スタンドアロンのiManagerのインストールには、Tomcatによって使用される、一時的な、自己署名証明書が含まれます。自己署名証明書の有効期限は1年間です。NetIQがこの証明書を提供している目的は、iManagerのインストール後すぐにシステムを稼働して安全に製品を使用できるようにするためです。NetIQおよびOpenSSLでは、テストを目的とする場合を除き、自己署名証明書の使用をお勧めしません。代わりに、一時的な証明書をセキュアな証明書に置き換えることをお勧めします。
Tomcatは、Tomcat (JKS)形式のファイルを使用するキーストアに自己署名証明書を保存します。通常、証明書を置き換えるには秘密鍵をインポートします。ただし、Tomcatのキーストアの変更に使用するkeytoolで秘密鍵をインポートすることはできません。このツールは自己生成鍵のみを使用します。
このセクションでは、NetIQ Certificate Serverを使用してeDirectory内に公開鍵/秘密鍵のペアを生成する方法と、一時的な証明書を置き換える方法について説明します。eDirectoryを使用している場合は、追加投資を行わずに、NetIQ Certificate Serverを使用して証明書の生成、追跡、格納、および取り消しを安全に行うことができます。
メモ:このセクションの情報は、TomcatとApacheの両方をインストールするOES Linuxには適用されません。OES Linuxのマニュアルに、ApacheとTomcatの自己署名証明書の置き換えに関する情報が記載されています。
このセクションでは、Linuxプラットフォームで、eDirectory内に鍵ペアを作成し、PKCS#12ファイルを使用して公開鍵、秘密鍵、およびルートCA (認証局)鍵をエクスポートする方法について説明します。これには、PKCS12ディレクティブを使用し、デフォルトのJKSキーストアを使用するのではなく環境設定が実際のP12ファイルを参照するように、Tomcatのserver.xml環境設定ファイルを変更する手順が含まれます。
この処理では次のファイルを使用します。
/var/opt/novell/novlwww/.keystore - 一時鍵ペアが保存されています。
/opt/novell/jdk1.7.0_25/jre/lib/security/cacerts - ルート認証局証明書が保存されています。
/etc/opt/novell/tomcat8/server.xml - Tomcatによる証明書の使用を設定するために使用します。
Linuxで自己署名証明書を置き換える
新しい証明書を作成するため、次の手順を実行します。
iManagerにログインします。
[NetIQ Certificate Server]>[Create Server Certificate (サーバ証明書の作成)]の順にクリックします。
適切なサーバを選択します。
サーバのニックネームを指定します。
残りの項目については、証明書のデフォルト値をそのまま使用します。
サーバ証明書をTomcatのホームディレクトリにエクスポートするため、次の手順を実行します。
iManagerで、[Directory Administration (ディレクトリ管理)]>[オブジェクトの変更]の順に選択します。
キーマテリアルオブジェクト(KMO)を参照して選択します。
[証明書]>[エクスポート]の順にクリックします。
パスワードを入力します。
サーバ証明書を/var/opt/novell/novlwwwディレクトリにPKCS#12 (.pfx)として保存します。
.pfxファイルを.pemファイルに変換するため、次の手順を実行します。
コマンドを入力します(openssl pkcs12 -in newtomcert.pfx -out newtomcert.pemなど)。
ステップ 2で指定した証明書のパスワードと同じパスワードを入力します。
新しい.pemファイルのパスワードを指定します。
同じパスワードを使用することもできます。
.pemファイルを.p12ファイルに変換するため、次の手順を実行します。
コマンドを入力します(openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"など)。
ステップ 3で指定した証明書のパスワードと同じパスワードを入力します。
新しい.p12ファイルのパスワードを指定します。
同じパスワードを使用することもできます。
Tomcatを停止するため、次のコマンドを入力します。
/etc/init.d/novell-tomcat7 stop
Tomcatが新しく作成された.p12証明書ファイルを使用するよう、変数keystoreType、keystoreFile、およびkeystorePassをTomcatの環境設定ファイルに追加します。この環境設定ファイルは、デフォルトでは/etc/opt/novell/tomcat7.0.42/server.xmlにあります。次に例を示します。
<Connector className="org.apache.coyote.tomcat7.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
