本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Deep Security ManagerのTLS証明書を変更します。

インストール中に、Deep Security Manager は自己署名の X.509 証明書を自動的に生成するため、最初にコンソールに接続する際に TLS を使用できます。ウェブブラウザはこの自己署名の証明書認証局 (CA) を認識しないため、証明書の署名を検証できず、自動的に信頼しません。ブラウザはセキュリティ警告を表示し、接続するために証明書を手動で検証するよう求めます。管理者が接続するたびにこれを回避するには、このデフォルトの証明書を信頼できる CA からの証明書に置き換えることができます。

デフォルトの証明書を無効な証明書や不完全な証明書署名チェーンを持つ証明書に置き換えると、修正するまでDeep Security Managerコンソールに接続できなくなります。証明書を置き換える前に、指示を注意深く読んでください。

証明書は、 Deep Security Managerのアップグレード時に保持されます。再度アップロードする必要はありません。

証明書を置き換えるには、次のいずれかを行ってください:

• Deep Security Managerドメイン名の新しい証明書を要求する

  1. FIPSモードが有効になっている場合 (「 FIPS 140のサポート」を参照)、証明書の置き換えを開始する前にFIPSモードを無効にします。
  2. 秘密鍵とJavaキーストアの生成。
  3. 署名付き証明書 (CSR) の。
  4. 署名された証明書をキーストアにインポートするします。
  5. キーストアを使用するためのDeep Security Managerの設定。
  6. 最初の手順でFIPSモードを無効にした場合は、ここでFIPSモードを再度有効にします。

• 既存のJavaキーストアファイルまたは証明書を使用する

  以前のインストールからの証明書ファイルのバックアップがある場合、または複数のドメイン名 (*.example.comなどの ワイルドカード証明書 、または 複数ドメイン/サブジェクト代替名 ( SAN) フィールド証明書) である場合は、代わりにそれを使用できます。

  1. FIPSモードが有効になっている場合 (「 FIPS 140のサポート」を参照)、証明書の置き換えを開始する前にFIPSモードを無効にします。
  2. 完全な証明書署名チェーンがあることを確認します。必要に応じて、証明書を発行したCAに問い合わせます。
  3. キーストアを使用するためのDeep Security Managerの設定。
  4. 最初の手順でFIPSモードを無効にした場合は、ここでFIPSモードを再度有効にします。

秘密鍵とJavaキーストアの生成

多くの公開CAと秘密CAには、公開鍵と秘密鍵のペアと証明書署名要求 (CSR) を同時に生成できるWebサイトがあります。たとえば、次のことができますMicrosoft Active Directoryでキー ペアと CSR を同時に生成するまたはopensslCA、ダウンロードしてPKCS #12 ファイルをインポートする署名済み証明書と秘密鍵の両方を Java キーストアに入れます。

これを行う場合は、次の手順をスキップして署名付き証明書 (CSR) の、「署名された証明書をキーストアにインポートする」に進みます。それ以外の場合は、次の手順を使用してファイルをローカルに生成します。

1. Deep Security Managerが実行されているコンピュータで、管理者としてコマンドプロンプトを開きます。

2. コマンドを入力して、新しい秘密鍵とキーストアファイルを生成します。

   次のコマンド例では、新しい秘密鍵のキーストアエントリ (エイリアス) の名前は tomcatです。

   証明書の共通名 (CN) またはサブジェクトの別名 (SAN) のフィールドは、多くの場合、ブラウザのロケーションバーに表示されるドメイン名と異なる必要があります。

   たとえば、ブラウザのロケーションバーのURLに https://dsm2.infosec.example.comと表示されていても、すべてのDeep Security Managerノードで同じ証明書を使用する場合は、ワイルドカード証明書を共通名 (CN)の *.infosec.example.comで作成します。

   • Linux:

     cd /opt/dsm/jre/bin
     keytool -genkey \
     -alias tomcat \
     -keystore ~/.keystore \
     -keyalg RSA \
     -validity 365 \
     -keysize 2048 \
     -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"

   • Windows:

     cd "C:\Program Files\Trend Micro\Deep Security Manager\jre\bin"
     keytool -genkey ^
     -alias tomcat ^
     -keystore C:\Users\Administrator\.keystore ^
     -keyalg RSA ^
     -validity 365 ^
     -keysize 2048 ^
     -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"

     例のコマンドでは、コマンドプロンプト (cmd.exe) 構文を使用しています。代わりにPowerShellを使用する場合は、キャレット (^) をバッククォート (`) に置き換えます。

   keytool コマンドの詳細については、 Java keytoolのドキュメントを参照してください。

3. キーストアへのアクセスにDeep Security Managerで使用するパスワードを入力します。コマンド例では、これは YOUR_PASSWORDと表示されます。

4. コマンドを入力して、キーストアをPKCS #12形式でエクスポートします。

   このコマンド例では、エクスポートされるファイルの名前は .YOUR_PKCS12_EXPORTED_KEYSTOREです。

   • Linux:

     keytool -importkeystore \
     -srckeystore ~/.keystore \
     -destkeystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \
     -deststoretype pkcs12

   • Windows:

     keytool -importkeystore ^
     -srckeystore C:\Users\Administrator\.keystore ^
     -destkeystore "C:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE" ^
     -deststoretype pkcs12

