのルート証明書から生成したサーバ証明書の使用

サードパーティのルート証明書から生成したサーバ証明書の使用

SSL 暗号化を使用する場合、サードパーティのルート証明書からサーバ証明書を作成できます。 作成した証明書を使用して、CA ControlMinder コンポーネント間の通信を暗号化および認証します。

パスワード保護されたサーバ証明書を作成できます。その場合、CA ControlMinder では、指定されたパスワードを使用してサーバ証明書の秘密鍵を保護します。

サードパーティのルート証明書からサーバ証明書を作成するには以下のファイルが必要です。

• root.pem - ルート証明書
• root.key - ルート証明書の秘密鍵

サードパーティのルート証明書から生成したサーバ証明書を使用する方法。

1. CA ControlMinder サービスが停止され、SSL が有効であることを確認します。
2. OU パスワード保護された証明書を使用する場合、crypto セクションの fips_only 設定の値が 0 であることを確認します。

   注： CA ControlMinder が FIPS 専用モードで動作している場合、パスワード保護された証明書を使用することはできません。

3. 以下のディレクトリの sub_cert_info 以外のすべてのファイルを削除します。ACInstallDir は、CA ControlMinder をインストールしたディレクトリです。

   ACInstallDir/data/crypto
   

   重要： sub_cert_info ファイルは削除しないでください。

   デフォルトのサーバ証明書およびサーバ証明書のデフォルトの鍵が削除されます。

4. ルート証明書を置き換えます。 以下のいずれかの操作を実行します。
   • crypto セクションの ca_certificate 設定で指定された場所に新しいルート証明書をコピーします。
   • crypto セクションの ca_certificate 設定の値を編集し、新しいルート証明書への完全パスを指定します。

     注： 新規ディレクトリにルート証明書をインストールした場合は、そのディレクトリを保護するため CA ControlMinder ファイル ルールを作成する必要があります。

5. sechkey ユーティリティを使用してサーバ証明書を生成します。

   注： sechkey ユーティリティの詳細については「リファレンス ガイド」を参照してください。 sechkey パラメータを使用するには ADMIN 属性が必要です。 CA ControlMinder SDK を使用するサードパーティのプログラムを使用している場合は、sechkey を実行するときに、sechkey コマンドに -s オプションを追加します。

6. （オプション）ルート証明書の秘密鍵を削除します。

   ルート証明書からの別のサーバ証明書を作成しない場合、ルート証明書の秘密鍵を削除できます。

7. CA ControlMinder を起動します。
   • CA ControlMinder エンタープライズ管理 サーバ上の暗号化設定を変更している場合は、CA ControlMinder Web サービスも起動します。
   • CA ControlMinder SDK を使用するサードパーティのプログラムを使用している場合、CA ControlMinder SDK を使用するプロセスを再起動します。

   SSL 暗号化が有効になります。

例： sechkey を使用してサーバ証明書を作成

この例では、サードパーティのルート証明書からサーバ証明書を作成します。 この例は、デフォルトの CA ControlMinder 証明書情報ファイルを使用します。 ルート証明書の秘密鍵は custom_root.key という名前で、/opt/CA/AccessControl/data/crypto にあります。

sechkey -e -sub -in "/opt/CA/AccessControl/data/crypto/sub_cert_info" -priv /opt/CA/AccessControl/data/crypto/custom_root.key