TMWSaaSオンプレミスに会社のCA証明書を使用する
このセクションでは、オンプレミスゲートウェイでのHTTPS復号のために初期設定のTMWSaaS CA証明書を会社のCA証明書に置き換える方法について説明します。独自のCA証明書は、管理コンソールで設定したCA証明書よりも優先されます。
- コマンドコンソールから、オンプレミスゲートウェイのESXiサーバにルートユーザとしてログインします。
-
次の項目を確認してください。
-
独自のCA証明書がある場合は、秘密鍵、パスフレーズ、および証明書のコンテンツを保持するファイルがマシン上にあることを確認し、それらの名前をそれぞれ、default_key.cer、.default.passphrase、およびdefault.cerに変更します。
-
独自のCA証明書がない場合は、次の手順を実行して、鍵、パスフレーズ、および証明書のファイルを生成します。
-
HTTPS秘密鍵ファイルを生成するよう求められたら、次のopensslコマンドを実行し、パスワードを指定します。
openssl genrsa -des3 -out default_key.cer 2048
-
CA証明書ファイルを生成するよう求められたら、次のopensslコマンドを実行し、前の手順で指定したパスワードを入力します。
openssl req -x509 -days <validity period in days> -new -key default_key.cer -out default.cer
注:生成するCA証明書の有効期限を長くすることをお勧めします (例: 20年)。
-
次のシェルコマンドを実行して、.default.passphraseファイルを生成します。
/usr/iwss/bin/encpw your_password > .default.passphrase
重要:ファイル名はdefault_key.cer、.default.passphrase、およびdefault.cerとなり、変更することはできません。
-
-
管理者にopensslコマンドおよびシェルコマンドの基礎知識があること。
-
- この3つのファイルを見つけて、/opt/trend/iwss_usr/bin/ディレクトリにコピーします。
-
次のコマンドを実行して、初期設定のCA証明書を会社のCA証明書に置き換えます。
bash /opt/trend/iwss_usr/bin/use_default_ca.sh replace default.cer default_key.cer .default.passphrase
会社のCA証明書が有効になります。
注:このコマンドを実行するとプロキシサービスが再起動されます。サービス継続性への影響を避けるため、適切な時間にこのコマンドを実行することをお勧めします。
会社のCA証明書の使用を止める必要がある場合は、次のコマンドを実行します。
bash /opt/trend/iwss_usr/bin/use_default_ca.sh disable
管理コンソールで設定したCA証明書がすぐに適用されます。
会社のCA証明書を再利用する必要がある場合は、次のコマンドを実行します。
bash /opt/trend/iwss_usr/bin/use_default_ca.sh enable
会社のCA証明書がすぐに適用されます。
このコマンドを実行するとプロキシサービスが再起動されます。サービス継続性への影響を避けるため、適切な時間にこのコマンドを実行することをお勧めします。
