本製品は、WebブラウザとHTTPS通信を行っており、通信データの暗号化と相互認証のために証明書を利用します。本製品の導入直後は、自己署名証明書が利用されるようになっています。ファイアウォールによって保護されたイントラネットなど、通信相手を信頼できるネットワークでは、自己署名証明書を利用しても問題ありませんが、Webブラウザでは、インターネットでの利用を想定した以下の警告が表示されます。
Webブラウザを起動したあと、最初に接続する際に、セキュリティ証明書に関する警告が表示される
この警告が表示されないようにするには、WebブラウザのURLに指定する本製品のIPアドレスまたはホスト名(FQDN)に対応した証明書を作成し、Webブラウザにインポートする必要があります。
証明書の作成
利用者の端末(WindowsまたはLinux)で、opensslコマンドを実行して証明書を作成してください。
例
以下は、本製品が動作する仮想マシンのIPアドレスが192.0.2.10、証明書の有効期間を約20年(-days 7300)に設定する場合の例です。
openssl.cnfを編集して、本製品のIPアドレスまたはホスト名(FQDN)を追記します。
[ req ] セクションで「req_extensions = v3_req」を定義します。
[ req ] req_extensions = v3_req
[ v3_req ] セクションで「subjectAltName = @alt_names」を定義します。
[ v3_req ] subjectAltName = @alt_names
[ alt_names ]セクションを定義します。セクション内にIPアドレスを定義します。
ホスト名(FQDN)を定義する場合は「DNS.1 = 」の形式で定義します。
[ alt_names ] IP.1 = 192.0.2.10
編集したopenssl.cnfを指定して以下のコマンドを実行し、証明書を作成します。
>..\bin\openssl.exe req -extensions v3_req -sha256 -new -x509 -nodes -newkey rsa:2048 -out server.crt -keyout server.key -days 7300 -config openssl.cnf <RETURN> Generating a 2048 bit RSA private key ..+++ ....................................................+++ writing new private key to 'server.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:<RETURN> State or Province Name (full name) []:<RETURN> Locality Name (eg, city) [Default City]:<RETURN> Organization Name (eg, company) [Default Company Ltd]:<RETURN> Organizational Unit Name (eg, section) []:<RETURN> Common Name (eg, your name or your server's hostname) []:192.0.2.10<RETURN> Email Address []:<RETURN>
生成するcrtファイルの名前を指定します。
生成するkeyファイルの名前を指定します。
証明書の有効期限(日数)を指定します。
コマンド実行日から数えて、有効期限が2038年1月19日を超えない範囲で、本製品の使用が予想される期間より十分に長い日数を指定してください。
openssl.cnfファイルを指定します。
項目 | 要否 | 説明 |
|---|---|---|
Country Name | 任意 | 2文字の国コード(ISO-3166) |
State or Province Name | 任意 | 本製品の所在地の都道府県名を指定します。 |
Locality Name | 任意 | 本製品の所在地の市区町村名を指定します。 |
Organization Name | 任意 | 組織、会社名を指定します。 |
Organizational Unit Name | 任意 | 申請部署名を指定します。 |
Common Name | 必須 | 本製品が動作する仮想マシンのIPアドレスまたはホスト名(FQDN)を指定します。以下は指定例です。
|
Email Address | 任意 | 連絡用メールアドレス |
証明書の設定
作成した証明書を本製品に登録します。
作成した証明書(keyファイルとcrtファイル)を、本製品が動作する仮想サーバにSFTPで転送します。
転送先: /Administrator/ftp
ユーザー: sftpadmin
パスワード: 設定ウィザードの「SFTP専用アカウント(sftpadmin)のパスワード変更」で設定したパスワード
管理者アカウント(administrator)を使用して、本製品のコンソールにログインします。
以下のコマンドを実行して、証明書を本製品に登録します。
# csgadm sslcert set -key /Administrator/ftp/server.key -crt /Administrator/ftp/server.crt
以下のコマンドを実行して、証明書が正しく登録されていることを確認します。
# csgadm sslcert show
以下のコマンドを実行して、HTTPサービスを再起動します。
# csgadm service restart fjsvcsgcp-webserver.service
証明書のインポート
利用するWebブラウザに証明書をインポートします。利用可能なWebブラウザは、「A.3 サポート一覧」を参照してください。証明書のインポート方法は、利用するWebブラウザの手順に従ってください。
参考
本製品に登録されているSSLサーバ証明書は、以下の手順でエクスポートできます。
コンソールから管理者ユーザーで本製品が動作する仮想マシンにログインします。
以下のコマンドを実行します。
# csgadm sslcert export -dir /Administrator/ftp
エクスポートされたSSLサーバ証明書は、SFTPでダウンロードできます。
以下の手順で、HTTPSのポート番号を設定します。
デフォルトで設定されているHTTPSのポート番号(9856)を変更しない場合、本作業は不要です。
コンソールから管理者ユーザーで本製品が動作する仮想マシンにログインします。
以下のコマンドを実行して、HTTPSのポート番号を設定します。
指定可能なポート番号は、5001~9999です。
# csgadm service modify -port portNumber例
以下は、ポート番号を5001に変更する場合のコマンド実行例です。
# csgadm service modify -port 5001
手順2のコマンド実行の延長で、システム再起動の問合せがあります。「y」を応答して、システムを再起動します。