HTTPS通信に使用する証明書を変更する

HTTPS通信に使用する証明書を変更します。

事前の確認

HTTPS通信の設定を行っている場合に実施してください。
HTTPS通信の設定については、「5.11 Webコンソールをセキュアに運用する場合(HTTPS通信)の設定を行う」を参照してください。
ルート証明書が変更される場合、Webコンソールにログインするすべてのブラウザに対して、信頼できるルート証明書に新しいルート証明書をインポートする必要があります。
HTTPS通信の設定はスーパー・ユーザーで実行してください。
以前の証明書取得申請書ファイルや各証明書ファイルは、必要に応じて退避してください。

手順

ITサービス管理がインストールされているサーバに、スーパー・ユーザーでログインします。
以前の証明書署名要求ファイルが存在する場合は、ファイル名を変更します。
例)
証明書取得申請書ファイルを「/export/home/sslcert/server.csr」から「/export/home/sslcert/server.csr.old」に変更する場合
```
 # mv /export/home/sslcert/server.csr /export/home/sslcert/server.csr.old
```
秘密鍵/証明書を作成します。
1. 秘密鍵を作成します。
  # /opt/FJSVbsmsvd/bsmahs/oss/openssl/bin/openssl genrsa -out 秘密鍵のパス -passout pass:パスフレーズ -aes256 2048
  例)
  
  秘密鍵のパスが、「/export/home/sslcert/cert/server.key」、
  
  パスフレーズが、「a1bcd2efgh3ijkl4」の場合
  # /opt/FJSVbsmsvd/bsmahs/oss/openssl/bin/openssl genrsa -out /export/home/sslcert/cert/server.key -passout pass:a1bcd2efgh3ijkl4 -aes256 2048
2. 証明書署名要求を作成します。
  詳細な証明書署名要求の作成方法については、認証局にご確認ください。
  
  参考情報として、以下に証明書署名要求の作成例を示します。
  # /opt/FJSVbsmsvd/bsmahs/oss/openssl/bin/openssl req -new -key 秘密鍵のパス -out 証明書署名要求のパス -config openssl.cnfのパス -subj "{[/C=国名][/ST=都道府県名][/L=市区町村名][/O=組織名][/CN=コモンネーム(FQDN)]}" -passin pass:パスフレーズ
  例)
  
  秘密鍵のパスが、「/export/home/sslcert/cert/server.key」、
  
  証明書署名要求のパスが、「/export/home/sslcert/server.csr」、
  
  openssl.cnfのパスが、「/opt/FJSVbsmsvd/bsmahs/oss/openssl/ssl/openssl.cnf」、
  
  国名が、「JP」、
  
  都道府県名が、「Kanagawa」、
  
  市区町村名が、「Kawasaki-city」、
  
  組織名が、「Fujitsu」、
  
  コモンネーム(FQDN)が、「www.cbsm.local」、
  
  パスフレーズが、「a1bcd2efgh3ijkl4」の場合
  # /opt/FJSVbsmsvd/bsmahs/oss/openssl/bin/openssl req -new -key /export/home/sslcert/cert/server.key -out /export/home/sslcert/server.csr -config /opt/FJSVbsmsvd/bsmahs/oss/openssl/ssl/openssl.cnf -subj "/C=JP/ST=Kanagawa/L=Kawasaki-city/O=Fujitsu/CN=www.cbsm.local" -passin pass:a1bcd2efgh3ijkl4
3. 作成された証明書署名要求ファイルを認証局へ送付し、サイト証明書の発行を依頼します。依頼方法は認証局に従ってください。
4. 認証局により署名されたサイト証明書を取得します。取得方法は認証局に従ってください。取得したサイト証明書は、「証明書管理ディレクトリ」へ配置してください。
  例)
  
  サイト証明書が、「server.pem」、
  
  証明書管理ディレクトリが、「/export/home/sslcert/cert」の場合
  # mv server.pem /export/home/sslcert/cert
5. 中間CA証明書を利用する場合は、認証局により署名されたサイト証明書に中間CA証明書マージして、サイト証明書に中間CA証明書を含めてください。
パスフレーズを、パスフレーズ管理ファイルに登録します。
- ahsregistupinコマンドにより、パスフレーズを暗号化してパスフレーズ管理ファイルに登録します。
  # /opt/FJSVbsmsvd/bsmahs/bin/ahsregistupin -f パスフレーズ管理ファイル
  例)
  
  パスフレーズ(対話入力)を暗号化して登録するパスフレーズ管理ファイルが、「/export/home/sslcert/upinfile」の場合
  # /opt/FJSVbsmsvd/bsmahs/bin/ahsregistupin -f /export/home/sslcert/upinfile
Webサーバを停止します。
- HTTPS通信の環境設定を行う前に、Webサーバを停止します。
  # service bsm-ahs stop
HTTPS通信の環境設定を行います。
- 環境設定ファイル「httpd.conf」を編集します。
  「httpd.conf」を開きます。
  
  # vi /etc/httpd/conf/httpd.conf
  
  「SSLCertificateFile」にて、サイト証明書を指定します。
  
  SSLCertificateFile サイト証明書
  
  例)
  
  サイト証明書が、「/export/home/sslcert/server.pem」の場合
  
  SSLCertificateFile /export/home/sslcert/server.pem
  
  「SSLCertificateKeyFile」にて、秘密鍵を指定します。
  
  SSLCertificateKeyFile 秘密鍵
  
  例)
  
  秘密鍵が、「/export/home/sslcert/server.key」の場合
  
  SSLCertificateKeyFile /export/home/sslcert/server.key
  
  「SSLUserPINFile」にて、パスフレーズ管理ファイルを指定します。
  
  SSLUserPINFile パスフレーズ管理ファイル
  
  例)
  
  パスフレーズ管理ファイルが、「/export/home/sslcert/upinfile」の場合
  
  SSLUserPINFile /export/home/sslcert/upinfile
Webサーバを再起動します。
- Webサーバを再起動します。
  # service bsm-ahs start
  Webサーバの起動に失敗する場合は、以下を確認してください。
  
  環境設定ファイル(httpd.conf)の設定に誤りがないか
  
  作成したした証明書に誤りがないか
ITサービス管理のWebコンソールの表示確認を行います。
1. Webブラウザを起動して、以下のHTTPSのURLを指定します。
  https://証明書取得申請時に指定したコモンネーム(FQDN):Webコンソールのポート番号/otrs/index.pl
2. ブラウザの信頼できるルート証明書に、ルート証明書をインポートします。
3. 管理者権限を持つユーザーでログインします。
  
  証明書取得申請時に指定したコモンネーム(FQDN)を指定しないでログイン画面を表示した場合、SSL証明書の警告が表示される場合があります。
ルート証明書が変更される場合は、運用者と利用者のブラウザにルート証明書をインポートします。
1. ITサービス管理を利用する運用者と利用者に対して、信頼できるルート証明書を配布します。
2. 運用者と利用者が利用するブラウザの信頼できるルート証明書に、ルート証明書をインポートします。

11.1.3 HTTPS通信に使用する証明書を変更する

事前の確認

手順