Deep Security Manager TLS証明書の置き換え

ビュー:

インストール中、Deep Security ManagerはTLSを使用してコンソールに初めて接続するために自己署名のX.509証明書を自動的に生成します。ウェブブラウザはこの自己署名証明書の認証局 (CA) を認識しないため、証明書の署名を検証できず、自動的に信頼しません。ブラウザはセキュリティ警告を表示し、接続するために証明書を手動で検証するよう求めます。管理者が接続するたびにこれを避けるためには、このデフォルト証明書を信頼できるCAからの証明書に置き換えることができます。

警告

デフォルトの証明書を無効な証明書や不完全な証明書署名チェーンを持つ証明書に置き換えると、修正するまでDeep Security Managerコンソールに接続できなくなります。証明書を置き換える前に、指示をよく読んでください。

注意

証明書は、 Deep Security Managerのアップグレード時に保持されます。再度アップロードする必要はありません。

証明書を置き換えるには、次のいずれかを実行します。

[Deep Security Managerドメイン名の新しい証明書を要求する]
1. FIPSモードが有効になっている場合 (FIPS 140サポートを参照)、証明書を置き換える前にFIPSモードを無効にしてください。
2. 秘密鍵とJavaキーストアを生成します。
3. 署名付き証明書 (CSR) をリクエストする。
4. 署名された証明書をキーストアにインポートします。
5. 新しいキーストアを使用するようにDeep Securityを設定します。
6. 最初の手順でFIPSモードを無効にした場合は、ここでFIPSモードを再度有効にします。
[既存のJavaキーストアファイルまたは証明書を使用する]

以前のインストールからの証明書ファイルのバックアップがある場合、または複数のドメイン名 (*.example.comなどのワイルドカード証明書、または複数ドメイン/サブジェクト代替名 ( SAN) フィールド証明書) である場合は、代わりにそれを使用できます。
1. FIPSモードが有効になっている場合 (FIPS 140サポートを参照)、証明書を置き換える前にFIPSモードを無効にしてください。
2. 完全な証明書署名チェーンがあることを確認します。必要に応じて、証明書を発行したCAに問い合わせます。
3. 新しいキーストアを使用するようにDeep Securityを設定します。
4. 最初の手順でFIPSモードを無効にした場合は、ここでFIPSモードを再度有効にします。

秘密鍵とJavaキーストアの生成

多くの公開CAと秘密CAには、公開鍵と秘密鍵のペアと証明書署名要求 (CSR) を同時に生成できるWebサイトがあります。たとえば、次のことができますMicrosoft Active Directoryでキーペアと CSR を同時に生成するまたはopensslCA、ダウンロードしてPKCS #12 ファイルをインポートする署名済み証明書と秘密鍵の両方を Java キーストアに入れます。

これを行う場合は、次の手順をスキップして署名付き証明書 (CSR) を要求し、署名付き証明書をキーストアにインポートするに進みます。それ以外の場合は、次の手順を使用してファイルをローカルに生成します。

Deep Security Managerが実行されているコンピュータで、管理者としてコマンドプロンプトを開きます。

コマンドを入力して、新しい秘密鍵とキーストアファイルを生成します。

次のコマンド例では、新しい秘密鍵のキーストアエントリ (エイリアス) の名前は tomcatです。

注意

[証明書の共通名 (CN) またはサブジェクトの別名 (SAN) のフィールドは、多くの場合、ブラウザのロケーションバーに表示されるドメイン名と異なる必要があります。]

たとえば、ブラウザのロケーションバーのURLに https://dsm2.infosec.example.comと表示されていても、すべてのDeep Security Managerノードで同じ証明書を使用する場合は、ワイルドカード証明書を共通名 (CN) の *.infosec.example.comで作成します。

Linux:

cd /opt/dsm/jre/bin 
keytool -genkey \ 
-alias tomcat \ 
-keystore ~/.keystore \ 
-keyalg RSA \ 
-validity 365 \ 
-keysize 2048 \ 
-dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"

Windows:

cd "C:\Program Files\Trend Micro\Deep Security Manager\jre\bin" 
keytool -genkey ^ 
-alias tomcat ^ 
-keystore C:\Users\Administrator\.keystore ^ 
-keyalg RSA ^ 
-validity 365 ^ 
-keysize 2048 ^ 
-dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"

注意

例のコマンドでは、コマンドプロンプト (cmd.exe) 構文を使用しています。代わりにPowerShellを使用する場合は、キャレット (^) をバッククォート (`) に置き換えます。

keytool コマンドの詳細については、 Java keytoolのドキュメントを参照してください。

キーストアへのアクセスにDeep Security Managerで使用するパスワードを入力します。コマンド例では、これは YOUR_PASSWORDと表示されます。
コマンドを入力して、キーストアをPKCS #12形式でエクスポートします。

