Deep Security ManagerのTLS証明書の置き換え

オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。

Deep Security Managerは、インストール時にWebコンソールへのアクセス用の自己署名TLS証明書を自動生成します。インストールの完了後、この初期設定の証明書を信頼された認証機関(CA)からの証明書に置き換えることができます。

証明書は、Deep Security Managerのアップグレード時に保持されます。

初期設定の証明書を無効な証明書または不完全な証明書チェーンに置き換えると、Deep Security Managerが到達不能になる可能性があります。証明書を交換する前に、この項の手順をよくお読みください。

オプションAまたはオプションBのいずれかの手順に従って、Deep Security Manager TLS証明書を置き換えます。

オプションA - Deep Security Managerドメイン名の新しい証明書を要求する

これは証明書を置き換える最も信頼性の高い方法です。

  1. 秘密鍵とキーストアを生成するします。
  2. CSRを生成して証明書を要求するする
  3. 署名された証明書をキーストアにインポートするします。
  4. 署名付き証明書ストアを使用するようにDeep Securityを設定する

オプションB - 既存のJava Key Storeファイルを使用する

このシナリオでは、ファイルが以前のインストールからバックアップされたか、ワイルドカード証明書などの共通ドメイン用に作成された状況について説明します。

  1. 完全な証明書チェーンがあることを確認してください。必要に応じて、証明書を発行したCAに問い合わせてください。
  2. 署名付き証明書ストアを使用するようにDeep Securityを設定する

Java Keystoresについて

Javaキーストアは、Javaベースのアプリケーションで使用される証明書を格納するために使用されます。Java KeystoresとKeytoolに慣れていない場合、DigitalOceanには、Java Keytool Essentials:の概念に関する説明があります。Javaキーストアの使用

秘密鍵とキーストアを生成する

  1. Deep Security Managerが実行されているコンピュータで、管理者としてコマンドプロンプトを開きます。
  2. ディレクトリを次のように変更します。
    • Windows:
      C:\Program Files\Trend Micro\Deep Security Manager\jre\bin
    • Linux:
      /opt/dsm/jre/bin
  3. 次のコマンドを実行して、秘密鍵と新しいキーストアを生成します。
    • Windows:
      keytool -genkey -keyalg RSA -alias tomcat -keystore C:\Users\Administrator\.keystore -validity 365 -keysize 2048
    • Linux:
      keytool -genkey -keyalg RSA -alias tomcat -keystore ~/.keystore -validity 365 -keysize 2048

      • Enter keystore password:

      What is your first and last name?

      [Unknown]: <HOSTNAME>

      What is the name of your organizational unit?

      [Unknown]: <COMPANY_OU>

      What is the name of your organization?

      [Unknown]: <COMPANY_NAME>

      What is the name of your City or Locality?

      [Unknown]: <CITY>

      What is the name of your State or Province?

      [Unknown]: <STATE_IF_APPLIES>

      What is the two-letter country code for this unit?

      [Unknown]: <COUNTRY_CODE>

      Is CN=<HOSTNAME>... correct?

      [no]: yes

      Enter key password for <tomcat>

      (RETURN if same as keystore password):

      Re-enter new password:

  4. 警告が表示されます。次のコマンドを実行して、キーストアをPKCS#12形式にエクスポートします。

    このコマンドは、残りの例で使用する、PKCS#12形式の2番目のキーストア(.keystore2)を作成します。

    • Windows:
      keytool -importkeystore -srckeystore C:\Users\Administrator\.keystore -destkeystore C:\Users\Administrator\.keystore2 -deststoretype pkcs12
    • Linux:
      keytool -importkeystore -srckeystore ~/.keystore -destkeystore ~/.keystore2 -deststoretype pkcs12

CSRを生成して証明書を要求する

次のコマンドを使用して証明書の署名要求(CSR), )を生成します。このファイルは、CAに送信して署名付き証明書を要求できます。この例では、ファイルの名前は<HOSTNAME>.csrです。

  • Windows:
    keytool -keystore C:\Users\Administrator\.keystore2 -certreq -alias tomcat -keyalg rsa -file <HOSTNAME>.csr
  • Linux:
    keytool -keystore ~/.keystore2 -certreq -alias tomcat -keyalg rsa -file <HOSTNAME>.csr

