ビュー:
インストール中、Deep Security ManagerはTLSを使用してコンソールに初めて接続するために自己署名のX.509証明書を自動的に生成します。ウェブブラウザはこの自己署名証明書の認証局 (CA) を認識しないため、証明書の署名を検証できず、自動的に信頼しません。ブラウザはセキュリティ警告を表示し、接続するために証明書を手動で検証するよう求めます。管理者が接続するたびにこれを避けるためには、このデフォルト証明書を信頼できるCAからの証明書に置き換えることができます。
警告
警告
デフォルトの証明書を無効な証明書や不完全な証明書署名チェーンを持つ証明書に置き換えると、修正するまでDeep Security Managerコンソールに接続できなくなります。証明書を置き換える前に、指示をよく読んでください。
注意
注意
証明書は、 Deep Security Managerのアップグレード時に保持されます。再度アップロードする必要はありません。
証明書を置き換えるには、次のいずれかを実行します。

秘密鍵とJavaキーストアの生成

多くの公開CAと秘密CAには、公開鍵と秘密鍵のペアと証明書署名要求 (CSR) を同時に生成できるWebサイトがあります。たとえば、次のことができますMicrosoft Active Directoryでキー ペアと CSR を同時に生成するまたはopensslCA、ダウンロードしてPKCS #12 ファイルをインポートする署名済み証明書と秘密鍵の両方を Java キーストアに入れます。
これを行う場合は、次の手順をスキップして署名付き証明書 (CSR) を要求し署名付き証明書をキーストアにインポートするに進みます。それ以外の場合は、次の手順を使用してファイルをローカルに生成します。
  1. Deep Security Managerが実行されているコンピュータで、管理者としてコマンドプロンプトを開きます。
  2. コマンドを入力して、新しい秘密鍵とキーストアファイルを生成します。
    次のコマンド例では、新しい秘密鍵のキーストアエントリ (エイリアス) の名前は tomcatです。
    注意
    注意
    [証明書の共通名 (CN) またはサブジェクトの別名 (SAN) のフィールドは、多くの場合、ブラウザのロケーションバーに表示されるドメイン名と異なる必要があります。]
    たとえば、ブラウザのロケーションバーのURLに https://dsm2.infosec.example.comと表示されていても、すべてのDeep Security Managerノードで同じ証明書を使用する場合は、ワイルドカード証明書を共通名 (CN) の *.infosec.example.comで作成します。
    • Linux:
      cd /opt/dsm/jre/bin 
      keytool -genkey \ 
      -alias tomcat \ 
      -keystore ~/.keystore \ 
      -keyalg RSA \ 
      -validity 365 \ 
      -keysize 2048 \ 
      -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA" 
    • Windows:
      cd "C:\Program Files\Trend Micro\Deep Security Manager\jre\bin" 
      keytool -genkey ^ 
      -alias tomcat ^ 
      -keystore C:\Users\Administrator\.keystore ^ 
      -keyalg RSA ^ 
      -validity 365 ^ 
      -keysize 2048 ^ 
      -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA" 
      注意
      注意
      例のコマンドでは、コマンドプロンプト (cmd.exe) 構文を使用しています。代わりにPowerShellを使用する場合は、キャレット (^) をバッククォート (`) に置き換えます。
    keytool コマンドの詳細については、 Java keytoolのドキュメントを参照してください。
  3. キーストアへのアクセスにDeep Security Managerで使用するパスワードを入力します。コマンド例では、これは YOUR_PASSWORDと表示されます。
  4. コマンドを入力して、キーストアをPKCS #12形式でエクスポートします。
    このコマンド例では、エクスポートされるファイルの名前は .YOUR_PKCS12_EXPORTED_KEYSTOREです。
    • Linux:
      keytool -importkeystore \ 
      -srckeystore ~/.keystore \ 
      -destkeystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
      -deststoretype pkcs12
    • Windows:
      keytool -importkeystore ^ 
      -srckeystore C:\Users\Administrator\.keystore ^ 
      -destkeystore "C:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE" ^ 
      -deststoretype pkcs12 
    プロンプトが表示されたら、エクスポートされた (宛先) キーストアの新しいパスワードを入力し、次に元の (ソース) キーストアのパスワードを入力します。