メモ:キーストアの種類をPKCS12に設定するときは、TomcatではデフォルトでTomcatホームパスが使用されなくなるため、証明書ファイルのパス全体を指定する必要があります。
.p12証明書ファイルが適切に機能することを確認するため、次の手順を実行します。
ファイルの所有権を適切なTomcatユーザ/グループに変更します。デフォルトはnovlwwwです。たとえば、chown novlwww:novlwww newtomcert.p12に変更します。
ファイルの許可をuser=rw、group=rw、およびothers=rに変更します。たとえば、chmod 654 newtomcert.p12に変更します。
Tomcatを再起動するため、次のコマンドを入力します。
/etc/init.d/novell-tomcat7 start
このセクションでは、Windowsプラットフォームで、eDirectory内に鍵ペアを作成し、PKCS#12ファイルを使用して公開鍵、秘密鍵、およびルートCA (認証局)鍵をエクスポートする方法について説明します。これには、PKCS12ディレクティブを使用し、デフォルトのJKSキーストアを使用するのではなく環境設定が実際のP12ファイルを参照するように、Tomcatのserver.xml環境設定ファイルを変更する手順が含まれます。
この処理では次のファイルを使用します。
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore - 一時鍵ペアが保存されています。
C:\Program Files\Novell\jre\lib\security\cacerts - ルート認証局証明書が保存されています。
C:\Program Files\Novell\Tomcat\conf\server.xml - Tomcatによる証明書の使用を設定するために使用します。
WindowsでiManager自己署名証明書を置き換える
新しい証明書を作成するため、次の手順を実行します。
iManagerにログインします。
[NetIQ Certificate Server]>[Create Server Certificate (サーバ証明書の作成)]の順にクリックします。
適切なサーバを選択します。
サーバのニックネームを指定します。
残りの項目については、証明書のデフォルト値をそのまま使用します。
サーバ証明書をエクスポートするため、次の手順を実行します。
iManagerで、[Directory Administration (ディレクトリ管理)]>[オブジェクトの変更]の順に選択します。
キーマテリアルオブジェクト(KMO)を参照して選択します。
[証明書]>[エクスポート]の順にクリックします。
パスワードを入力します。
サーバ証明書をPKCS#12 (.pfx)として保存します。
.pfxファイルを.pemファイルに変換するため、次の手順を実行します。
メモ:OpenSSLはデフォルトではWindowsにインストールされていません。ただし、Windowsプラットフォーム用のバージョンをOpenSSLのWebサイトからダウンロードできます。または、OpenSSLがデフォルトでインストールされているLinuxプラットフォーム上で証明書を変換できます。Linuxを使用してファイルを変換する方法の詳細については、セクション 24.1, iManager用の一時的な自己署名証明書の置き換えを参照してください。
コマンドを入力します(openssl pkcs12 -in newtomcert.pfx -out newtomcert.pemなど)。
ステップ 2で指定した証明書のパスワードと同じパスワードを入力します。
新しい.pemファイルのパスワードを指定します。
同じパスワードを使用することもできます。
.pemファイルを.p12ファイルに変換するため、次の手順を実行します。
コマンドを入力します(openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"など)。
ステップ 3で指定した証明書のパスワードと同じパスワードを入力します。
新しい.p12ファイルのパスワードを指定します。
同じパスワードを使用することもできます。
.p12ファイルをTomcatの証明書がある場所にコピーします。デフォルトでは、C:\Program Files\Novell\Tomcat\conf\ssl\です。
Tomcatサービスを停止するため、次のコマンドを入力します。
/etc/init.d/novell-tomcat7 stop
Tomcatが新しく作成された.p12証明書ファイルを使用するよう、変数keystoreType、keystoreFile、およびkeystorePassをTomcatのserver.xmlファイルに追加します。次に例を示します。
<Connector className="org.apache.coyote.tomcat7.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
キーストアの種類をPKCS12に設定すると、TomcatはデフォルトのTomcatホームパスを使用しなくなるため、証明書ファイルのパス全体を指定する必要があります。
Tomcatサービスを開始します。