iManagerのインストール後、IPv6アドレスの有効化やeDirectoryツリーの許可されたユーザの変更などの環境設定を変更できます。さらに、インストールプロセス中に作成された自己署名証明書を置き換えることをお勧めします。
スタンドアロンのiManagerのインストールには、Tomcatによって使用される、一時的な、自己署名証明書が含まれます。自己署名証明書の有効期限は1年間です。NetIQがこの証明書を提供している目的は、iManagerのインストール後すぐにシステムを稼働して安全に製品を使用できるようにするためです。NetIQおよびOpenSSLでは、テストを目的とする場合を除き、自己署名証明書の使用をお勧めしません。代わりに、一時的な証明書をセキュアな証明書に置き換えることをお勧めします。
Tomcatは、Tomcat (JKS)形式のファイルを使用するキーストアに自己署名証明書を保存します。通常、証明書を置き換えるには秘密鍵をインポートします。ただし、Tomcatのキーストアの変更に使用するkeytoolで秘密鍵をインポートすることはできません。このツールは自己生成鍵のみを使用します。
このセクションでは、NetIQ Certificate Serverを使用してeDirectory内に公開鍵/秘密鍵のペアを生成する方法と、一時的な証明書を置き換える方法について説明します。eDirectoryを使用している場合は、追加投資を行わずに、NetIQ Certificate Serverを使用して証明書の生成、追跡、格納、および取り消しを安全に行うことができます。
このセクションでは、eDirectory内に鍵ペアを作成し、PKCS#12ファイルを使用して公開鍵、秘密鍵、およびルートCA (認証局)鍵をエクスポートする方法について説明します。これには、PKCS12ディレクティブを使用し、デフォルトのJKSキーストアを使用するのではなく環境設定が実際のP12ファイルを参照するように、Tomcatのserver.xml環境設定ファイルを変更する手順が含まれます。
この処理では次のファイルを使用します。
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore - 一時鍵ペアが保存されています。
C:\Program Files\Novell\jre\lib\security\cacerts - ルート認証局証明書が保存されています。
C:\Program Files\Novell\Tomcat\conf\server.xml - Tomcatによる証明書の使用を設定するために使用します。
自己署名証明書を置き換えるには:
新しい証明書を作成するため、次の手順を実行します。
iManagerにログインします。
NetIQ Certificate Server>Create Server Certificate (サーバ証明書の作成)の順にクリックします。
適切なサーバを選択します。
サーバのニックネームを指定します。
残りの項目については、証明書のデフォルト値をそのまま使用します。
サーバ証明書をエクスポートするため、次の手順を実行します。
iManagerで、Directory Administration (ディレクトリ管理)>オブジェクトの変更の順に選択します。
キーマテリアルオブジェクト(KMO)を参照して選択します。
証明書>エクスポートの順にクリックします。
パスワードを入力します。
サーバ証明書をPKCS#12 (.pfx)として保存します。
.pfxファイルを.pemファイルに変換するため、次の手順を実行します。
メモ:OpenSSLはデフォルトではインストールされません。ただし、OpenSSL Webサイトから特定のバージョンをダウンロードすることができます。
コマンドを入力します(openssl pkcs12 -in newtomcert.pfx -out newtomcert.pemなど)。
ステップ 2で指定した証明書のパスワードと同じパスワードを入力します。
新しい.pemファイルのパスワードを指定します。
同じパスワードを使用することもできます。
.pemファイルを.p12ファイルに変換するため、次の手順を実行します。
コマンドを入力します(openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"など)。
ステップ 3で指定した証明書のパスワードと同じパスワードを入力します。
新しい.p12ファイルのパスワードを指定します。
同じパスワードを使用することもできます。
.p12ファイルをTomcatの証明書がある場所にコピーします。デフォルトでは、C:\Program Files\Novell\Tomcat\conf\ssl\です。
services.msc起動スクリプトを使用して、Tomcatサービスを停止します。
Tomcatが新しく作成された.p12証明書ファイルを使用するよう、変数keystoreType、keystoreFile、およびkeystorePassをTomcatのserver.xmlファイルに追加します。次に例を示します。
<Connector className="org.apache.coyote.http11.Http11AprProtocol"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="C:\Program Files\Novell\Tomcat\conf\ssl\newtomcert.p12" keystorePass="password" />
OR,
<Connector className="org.apache.coyote.http11.Http11NioProtocol"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="C:\Program Files\Novell\Tomcat\conf\ssl\newtomcert.p12" keystorePass="password" />
キーストアの種類をPKCS12に設定すると、TomcatはデフォルトのTomcatホームパスを使用しなくなるため、証明書ファイルのパス全体を指定する必要があります。
services.msc起動スクリプトを使用して、Tomcatサービスを開始します。
iManagerのインストール後に、iManagerがIPv6アドレスを使用するように設定できます。
インストールディレクトリのcatalina.propertiesファイルを開きます。このファイルは、デフォルトではinstallation_directory\Tomcat\confにあります。
プロパティファイルに次の設定エントリを設定します。
java.net.preferIPv4Stack=false
java.net.preferIPv4Addresses=true
Tomcatを再起動します。
iManagerのインストール後に、許可されたユーザの資格情報と、このユーザが管理する適切なeDirectoryツリー名を変更できます。詳細については、『NetIQ iManager 管理ガイド』の「iManager Authorized Users and Groups」を参照してください。
iManagerにログインします。
[Configure (設定)]ビューで、iManager Server (iManagerサーバ)>Configure iManager (iManagerの設定)>Security (セキュリティ)の順に選択します。
ユーザ資格情報とツリー名を更新します。