HTTPS通信でWebコンソールにアクセスする場合は、HTTP通信(デフォルト)をHTTPS通信に変更します。
目的・背景
セキュアな運用を行う場合、本手順を実施することでITサービス管理のすべてのWebインターフェース(Webコンソール(運用者/管理者用)、Webコンソール(利用者用))がHTTPS通信に変更されます。
手順
-
ITサービス管理がインストールされているサーバに、スーパー・ユーザーでログインします。
-
証明書/鍵管理環境を作成します。
-
証明書、秘密鍵管理に必要な4つの管理ディレクトリ(スロット情報、運用、証明書、CRL)を作成します。
例)
# mkdir -p /export/home/slot スロット情報管理ディレクトリ
# mkdir -p /export/home/sslcert 運用管理ディレクトリ
# mkdir -p /export/home/sslcert/cert 証明書管理ディレクトリ
# mkdir -p /export/home/sslcert/crl CRL管理ディレクトリ
-
秘密鍵の管理に必要な秘密鍵管理環境の作成と設定を行います。
-
スロット情報ディレクトリの生成と初期化を行います。
ここで、スロットパスワードを設定します。
# /opt/FJSVsclr64/bin/makeslot -d スロット情報管理ディレクトリのパス
例)
スロット情報管理ディレクトリのパスが、"/export/home/slot"の場合
/opt/FJSVsclr64/bin/makeslot -d /export/home/slot
New Slot-password:
Retype:
makeslot: Succeeded. New Slot-ID is 1.
-
トークンの初期設定を行います。
前の手順で設定したスロットパスワードを入力します。
ここで、SO-PINとUser-PINを設定します。
設定したSO-PINとUser-PINは今後の手順で利用するため、記録しておいてください。
# /opt/FJSVsclr64/bin/maketoken -d スロット情報管理ディレクトリのパス -s 1 -t トークン名
例)
スロット情報管理ディレクトリのパスが、"/export/home/slot"、
トークン名が、"itsmToken"の場合
# /opt/FJSVsclr64/bin/maketoken -d /export/home/slot -s 1 -t itsmToken
Slot-password:
New SO-PIN for itsmToken:
Retype:
New User-PIN for itsmToken:
Retype:
-
証明書およびCRLの管理に必要となる証明書/CRL管理環境の作成と設定を行います。
-
証明書/CRL管理環境を作成します。
# /opt/FJSVsmee64/bin/cmmkenv 運用管理ディレクトリのパス -todir 証明書管理ディレクトリのパス,CRL管理ディレクトリのパス
例)
運用管理ディレクトリのパスが、"/export/home/sslcert"、
証明書管理ディレクトリのパスが、"/export/home/sslcert/cert"、
CRL管理ディレクトリのパスが、"/export/home/sslcert/crl"の場合
# /opt/FJSVsmee64/bin/cmmkenv /export/home/sslcert -todir /export/home/sslcert/cert,/export/home/sslcert/crl
-
証明書/CRL管理環境を設定します。
# /opt/FJSVsmee64/bin/cmsetenv 運用管理ディレクトリのパス -sd スロット情報管理ディレクトリのパス -jc 1
例)
運用管理ディレクトリのパスが、"/export/home/sslcert"、
スロット情報管理ディレクトリのパスが、"/export/home/slot"の場合
# /opt/FJSVsmee64/bin/cmsetenv /export/home/sslcert -sd /export/home/slot -jc 1
-
秘密鍵の作成と証明書を取得します。
-
証明書取得申請書を作成(同時に秘密鍵を作成)します。
#/opt/FJSVsmee64/bin/cmmakecsr -ed 運用管理ディレクトリのパス -sd スロット情報管理ディレクトリのパス -tl トークン名 -of 証明書出力先のパス -f TEXT -c JP -cn FQDN -sa SHA256 -kt RSA -kb 2048 { [-o 組織名] [-ou 部署名] [-ea メールアドレス] [-t タイトル] [-tel 電話番号] [-l 市町区村] [-s 都道府県]}
[ENTER TOKEN PASSWORD=>]が表示された場合は、設定したUser-PINを入力します。
なお、入力する文字はエコーバックされません。
例)
運用管理ディレクトリのパスが、"/export/home/sslcert"、
スロット情報管理ディレクトリのパスが、"/export/home/slot"、
トークン名が、"itsmToken"、
証明書出力先のパスが、"/export/home/myCertRequest"、
FQDNが、"www.cbsm.local"、
都道府県が、"Kanagawa"、
市町区村が、"Kawasaki-city"、
組織名が、"Fujitsu"の場合
# /opt/FJSVsmee64/bin/cmmakecsr -ed /export/home/sslcert -sd /export/home/slot -tl itsmToken -of /export/home/myCertRequest -f TEXT -c JP -cn "www.cbsm.local" -sa SHA256 -kt RSA -kb 2048 -o Fujitsu -s "Kanagawa" -l "Kawasaki-city"
ENTER TOKEN PASSWORD=>
→
"myCertRequest"というファイル名で証明書取得申請書が作成されます。
-
作成された証明書取得申請書ファイルを認証局へ送付し、サイト証明書の発行を依頼します。依頼方法は認証局に従ってください。
-
認証局により署名された証明書を取得します。取得方法は認証局に従ってください。
-
証明書とCRLの登録を行います。
-
認証局のルート証明書を登録します。
# /opt/FJSVsmee64/bin/cmentcert ルート証明書のパス -ed 運用管理ディレクトリのパス -ca -nn RootCA
例)
ルート証明書のパスが、"/export/home/root-ca_cert.der"、
運用管理ディレクトリのパスが、"/export/home/sslcert"の場合