署名付き証明書 (CSR) をリクエスト

証明書署名要求 (CSR) ファイルには、署名されていない証明書と公開鍵が含まれています。Webブラウザが信頼するCAに署名を依頼します。証明書に署名するCAは、Webブラウザによって直接信頼されるルートCA、またはルートCAによって直接または間接的に信頼される中間CAのいずれかです。
  1. コマンドを入力して、PKCS #12ファイルを使用してCSRファイルを生成します。
    -ext 拡張パラメータの san= フィールドに一致するドメイン名またはIPアドレスを指定することで、複数ドメイン/サブジェクトの別名 (SAN) 証明書を作成できます。SAN証明書が必要ない場合は、 -ext パラメータを省略します。
    複数ドメイン/SAN証明書の場合、ブラウザは接続の検証時にCNフィールドを無視する必要があります。代わりに、一致するドメイン名とIPアドレスのカンマ区切りリストを含むSANフィールドを使用します。必要な構文をコマンド例に示します。
    • Linux:
      keytool -certreq \ 
      -alias tomcat \ 
      -keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
      -file YOUR_CSR.csr \ 
      -keyalg RSA \ 
      -ext san=dns:dsm.example.com,dns:*.example.org,ip:10.10.10.5 
    • Windows:
      keytool -certreq ^ 
      -alias tomcat ^ 
      -keystore C:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^ 
      -file YOUR_CSR.csr ^ 
      -keyalg RSA ^ 
      -ext san=dns:dsm.example.com,dns:*.example.org,ip:10.10.10.5 
  2. CSRファイルをCAにアップロードします。要求が処理されたら、署名付き証明書ファイルをダウンロードします。
  3. 中間 CA を使用し、証明書が[いいえ]PKCS #7 形式 (署名チェーンは含まれません) で、CA 証明書と、それとルート CA の間にある他のすべての CA (存在する場合) の証明書もダウンロードします。

署名された証明書をキーストアにインポートする

注意
注意
ブラウザは、証明書に追加されたCA署名のリスト (署名チェーン/信頼チェーン) を使用して証明書を検証し、接続しても安全かどうかを判断します。各CA証明書を順番に評価します。[次の手順に示すように、すべてのCA証明書を正しい順序でインポートする必要があります。]
署名のリストが正しくない場合、Webブラウザは証明書を検証できず、修正するまでコンソールへの接続をブロックします。
  1. ルートCAがすでにキーストアにある場合は、この手順をスキップしてください。それ以外の場合は、コマンドを入力してインポートします。
    ヒント
    ヒント
    キーストアの内容がわからない場合は、次のコマンドで内容を確認できます。
    keytool -list -v 
    このコマンド例では、証明書は.crt形式で、ルートCAのキーストアエントリ (エイリアス) の名前は rootCAです。
    • Linux:
      keytool -import \ 
      -alias rootCA \ 
      -file ~/YOUR_ROOT_CA.crt \ 
      -keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
      -storepass YOUR_PASSWORD 
    • Windows:
      keytool -import ^ 
      -alias rootCA ^ 
      -file c:\Users\Administrator\YOUR_ROOT_CA.crt ^ 
      -keystore c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^ 
      -storepass YOUR_PASSWORD 
  2. 中間CA (存在する場合) がすでにキーストアにある場合は、この手順をスキップします。それ以外の場合は、コマンドを入力してインポートします。ルートCAによって署名されたもので始まり、証明書に署名されたもので終わります。
    • Linux:
      keytool -import \ 
      -alias intermediateCA \ 
      -trustcacerts \ 
      -file ~/YOUR_INTERMEDIARY_CA.crt \ 
      -keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
      -storepass YOUR_PASSWORD 
    • Windows:
      keytool -import ^ 
      -alias intermediateCA ^ 
      -trustcacerts ^ 
      -file c:\Users\Administrator\YOUR_INTERMEDIARY_CA.crt ^ 
      -keystore c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^ 
      -storepass YOUR_PASSWORD 
  3. 署名付き証明書をインポートするコマンドを入力します。
    • Linux:
      keytool -import \ 
      -alias tomcat \ 
      -trustcacerts \ 
      -file ~/YOUR_SIGNED_CERTIFICATE.crt \ 
      -keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \ 
      -storepass YOUR_PASSWORD 
    • Windows:
      keytool -import ^ 
      -alias tomcat ^ 
      -trustcacerts ^ 
      -file c:\Users\Administrator\YOUR_SIGNED_CERTIFICATE.crt ^ 
      -keystore c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^ 
      -storepass YOUR_PASSWORD 
    インポートが成功すると、次のメッセージが表示されます。
    Certificate reply was installed in keystore

