自己署名サーバ証明書を作成してエクスポートすることで、SentinelとIdentity Managerコンポーネント間のセキュアな通信を保証できます。有効な認証局が発行した署名付き証明書を使用します。
新しい証明書を作成するため、次の手順を実行します。
iManagerにログインします。
NetIQ Certificate Server>Create Server Certificate (サーバ証明書の作成)の順にクリックします。
適切なサーバを選択します。
サーバのニックネームを指定します。
残りの項目については、証明書のデフォルト値をそのまま使用します。
サーバ証明書を.pfxフォーマットにエクスポートするには、次の手順を実行します。
iManagerで、Directory Administration (ディレクトリ管理)>オブジェクトの変更の順に選択します。
キーマテリアルオブジェクト(KMO)を参照して選択します。
証明書>エクスポートの順にクリックします。
パスワードを入力します。
サーバ証明書をPKCS#12として保存します。たとえば、certificate.pfxです。
次のコマンドを使用して、エクスポートされた証明書からdxipkey.pemファイルに秘密鍵を展開します。
openssl pkcs12 -in certificate.pfx -nocerts -out dxipkey.pem –nodes
証明書をdxicert.pemファイルに展開します。
openssl pkcs12 -in certificate.pfx -nokeys -out dxicert.pem
ステップ 1で作成されたeDirectoryサーバのCA証明書をBase64形式にエクスポートするには、次の手順を実行します。
iManagerで、Roles and Task (役割とタスク) > NetIQ Certificate Access (NetIQ証明書へのアクセス) > ユーザ証明書の順に移動します。
作成された証明書を参照して選択します。
エクスポートをクリックします。
CA証明書をドロップダウンメニューからOU=organizationCA.O=TREENAMEとして選択します。
エクスポート形式をドロップダウンメニューからBASE64として選択します。
次へをクリックし、証明書を保存します。たとえば、cacert.b64です。
次のコマンドを使用して、キーストアにCA証明書をインポートします。
keytool -import -alias <alias name> -file <b64 file> -keystore <keystore file> –noprompt
次に例を示します。
keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt
証明書を監査コネクタのトラストストアにインポートするには、次の手順を実行します。
管理者としてSentinelメインインタフェースにログインします。
メインのESMディスプレイで、Auditサーバを参照します。
Auditサーバを右クリックして、編集をクリックします。
[セキュリティ]タブで、Strict (厳しい)を選択します。
メモ:デフォルトでは、最初の接続を許可するようにOpen (オープン) (非セキュア)モードを使用するように設定されています。ただし、運用環境で使用している場合は、モードがStrict (厳しい)に設定されていることを確認してください。
インポートをクリックして、ステップ 6で作成した証明書に移動します。たとえば、idmkeystore.ksです。
Open (オープン)をクリックし、保存をクリックします。
Auditサーバを再起動します。
コンポーネントに基づいた次の場所にステップ 3およびステップ 4で作成した秘密鍵および証明書をコピーします。
|
コンポーネント |
Windowsパス |
|---|---|
|
Identity Managerエンジン |
C:\NetIQ\idm\NDS\DIBFiles |
|
リモートローダ |
リモートローダインストールディレクトリ: C:\NetIQ\idm\RemoteLoader または C:\NetIQ\idm\RemoteLoader\64bit または C:\NetIQ\idm\RemoteLoader\32bit |
|
.NETリモートローダ |
C:\NetIQ\idm\RemoteLoader.NET |
|
ファンアウトエージェント |
C:\NetIQ\idm\FanoutAgent |
Identity Managerサービスを再起動します。
新しい証明書を作成するため、次の手順を実行します。
iManagerにログインします。
NetIQ Certificate Server > Create User Certificate (ユーザ証明書の作成)をクリックします。
適切なユーザを選択します。
ユーザのニックネームを指定します。
作成方法で、カスタムを選択します。
残りの項目については、証明書のデフォルト値をそのまま使用します。
次へをクリックします。
Custom Extensions (カスタム拡張)で、New DER Encoded Extensions (新規DERエンコード拡張)を選択します。
\products\UserApplication\ext.derカスタム拡張に移動します。
(オプション) 電子メールアドレスを指定します。
証明書パラメータを確認して、終了をクリックします。
ユーザ証明書をエクスポートするため、次の手順を実行します。
NetIQ Certificate Access (NetIQ証明書へのアクセス) > ユーザ証明書をクリックします。
ステップ 1でインポートしたユーザ証明書を選択します。
有効なユーザ証明書を選択して、エクスポートをクリックします。
パスワードを入力します。
ユーザ証明書をPKCS12として保存します。たとえば、certificate.pfxです。
次のコマンドを使用して、エクスポートされた証明書をkey.pemファイルに秘密鍵を展開します。
openssl pkcs12 -in certificate.pfx -nocerts -out key.pem –nodes
証明書をcert.pemファイルに展開します。
openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem
ユーザアプリケーションを停止します。
秘密鍵と証明書をconfigupdateユーティリティに追加します。
configupdateユーティリティを開きます。
詳細オプションの表示をクリックします。
NetIQ Sentinelデジタル署名証明書フィールドで、cert.pemをコピーします。
NetIQ Sentinelデジタル署名秘密鍵フィールドで、秘密鍵(key.pem)を展開した場所に移動して、キーをインポートします。
configupdateユーティリティへの変更を保存します。
ユーザアプリケーションを再起動します。
ステップ 1で作成されたeDirectoryサーバのCA証明書をBase64形式にエクスポートするには、次の手順を実行します。
iManagerで、Roles and Task (役割とタスク) > NetIQ Certificate Access (NetIQ証明書へのアクセス) > ユーザ証明書の順に移動します。
作成した証明書を選択します。
エクスポートをクリックして、[Export private key (秘密鍵のエクスポート)]チェックボックスをクリアします。
エクスポート形式をドロップダウンメニューからBASE64として選択します。
次へをクリックし、証明書を保存します。たとえば、cacert.b64です。
次のコマンドを使用して、キーストアにCA証明書をインポートします。
keytool -import -alias <alias name> -file cacert.b64 -keystore <keystore file> –noprompt
次に例を示します。
keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt
証明書を監査コネクタのトラストストアにインポートするには、次の手順を実行します。
管理者としてSentinelメインインタフェースにログインします。
メインのESMディスプレイで、Auditサーバを参照します。
Auditサーバを右クリックして、編集をクリックします。
セキュリティタブで、Strict (厳しい)を選択します。
メモ:デフォルトでは、Open (オープン) (非セキュア)モードを使用することで、最初の接続を許可ように設定されています。ただし、運用環境で使用している場合は、モードがStrict (厳しい)に設定されていることを確認してください。
インポートをクリックして、ステップ 9で作成した証明書に移動します。たとえば、idmKeystore.ksです。
Open (オープン)をクリックし、保存をクリックします。
Auditサーバを再起動します。
ユーザアプリケーションを再起動します。