このコマンド例では、エクスポートされるファイルの名前は .YOUR_PKCS12_EXPORTED_KEYSTOREです。
- Linux:
```
keytool -importkeystore \ 
-srckeystore ~/.keystore \ 
-destkeystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
-deststoretype pkcs12
```
- Windows:
```
keytool -importkeystore ^ 
-srckeystore C:\Users\Administrator\.keystore ^ 
-destkeystore "C:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE" ^ 
-deststoretype pkcs12 
```
プロンプトが表示されたら、エクスポートされた (宛先) キーストアの新しいパスワードを入力し、次に元の (ソース) キーストアのパスワードを入力します。
署名付き証明書 (CSR) の要求に進みます。

署名付き証明書 (CSR) をリクエスト

証明書署名要求 (CSR) ファイルには、署名されていない証明書と公開鍵が含まれています。Webブラウザが信頼するCAに署名を依頼します。証明書に署名するCAは、Webブラウザによって直接信頼されるルートCA、またはルートCAによって直接または間接的に信頼される中間CAのいずれかです。

コマンドを入力して、PKCS #12ファイルを使用してCSRファイルを生成します。

-ext 拡張パラメータの san= フィールドに一致するドメイン名またはIPアドレスを指定することで、複数ドメイン/サブジェクトの別名 (SAN) 証明書を作成できます。SAN証明書が必要ない場合は、 -ext パラメータを省略します。

複数ドメイン/SAN証明書の場合、ブラウザは接続の検証時にCNフィールドを無視する必要があります。代わりに、一致するドメイン名とIPアドレスのカンマ区切りリストを含むSANフィールドを使用します。必要な構文をコマンド例に示します。
- Linux:
```
keytool -certreq \ 
-alias tomcat \ 
-keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
-file YOUR_CSR.csr \ 
-keyalg RSA \ 
-ext san=dns:dsm.example.com,dns:*.example.org,ip:10.10.10.5 
```
- Windows:
```
keytool -certreq ^ 
-alias tomcat ^ 
-keystore C:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^ 
-file YOUR_CSR.csr ^ 
-keyalg RSA ^ 
-ext san=dns:dsm.example.com,dns:*.example.org,ip:10.10.10.5 
```
CSRファイルをCAにアップロードします。要求が処理されたら、署名付き証明書ファイルをダウンロードします。
中間 CA を使用し、証明書が[いいえ]PKCS #7 形式 (署名チェーンは含まれません) で、CA 証明書と、それとルート CA の間にある他のすべての CA (存在する場合) の証明書もダウンロードします。
署名付き証明書をキーストアにインポートするに進みます。

署名された証明書をキーストアにインポートする

注意

ブラウザは、証明書に追加されたCA署名のリスト (署名チェーン/信頼チェーン) を使用して証明書を検証し、接続しても安全かどうかを判断します。各CA証明書を順番に評価します。[次の手順に示すように、すべてのCA証明書を正しい順序でインポートする必要があります。]

署名のリストが正しくない場合、Webブラウザは証明書を検証できず、修正するまでコンソールへの接続をブロックします。

ルートCAがすでにキーストアにある場合は、この手順をスキップしてください。それ以外の場合は、コマンドを入力してインポートします。
ヒント

キーストアの内容がわからない場合は、次のコマンドで内容を確認できます。

keytool -list -v
このコマンド例では、証明書は.crt形式で、ルートCAのキーストアエントリ (エイリアス) の名前は rootCAです。
- Linux:
```
keytool -import \ 
-alias rootCA \ 
-file ~/YOUR_ROOT_CA.crt \ 
-keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
-storepass YOUR_PASSWORD 
```
- Windows:
```
keytool -import ^ 
-alias rootCA ^ 
-file c:\Users\Administrator\YOUR_ROOT_CA.crt ^ 
-keystore c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^ 
-storepass YOUR_PASSWORD 
```

中間CA (存在する場合) がすでにキーストアにある場合は、この手順をスキップします。それ以外の場合は、コマンドを入力してインポートします。ルートCAによって署名されたもので始まり、証明書に署名されたもので終わります。

Linux:

keytool -import \ 
-alias intermediateCA \ 
-trustcacerts \ 
-file ~/YOUR_INTERMEDIARY_CA.crt \ 
-keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
-storepass YOUR_PASSWORD

Windows:

keytool -import ^ 
-alias intermediateCA ^ 
-trustcacerts ^ 
-file c:\Users\Administrator\YOUR_INTERMEDIARY_CA.crt ^ 
-keystore c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^ 
-storepass YOUR_PASSWORD

署名付き証明書をインポートするコマンドを入力します。

Linux:

keytool -import \ 
-alias tomcat \ 
-trustcacerts \ 
-file ~/YOUR_SIGNED_CERTIFICATE.crt \ 
-keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
-storepass YOUR_PASSWORD