キーストアを使用するためのDeep Security Managerの設定

  1. 次のコマンドを入力して、設定ファイルと古いキーストアファイルをバックアップし、キーストアファイルを置き換えてから、キーストアパスワードを更新します。
    • Linux:
      cp /opt/dsm/configuration.properties /opt/dsm/configuration.properties.bak 
      cp /opt/dsm/.keystore /opt/dsm/.keystore.bak 
      cp ~/.YOUR_PKCS12_EXPORTED_KEYSTORE /opt/dsm/.keystore 
    • Windows:
      copy "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties" 
            "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties.bak" 
      copy "C:\Program Files\Trend Micro\Deep Security Manager\.keystore" 
            "C:\Program Files\Trend Micro\Deep Security Manager\.keystore.bak" 
      copy "c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE" 
            "C:\Program Files\Trend Micro\Deep Security Manager\.keystore" 
    注意
    注意
    デフォルトのキーストアファイルは、元の場所に上書きする[必須]があります。新しいファイル名や別の場所を指すようにパスを設定しないでください。Deep Security Managerのアップグレードでは、キーストアパスの変更が保持されないため、変更が元に戻されます。
  2. プレーンテキストエディタで configuration.properties ファイルを開き、キーストアのパスワード設定を更新します。
    keystorePass=YOUR_PASSWORD
  3. Deep Security Managerサービスを再起動します。
  4. Managerで新しい証明書が使用されていることを確認するには、Webブラウザを開き、 Deep Security Managerコンソールに接続します。ロケーションバーの南京錠アイコンをクリックし、フィンガープリント (SHA-256署名) などの証明書の詳細を確認します。

Deep Security Managerで自己署名証明書を再生成する (概要)

自己署名証明書を再生成する前に、次のコマンドを実行して古い.keystoreをバックアップする必要があります。
Linux:
cp /opt/dsm/configuration.properties /opt/dsm/configuration.properties.bak
cp /opt/dsm/.keystore /opt/dsm/.keystore.bak
Windows:
copy "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties" "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties.bak"
copy "C:\Program Files\Trend Micro\Deep Security Manager\.keystore" "C:\Program Files\Trend Micro\Deep Security Manager\.keystore.bak"
次のように新しい.keystoreを作成します:
  • Linux:
    1. Deep Security Managerがインストールされているコンピュータで、管理者としてコマンドプロンプトを開き、/opt/dsm/jre/binディレクトリに移動します。
    2. 次のコマンドを実行し、cnの値をお使いのDeep Security Managerに合わせて置き換えてください。
      keytool -genkey -alias tomcat -keystore ~/.keystore -keyalg RSA -validity 365 -keysize 2048 -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"
    3. プロンプトが表示されたら、後で/opt/dsm/configuration.propertiesファイルのkeystorePass値に設定するパスワードを入力してください。
    4. プロンプトが表示されたら、tomcatのキーのパスワードを入力するか、Enterキーを押してキーストアファイルと同じキーにしてください。
    5. 次のコマンドを実行して新しいキーストアを正しい場所にコピーします: cp ~/.keystore /opt/dsm/.keystore
    6. /opt/dsm/configuration.propertiesファイルでkeystorePass値のキーストアパスワードを設定し、ファイルを保存します。
    7. Deep Security Managerの再起動。
    8. ブラウザが証明書を検証できることを確認してください。
  • Windows:
    1. Deep Security Managerがインストールされているコンピュータで、管理者としてコマンドプロンプトを開き、C:\Program Files\Trend Micro\Deep Security Manager\jre\binディレクトリに移動します。
    2. 次のコマンドを実行し、cnの値をお使いのDeep Security Managerに合わせて置き換えてください。
      keytool -genkey -alias tomcat -keystore C:\Users\Administrator\.keystore -keyalg RSA -validity 365 -keysize 2048 -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"
    3. 求められたら、後でC:\Program Files\Trend Micro\Deep Security Manager\configuration.propertiesファイルのkeystorePass値に設定するパスワードを入力してください。
    4. プロンプトが表示されたら、tomcatのキーのパスワードを入力するか、Enterキーを押してキーストアファイルと同じキーにしてください。
    5. 次のコマンドを実行して、新しいキーストアを正しい場所にコピーしてください。
      copy "c:\Users\Administrator\.keystore" "C:\Program Files\Trend Micro\Deep Security Manager\.keystore"
    6. C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties ファイルで、keystorePass 値のキーストアパスワードを設定し、ファイルを保存します。
    7. Deep Security Managerの再起動。
    8. ブラウザが証明書を検証できることを確認してください。