HTTPS通信に使用する証明書を変更する

HTTPS通信に使用する証明書を変更します。

事前の確認

HTTPS通信の設定を行っている場合に実施してください。
HTTPS通信の設定については、「5.10 Webコンソールをセキュアに運用する場合(HTTPS通信)の設定を行う」を参照してください。
ルート証明書が変更される場合、Webコンソールにログインするすべてのブラウザに対して、信頼できるルート証明書に新しいルート証明書をインポートする必要があります。
HTTPS通信の設定はスーパー・ユーザーで実行してください。
以前の証明書取得申請書ファイルや各証明書ファイルは、必要に応じて退避してください。

手順

ITサービス管理がインストールされているサーバに、スーパー・ユーザーでログインします。
以前の証明書取得申請書ファイルが存在する場合は、ファイル名を変更します。
例)
証明書取得申請書ファイルを"/export/home/myCertRequest"から"/export/home/myCertRequest.old"に変更する場合
```
 # mv /export/home/myCertRequest /export/home/myCertRequest.old
```
秘密鍵の作成と証明書を取得します。
1. 証明書取得申請書を作成(同時に秘密鍵を作成)します。
  #/opt/FJSVsmee64/bin/cmmakecsr -ed 運用管理ディレクトリのパス -sd スロット情報管理ディレクトリのパス -tl トークン名 -of 証明書出力先のパス -f TEXT -c JP -cn FQDN -sa SHA256 -kt RSA -kb 2048 { [-o 組織名] [-ou 部署名] [-ea メールアドレス] [-t タイトル] [-tel 電話番号] [-l 市町区村] [-s 都道府県]}
  [ENTER TOKEN PASSWORD=>]が表示された場合は、設定したUser-PINを入力します。
  
  なお、入力する文字はエコーバックされません。
  
  例)
  
  運用管理ディレクトリのパスが、"/export/home/sslcert"、
  
  スロット情報管理ディレクトリのパスが、"/export/home/slot"、
  
  トークン名が、"itsmToken"、
  
  証明書出力先のパスが、"/export/home/myCertRequest"、
  
  FQDNが、"www.cbsm.local"、
  
  都道府県が、"Kanagawa"、
  
  市町区村が、"Kawasaki-city"、
  
  組織名が、"Fujitsu"の場合
  # /opt/FJSVsmee64/bin/cmmakecsr -ed /export/home/sslcert -sd /export/home/slot -tl itsmToken -of /export/home/myCertRequest -f TEXT -c JP -cn "www.cbsm.local" -sa SHA256 -kt RSA -kb 2048 -o Fujitsu -s "Kanagawa" -l "Kawasaki-city" ENTER TOKEN PASSWORD=>
  →
  "myCertRequest"というファイル名で証明書取得申請書が作成されます。
2. 作成された証明書取得申請書ファイルを認証局へ送付し、サイト証明書の発行を依頼します。依頼方法は認証局に従ってください。
3. 認証局により署名された証明書を取得します。取得方法は認証局に従ってください。

以下を実行して、既存のサイト証明書を削除します。

# /opt/FJSVsmee64/bin/cmrmcert -ed "運用管理ディレクトリのパス" -nn MySite

例)

運用管理ディレクトリのパスが、"/export/home/sslcert"の場合

# /opt/FJSVsmee64/bin/cmrmcert -ed /export/home/sslcert -nn MySite

中間CA証明書が変更される場合は、以下を実行して既存の中間CA証明書を削除します。
```
# /opt/FJSVsmee64/bin/cmrmcert -ed "運用管理ディレクトリのパス" -nn MidCA
```
例)
運用管理ディレクトリのパスが、"/export/home/sslcert"の場合
```
# /opt/FJSVsmee64/bin/cmrmcert -ed /export/home/sslcert -nn MidCA
```
認証局のルート証明書が変更される場合は、以下を実行して既存の認証局のルート証明書を削除します。
```
# /opt/FJSVsmee64/bin/cmrmcert -ed "運用管理ディレクトリのパス" -nn RootCA
```
例)
運用管理ディレクトリのパスが、"/export/home/sslcert"の場合
```
 # /opt/FJSVsmee64/bin/cmrmcert -ed /export/home/sslcert -nn RootCA
```

証明書とCRLの登録を行います。

認証局のルート証明書を登録します。

# /opt/FJSVsmee64/bin/cmentcert ルート証明書のパス -ed 運用管理ディレクトリのパス -ca -nn RootCA

例)

ルート証明書のパスが、"/export/home/root-ca_cert.der"、

運用管理ディレクトリのパスが、"/export/home/sslcert"の場合

# /opt/FJSVsmee64/bin/cmentcert /export/home/root-ca_cert.der -ed /export/home/sslcert -ca -nn RootCA

中間CA証明書を登録します。

# /opt/FJSVsmee64/bin/cmentcert 中間CA証明書のパス -ed 運用管理ディレクトリのパス -ca -nn MidCA

例)

中間CA証明書のパスが、"/export/home/mid-ca_cert.der"、

運用管理ディレクトリのパスが、"/export/home/sslcert"の場合

# /opt/FJSVsmee64/bin/cmentcert /export/home/mid-ca_cert.der -ed /export/home/sslcert -ca -nn MidCA

サイト証明書を登録します。

# /opt/FJSVsmee64/bin/cmentcert サイト証明書のパス -ed 運用管理ディレクトリのパス -own -nn MySite

例)

サイト証明書のパスが、"/export/home/mysite.der"、

運用管理ディレクトリのパスが、"/export/home/sslcert"の場合

# /opt/FJSVsmee64/bin/cmentcert /export/home/mysite.der -ed /export/home/sslcert -own -nn MySite

Webサーバを再起動します。
1. Webサーバを停止します。
  # service bsm-ahs stop
2. Webサーバを起動します。
  # service bsm-ahs start
  Webサーバの起動に失敗する場合は、以下を確認してください。
  
  環境設定ファイル"httpd.conf"の設定に誤りがないか
  
  登録した証明書に誤りがないか
  証明書に誤りがある場合は、以下の手順で証明書を削除したあと、再度登録してください。
  
  例)
  MySiteを削除する場合
  
  証明書一覧表示コマンドを実行し、登録されていることを確認します。
  # /opt/FJSVsmee64/bin/cmlistcert -ed 運用管理ディレクトリのパス -nn MySite
  
  証明書削除コマンドを実行し、証明書を削除します。
  # /opt/FJSVsmee64/bin/cmrmcert -ed 運用管理ディレクトリのパス -nn MySite
ITサービス管理のWebコンソールの表示確認を行います。
1. Webブラウザを起動して、以下のHTTPSのURLを指定します。
  https://証明書取得申請時に指定したFQDN:Webコンソールのポート番号/otrs/index.pl
2. ブラウザの信頼できるルート証明書に、ルート証明書をインポートします。
3. 管理者権限を持つユーザーでログインします。
  
  証明書取得申請時に指定したFQDNを指定しないでログイン画面を表示した場合、SSL証明書の警告が表示される場合があります。
ルート証明書が変更される場合は、運用者と利用者のブラウザにルート証明書をインポートします。
1. ITサービス管理を利用する運用者と利用者に対して、信頼できるルート証明書を配布します。
2. 運用者と利用者が利用するブラウザの信頼できるルート証明書に、ルート証明書をインポートします。

11.1.3 HTTPS通信に使用する証明書を変更する

事前の確認

手順