Windows:

keytool -import ^ 
-alias tomcat ^ 
-trustcacerts ^ 
-file c:\Users\Administrator\YOUR_SIGNED_CERTIFICATE.crt ^ 
-keystore c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^ 
-storepass YOUR_PASSWORD

インポートが成功すると、次のメッセージが表示されます。

Certificate reply was installed in keystore

新しいキーストアを使用するためのDeep Securityの設定に進みます。

キーストアを使用するためのDeep Security Managerの設定

次のコマンドを入力して、設定ファイルと古いキーストアファイルをバックアップし、キーストアファイルを置き換えてから、キーストアパスワードを更新します。

Linux:

cp /opt/dsm/configuration.properties /opt/dsm/configuration.properties.bak 
cp /opt/dsm/.keystore /opt/dsm/.keystore.bak 
cp ~/.YOUR_PKCS12_EXPORTED_KEYSTORE /opt/dsm/.keystore

Windows:

copy "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties" 
      "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties.bak" 
copy "C:\Program Files\Trend Micro\Deep Security Manager\.keystore" 
      "C:\Program Files\Trend Micro\Deep Security Manager\.keystore.bak" 
copy "c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE" 
      "C:\Program Files\Trend Micro\Deep Security Manager\.keystore"

注意

デフォルトのキーストアファイルは、元の場所に上書きする[必須]があります。新しいファイル名や別の場所を指すようにパスを設定しないでください。Deep Security Managerのアップグレードでは、キーストアパスの変更が保持されないため、変更が元に戻されます。

プレーンテキストエディタで configuration.properties ファイルを開き、キーストアのパスワード設定を更新します。
```
keystorePass=YOUR_PASSWORD
```
Deep Security Managerサービスを再起動します。
Managerで新しい証明書が使用されていることを確認するには、Webブラウザを開き、 Deep Security Managerコンソールに接続します。ロケーションバーの南京錠アイコンをクリックし、フィンガープリント (SHA-256署名) などの証明書の詳細を確認します。

Deep Security Managerで自己署名証明書を再生成する (概要)

自己署名証明書を再生成する前に、次のコマンドを実行して古い.keystoreをバックアップする必要があります。

Linux:

cp /opt/dsm/configuration.properties /opt/dsm/configuration.properties.bak

cp /opt/dsm/.keystore /opt/dsm/.keystore.bak

Windows:

copy "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties"
                     "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties.bak"

copy "C:\Program Files\Trend Micro\Deep Security Manager\.keystore" "C:\Program Files\Trend
                     Micro\Deep Security Manager\.keystore.bak"

次のように新しい.keystoreを作成します:

Linux:
1. Deep Security Managerがインストールされているコンピュータで、管理者としてコマンドプロンプトを開き、/opt/dsm/jre/binディレクトリに移動します。
2. 次のコマンドを実行し、cnの値をお使いのDeep Security Managerに合わせて置き換えてください。
  
  keytool -genkey -alias tomcat -keystore ~/.keystore -keyalg RSA -validity 365 -keysize 2048 -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"
3. プロンプトが表示されたら、後で/opt/dsm/configuration.propertiesファイルのkeystorePass値に設定するパスワードを入力してください。
4. プロンプトが表示されたら、tomcatのキーのパスワードを入力するか、Enterキーを押してキーストアファイルと同じキーにしてください。
5. 次のコマンドを実行して新しいキーストアを正しい場所にコピーします: cp ~/.keystore /opt/dsm/.keystore
6. /opt/dsm/configuration.propertiesファイルでkeystorePass値のキーストアパスワードを設定し、ファイルを保存します。
7. Deep Security Managerの再起動。
8. ブラウザが証明書を検証できることを確認してください。
Windows:
1. Deep Security Managerがインストールされているコンピュータで、管理者としてコマンドプロンプトを開き、C:\Program Files\Trend Micro\Deep Security Manager\jre\binディレクトリに移動します。
2. 次のコマンドを実行し、cnの値をお使いのDeep Security Managerに合わせて置き換えてください。
  
  keytool -genkey -alias tomcat -keystore C:\Users\Administrator\.keystore -keyalg RSA -validity 365 -keysize 2048 -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"
3. 求められたら、後でC:\Program Files\Trend Micro\Deep Security Manager\configuration.propertiesファイルのkeystorePass値に設定するパスワードを入力してください。
4. プロンプトが表示されたら、tomcatのキーのパスワードを入力するか、Enterキーを押してキーストアファイルと同じキーにしてください。
5. 次のコマンドを実行して、新しいキーストアを正しい場所にコピーしてください。
  
  copy "c:\Users\Administrator\.keystore" "C:\Program Files\Trend Micro\Deep Security Manager\.keystore"
6. C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties ファイルで、keystorePass 値のキーストアパスワードを設定し、ファイルを保存します。
7. Deep Security Managerの再起動。
8. ブラウザが証明書を検証できることを確認してください。