次に、CSRファイルを使用して、任意のCAから署名された証明書を要求します。CAから署名された証明書を受け取ったら、引き続き署名された証明書をキーストアにインポートするできます。

署名された証明書をキーストアにインポートする

CAから署名された証明書を取得したら、証明書の応答をkeystoreにインポートします。

証明書は、実際に署名された証明書に到達する前に、ルートCAから1つ以上の中間CAから1つの信頼チェーン内で発行されます。すべてのCA証明書を正しい順序でインポートする必要があります。インポートする内容が不明な場合は、署名された証明書を発行したCAに確認してください。

次の例では、証明書が.crt形式であることを前提としています。

  1. ルートCAをキーストアにインポートするには、次のコマンドを使用します。(署名済み証明書がすでにキーストア.)に配置されているルートCAで署名されている場合は、この手順を省略します。
    • Windows:
      keytool -import -keystore c:\Users\Administrator\.keystore2 -storepass <YOUR_PASSWORD> -alias rootCA -file c:\Users\Administrator\<RootCA>.crt
    • Linux:
      keytool -import -keystore ~/.keystore2 -storepass <YOUR_PASSWORD> -alias rootCA -file ~/<RootCA>.crt
  2. 署名された証明書は、1つ以上の中間CAによって署名されている可能性があります。すべての中間CAがキーストア内にある場合は、この手順をスキップできます。それ以外の場合は、次のコマンドを使用して、欠落している中間CAをキーストアにインポートします。
    • Windows:
      keytool -import -keystore c:\Users\Administrator\.keystore2 -storepass <YOUR_PASSWORD> -trustcacerts -alias intermediateCA -file c:\Users\Administrator\<IntermediateCA>.crt
    • Linux:
      keytool -import -keystore ~/.keystore2 -storepass <YOUR_PASSWORD> -trustcacerts -alias intermediateCA -file ~/<IntermediateCA>.crt
  3. 最後に、次のコマンドを使用して、署名された証明書をキーストアにインポートします。
    • Windows:
      keytool -import -keystore c:\Users\Administrator\.keystore2 -storepass <YOUR_PASSWORD> -trustcacerts -alias tomcat -file c:\Users\Administrator\<HOSTNAME>.crt
    • Linux:
      keytool -import -keystore ~/.keystore2 -storepass <YOUR_PASSWORD> -trustcacerts -alias tomcat -file ~/<HOSTNAME>.crt

    インポートに成功した場合は、次のメッセージが表示されます。

    Certificate reply was installed in keystore

署名付き証明書ストアを使用するようにDeep Securityを設定する

次の例では、新しいkeystoreの名前が.keystore2であることを前提としています。

  1. (Windows) C:\プログラムFiles \ Trend Micro \ Deep Security Manager \ configuration.properties または(Linux) /opt/dsm/configuration.properties ファイルをバックアップします。
  2. 古いkeystoreファイルをバックアップします。
    • Windows:
      copy "C:\Program Files\Trend Micro\Deep Security Manager\.keystore" "C:\Program Files\Trend Micro\Deep Security Manager\.keystore.bak"
    • Linux:
      cp /opt/dsm/.keystore /opt/dsm/.keystore.bak
  3. 古いkeystoreファイルを新しいファイルに置き換えます。
    • Windows:
      copy "c:\Users\Administrator\.keystore2" "C:\Program Files\Trend Micro\Deep Security Manager\.keystore"
    • Linux:
      cp ~/.keystore2 /opt/dsm/.keystore

    初期設定のkeystoreファイルを置き換える必要があります。代わりに設定ファイルのパスを変更することを選択した場合、次回Deep Security Managerをアップグレードしたときに設定ファイルが初期設定の場所にリセットされ、変更が元に戻されます。

  4. 次のように、(Windows) C:\Program Files \ Trend Micro \ Deep Security Manager \ configuration.properties または(Linux) /opt/dsm/configuration.properties のキーストアパスワードをアップデートします。

    ...<OTHER_SETTINGS>

    keystorePass=<YOUR_PASSWORD>

  5. Deep Security Managerサービスを再起動します。