# /opt/FJSVsmee64/bin/cmentcert /export/home/root-ca_cert.der -ed /export/home/sslcert -ca -nn RootCA
-
中間CA証明書を登録します。
# /opt/FJSVsmee64/bin/cmentcert 中間CA証明書のパス -ed 運用管理ディレクトリのパス -ca -nn MidCA
例)
中間CA証明書のパスが、"/export/home/mid-ca_cert.der"、
運用管理ディレクトリのパスが、"/export/home/sslcert"の場合
# /opt/FJSVsmee64/bin/cmentcert /export/home/mid-ca_cert.der -ed /export/home/sslcert -ca -nn MidCA
-
サイト証明書を登録します。
# /opt/FJSVsmee64/bin/cmentcert サイト証明書のパス -ed 運用管理ディレクトリのパス -own -nn MySite
例)
サイト証明書のパスが、"/export/home/mysite.der"、
運用管理ディレクトリのパスが、"/export/home/sslcert"の場合
# /opt/FJSVsmee64/bin/cmentcert /export/home/mysite.der -ed /export/home/sslcert -own -nn MySite
-
HTTPS通信の環境設定を行います。
-
User-PINを暗号化し、ユーザーPIN管理ファイルに登録します。
# mkdir -p ユーザーPIN管理ファイルのディレクトリのパス
# /opt/FJSVbsmsvd/bsmahs/bin/ihsregistupin -f ユーザーPIN管理ファイルのパス -d スロット情報管理ディレクトリのパス
UserPIN:
例)
ユーザーPIN管理ファイルのディレクトリのパスが、"/export/home/ssl"、
ユーザーPIN管理ファイルのパスが、"/export/home/ssl/upinfile"、
スロット情報管理ディレクトリのパスが、"/export/home/slot"の場合
# mkdir -p /export/home/ssl
# /opt/FJSVbsmsvd/bsmahs/bin/ihsregistupin -f /export/home/ssl/upinfile -d /export/home/slot
UserPIN:
-
環境設定ファイル"httpd.conf"を編集します。
-
"httpd.conf"を開きます。
# vi /opt/FJSVbsmsvd/bsmahs/conf/httpd.conf
-
以下の行のコメントアウトを解除(行頭の「#」を削除)し、有効化します。
変更前)
# LoadModule ahs_ssl_module "/opt/FJSVbsmvd/bsmahs/modules/mod_ahs_ssl.so"
変更後)
LoadModule ahs_ssl_module "/opt/FJSVbsmsvd/bsmahs/modules/mod_ahs_ssl.so"
-
ファイルの末尾に以下の文字列を追加し、保存します。
SSLSlotDir "スロット情報管理ディレクトリのパス"
SSLTokenLabel トークン名
SSLUserPINFile "ユーザーPIN管理ファイルのパス"
SSLExec on
SSLVersion 3.1
SSLVerifyClient none
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA
SSLEnvDir "運用管理ディレクトリのパス"
SSLCertName MySite
例)
スロット情報管理ディレクトリのパスが、"/export/home/slot"、
トークン名が、"itsmToken"、
ユーザーPIN管理ファイルのパスが、"/export/home/ssl/upinfile"、
運用管理ディレクトリのパスが、"/export/home/sslcert"の場合
SSLSlotDir "/export/home/slot"
SSLTokenLabel itsmToken
SSLUserPINFile "/export/home/ssl/upinfile"
SSLExec on
SSLVersion 3.1
SSLVerifyClient none
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA
SSLEnvDir "/export/home/sslcert"
SSLCertName MySite
-
Webサーバを再起動します。
-
Webサーバを停止します。
-
Webサーバを起動します。
Webサーバの起動に失敗する場合は、以下を確認してください。
- 環境設定ファイル"httpd.conf"の設定に誤りがないか
- 登録した証明書に誤りがないか
証明書に誤りがある場合は、以下の手順で証明書を削除したあと、再度登録してください。
例)
MySiteを削除する場合
- 証明書一覧表示コマンドを実行し、登録されていることを確認します。
# /opt/FJSVsmee64/bin/cmlistcert -ed 運用管理ディレクトリのパス -nn MySite
- 証明書削除コマンドを実行し、証明書を削除します。
# /opt/FJSVsmee64/bin/cmrmcert -ed 運用管理ディレクトリのパス -nn MySite
-
ITサービス管理のWebコンソールの表示確認を行います。
-
Webブラウザを起動して、以下のHTTPSのURLを指定します。
https://証明書取得申請時に指定したFQDN:Webコンソールのポート番号/otrs/index.pl
-
ブラウザの信頼できるルート証明書に、ルート証明書をインポートします。
-
管理者権限を持つユーザーでログインします。
証明書取得申請時に指定したFQDNを指定しないでログイン画面を表示した場合、SSL証明書の警告が表示される場合があります。
-
ITサービス管理のHTTPS通信の設定を変更します。
-
ナビゲーション・バーの[管理]をクリックします。
-
[システム管理]の[システムコンフィグ]をクリックします。
-
[選択した設定グループへ移動]で[Framework]を選択し、サブグループの[Core]をクリックします。
-
[HttpType]で、[https]を選択します。
-
[更新]をクリックします。
-
ログアウトアイコンをクリックしログアウトします。
-
運用者と利用者のブラウザにルート証明書をインポートします。
-
ITサービス管理を利用する運用者と利用者に対して、信頼できるルート証明書を配布します。
-
運用者と利用者が利用するブラウザの信頼できるルート証明書に、ルート証明書をインポートします。
