TMWSaaSオンプレミス用のCA証明書のクロス署名

このセクションでは、オンプレミスゲートウェイで使用するためにCA証明書にCSRファイルでクロス署名する方法を説明します。

次の項目を確認してください。
- 組織のCA証明書および対応するCA秘密鍵とそのパスフレーズがすでに存在すること
- 組織のCA証明書の [Path Length Constraint] が [None] に設定されており、階層の下にあるCA証明書に制限が適用されないこと
- 管理者にopensslコマンドの基礎知識があること
CrossSignTMWSCA_onpremという名前のフォルダを作成します。
注:
このセクションで作成するフォルダおよびファイルの名前は、ユーザが自由に設定できます。
新しく作成したフォルダに移動します。
newcertsという名前のサブフォルダを作成します。
certindexという名前の空のファイルを作成します。
ファイルを作成し、次のテキストをファイルにコピーして貼り付けて、serialfileとして保存します。
```
000a
```

ファイルを作成し、次のテキストをファイルにコピーして貼り付けて、tmwsaas_ca.csrとして保存します。

ファイルを作成して、次のテキストをファイルにコピーして貼り付けて、myca.confという名前の設定ファイルとして保存します。

[ca]
default_ca = rootca

[crl_ext]
#issuerAltName=issuer:copy  #this would copy the issuer name to altname
authorityKeyIdentifier=keyid:always

[rootca]
new_certs_dir = newcerts
unique_subject = no
certificate = root.cer  #Your organization's CA certificate
database = certindex
private_key = root.key  #Your organization's CA private key
serial = serialfile
default_days = 3660     #Should be at least two years from the date of cross-signing
default_md = sha256     #sha256 is required.
policy = myca_policy
x509_extensions = myca_extensions

[ myca_policy ]
countryName = supplied
stateOrProvinceName = supplied
localityName = supplied
organizationName = supplied
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ myca_extensions ]     #These extensions are required.
basicConstraints = CA:true
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = keyCertSign, cRLSign

次のコマンドを実行し、CSRファイルを使用して組織のCA証明書にクロス署名します。 openssl ca -batch -config myca.conf -notext -days 7320 -in tmwsaas_ca.csr -out tmwsaas_ca.cer
0A.pemという名前のクロス署名された証明書が、「newcerts」フォルダに生成されます。
[HTTPSインスペクション] > [復号ルール] に移動し、必要に応じて復号ルールの [証明書] セクションの[オンプレミス用のクロス署名された証明書] に証明書をアップロードします。