HTTPS通信に使用する証明書を変更します。

• HTTPS通信の設定を行っている場合に実施してください。

  HTTPS通信の設定については、「5.11 Webコンソールをセキュアに運用する場合(HTTPS通信)の設定を行う」を参照してください。

• ルート証明書が変更される場合、Webコンソールにログインするすべてのブラウザに対して、信頼できるルート証明書に新しいルート証明書をインポートする必要があります。

• HTTPS通信の設定はスーパー・ユーザーで実行してください。

• 以前の証明書取得申請書ファイルや各証明書ファイルは、必要に応じて退避してください。

1. 管理サーバ(ITサービス管理機能 Webコンポーネント)に、スーパー・ユーザーでログインします。

2. 以前の証明書署名要求ファイルが存在する場合は、ファイル名を変更します。

   例)

   証明書取得申請書ファイルを「/export/home/sslcert/server.csr」から「/export/home/sslcert/server.csr.old」に変更する場合

    # mv /export/home/sslcert/server.csr /export/home/sslcert/server.csr.old

3. 秘密鍵/証明書を作成します。

   1. 秘密鍵を作成します。

      # /opt/FJSVbsmsvd/bsmahs/oss/openssl/bin/openssl genrsa -out 秘密鍵のパス -passout pass:パスフレーズ -aes256 2048

      例)

      秘密鍵のパスが、「/export/home/sslcert/cert/server.key」、

      パスフレーズが、「a1bcd2efgh3ijkl4」の場合

      # /opt/FJSVbsmsvd/bsmahs/oss/openssl/bin/openssl genrsa -out /export/home/sslcert/cert/server.key -passout pass:a1bcd2efgh3ijkl4 -aes256 2048

   2. 証明書署名要求を作成します。

      詳細な証明書署名要求の作成方法については、認証局にご確認ください。

      参考情報として、以下に証明書署名要求の作成例を示します。

      # /opt/FJSVbsmsvd/bsmahs/oss/openssl/bin/openssl req -new -key 秘密鍵のパス -out 証明書署名要求のパス -config openssl.cnfのパス -subj "{[/C=国名][/ST=都道府県名][/L=市区町村名][/O=組織名][/CN=コモンネーム(FQDN)]}" -passin pass:パスフレーズ

      例)

      秘密鍵のパスが、「/export/home/sslcert/cert/server.key」、

      証明書署名要求のパスが、「/export/home/sslcert/server.csr」、

      openssl.cnfのパスが、「/opt/FJSVbsmsvd/bsmahs/oss/openssl/ssl/openssl.cnf」、

      国名が、「JP」、

      都道府県名が、「Kanagawa」、

      市区町村名が、「Kawasaki-city」、

      組織名が、「Fujitsu」、

      コモンネーム(FQDN)が、「www.cbsm.local」、

      パスフレーズが、「a1bcd2efgh3ijkl4」の場合

      # /opt/FJSVbsmsvd/bsmahs/oss/openssl/bin/openssl req -new -key /export/home/sslcert/cert/server.key -out /export/home/sslcert/server.csr -config /opt/FJSVbsmsvd/bsmahs/oss/openssl/ssl/openssl.cnf -subj "/C=JP/ST=Kanagawa/L=Kawasaki-city/O=Fujitsu/CN=www.cbsm.local" -passin pass:a1bcd2efgh3ijkl4

   3. 作成された証明書署名要求ファイルを認証局へ送付し、サイト証明書の発行を依頼します。依頼方法は認証局に従ってください。

   4. 認証局により署名されたサイト証明書を取得します。取得方法は認証局に従ってください。取得したサイト証明書は、「証明書管理ディレクトリ」へ配置してください。

      例)

      サイト証明書が、「server.pem」、

      証明書管理ディレクトリが、「/export/home/sslcert/cert」の場合

      # mv server.pem /export/home/sslcert/cert

   5. 中間CA証明書を利用する場合は、認証局により署名されたサイト証明書に中間CA証明書マージして、サイト証明書に中間CA証明書を含めてください。

4. パスフレーズを、パスフレーズ管理ファイルに登録します。

   • ahsregistupinコマンドにより、パスフレーズを暗号化してパスフレーズ管理ファイルに登録します。

     # /opt/FJSVbsmsvd/bsmahs/bin/ahsregistupin -f パスフレーズ管理ファイル

     例)

     パスフレーズ(対話入力)を暗号化して登録するパスフレーズ管理ファイルが、「/export/home/sslcert/upinfile」の場合

     # /opt/FJSVbsmsvd/bsmahs/bin/ahsregistupin -f /export/home/sslcert/upinfile

5. Webサーバを停止します。

   • HTTPS通信の環境設定を行う前に、Webサーバを停止します。

     # service bsm-ahs stop

6. HTTPS通信の環境設定を行います。

   • 環境設定ファイル「httpd.conf」を編集します。

     1. 「httpd.conf」を開きます。

        # vi /etc/httpd/conf/httpd.conf

     2. 「SSLCertificateFile」にて、サイト証明書を指定します。

        SSLCertificateFile サイト証明書 例) サイト証明書が、「/export/home/sslcert/cert/server.pem」の場合 SSLCertificateFile /export/home/sslcert/cert/server.pem

     3. 「SSLCertificateKeyFile」にて、秘密鍵を指定します。

        SSLCertificateKeyFile 秘密鍵 例) 秘密鍵が、「/export/home/sslcert/cert/server.key」の場合 SSLCertificateKeyFile /export/home/sslcert/cert/server.key

     4. 「SSLUserPINFile」にて、パスフレーズ管理ファイルを指定します。

        SSLUserPINFile パスフレーズ管理ファイル 例) パスフレーズ管理ファイルが、「/export/home/sslcert/upinfile」の場合 SSLUserPINFile /export/home/sslcert/upinfile

7. Webサーバを再起動します。

   • Webサーバを再起動します。

     # service bsm-ahs start

     Webサーバの起動に失敗する場合は、以下を確認してください。

     • 環境設定ファイル(httpd.conf)の設定に誤りがないか

     • 作成したした証明書に誤りがないか

8. ITサービス管理のWebコンソールの表示確認を行います。

   1. Webブラウザを起動して、以下のHTTPSのURLを指定します。

      https://証明書取得申請時に指定したコモンネーム(FQDN):Webコンソールのポート番号/otrs/index.pl

   2. ブラウザの信頼できるルート証明書に、ルート証明書をインポートします。

   3. 管理者権限を持つユーザーでログインします。

      証明書取得申請時に指定したコモンネーム(FQDN)を指定しないでログイン画面を表示した場合、SSL証明書の警告が表示される場合があります。

9. ルート証明書が変更される場合は、運用者と利用者のブラウザにルート証明書をインポートします。

   1. ITサービス管理を利用する運用者と利用者に対して、信頼できるルート証明書を配布します。

   2. 運用者と利用者が利用するブラウザの信頼できるルート証明書に、ルート証明書をインポートします。