   プロンプトが表示されたら、エクスポートされた (宛先) キーストアの新しいパスワードを入力し、次に元の (ソース) キーストアのパスワードを入力します。

5. 署名付き証明書 (CSR) のに進みます。

署名付き証明書 (CSR) の

証明書署名要求 (CSR) ファイルには、署名されていない証明書と公開鍵が含まれています。Webブラウザが信頼するCAに署名を依頼します。証明書に署名するCAは、Webブラウザによって直接信頼されるルートCA、またはルートCAによって直接または間接的に信頼される中間CAのいずれかです。

1. コマンドを入力して、PKCS #12ファイルを使用してCSRファイルを生成します。

   -ext 拡張パラメータの san= フィールドに一致するドメイン名またはIPアドレスを指定することで、複数ドメイン/サブジェクトの別名 (SAN) 証明書を作成できます。SAN証明書が必要ない場合は、 -ext パラメータを省略します。

   複数ドメイン/SAN証明書の場合、ブラウザは接続の検証時にCNフィールドを無視する必要があります。代わりに、一致するドメイン名とIPアドレスのカンマ区切りリストを含むSANフィールドを使用します。必要な構文をコマンド例に示します。

   • Linux:

     keytool -certreq \
     -alias tomcat \
     -keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE  \
     -file YOUR_CSR.csr \
     -keyalg RSA \
     -ext san=dns:dsm.example.com,dns:*.example.org,ip:10.10.10.5

   • Windows:

     keytool -certreq ^
     -alias tomcat ^
     -keystore C:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^
     -file YOUR_CSR.csr ^
     -keyalg RSA ^
     -ext san=dns:dsm.example.com,dns:*.example.org,ip:10.10.10.5

2. CSRファイルをCAにアップロードします。要求が処理されたら、署名付き証明書ファイルをダウンロードします。
3. 中間 CA を使用し、証明書がいいえPKCS #7 形式 (署名チェーンは含まれません) で、CA 証明書と、それとルート CA の間にある他のすべての CA (存在する場合) の証明書もダウンロードします。
4. 署名された証明書をキーストアにインポートするに進みます。

署名された証明書をキーストアにインポートする

1. ルートCAがすでにキーストアにある場合は、この手順をスキップしてください。それ以外の場合は、コマンドを入力してインポートします。

   キーストアの内容がわからない場合は、次のコマンドで内容を確認できます。

   keytool -list -v

   このコマンド例では、証明書は.crt形式で、ルートCAのキーストアエントリ (エイリアス) の名前は rootCAです。

   • Linux:

     keytool -import \
     -alias rootCA \
     -file ~/YOUR_ROOT_CA.crt \
     -keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \
     -storepass YOUR_PASSWORD

   • Windows:

     keytool -import ^
     -alias rootCA ^
     -file c:\Users\Administrator\YOUR_ROOT_CA.crt ^
     -keystore c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^
     -storepass YOUR_PASSWORD

2. 中間CA (存在する場合) がすでにキーストアにある場合は、この手順をスキップします。それ以外の場合は、コマンドを入力してインポートします。ルートCAによって署名されたもので始まり、証明書に署名されたもので終わります。

   • Linux:

     keytool -import \
     -alias intermediateCA \
     -trustcacerts \
     -file ~/YOUR_INTERMEDIARY_CA.crt \
     -keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \
     -storepass YOUR_PASSWORD

   • Windows:

     keytool -import ^
     -alias intermediateCA ^
     -trustcacerts ^
     -file c:\Users\Administrator\YOUR_INTERMEDIARY_CA.crt ^
     -keystore c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^
     -storepass YOUR_PASSWORD

3. 署名付き証明書をインポートするコマンドを入力します。

   • Linux:

     keytool -import \
     -alias tomcat \
     -trustcacerts \
     -file ~/YOUR_SIGNED_CERTIFICATE.crt \
     -keystore ~/.YOUR_PKCS12_EXPORTED_KEYSTORE \
     -storepass YOUR_PASSWORD

   • Windows:

     keytool -import ^
     -alias tomcat ^
     -trustcacerts ^
     -file c:\Users\Administrator\YOUR_SIGNED_CERTIFICATE.crt ^
     -keystore c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE ^
     -storepass YOUR_PASSWORD

   インポートが成功すると、次のメッセージが表示されます。

   Certificate reply was installed in keystore
4. キーストアを使用するためのDeep Security Managerの設定に進みます。

キーストアを使用するためのDeep Security Managerの設定

1. 次のコマンドを入力して、設定ファイルと古いキーストアファイルをバックアップし、キーストアファイルを置き換えてから、キーストアパスワードを更新します。

   • Linux:

     cp /opt/dsm/configuration.properties /opt/dsm/configuration.properties.bak

     cp /opt/dsm/.keystore /opt/dsm/.keystore.bak

     cp ~/.YOUR_PKCS12_EXPORTED_KEYSTORE /opt/dsm/.keystore

   • Windows:

     copy "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties" "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties.bak"

     copy "C:\Program Files\Trend Micro\Deep Security Manager\.keystore" "C:\Program Files\Trend Micro\Deep Security Manager\.keystore.bak"

     copy "c:\Users\Administrator\.YOUR_PKCS12_EXPORTED_KEYSTORE" "C:\Program Files\Trend Micro\Deep Security Manager\.keystore"

   デフォルトのキーストアファイルは、元の場所に上書きする必要があります。新しいファイル名や別の場所を指すようにパスを設定しないでください。Deep Security Managerのアップグレードでは、キーストアパスの変更が保持されないため、変更が元に戻されます。

2. プレーンテキストエディタで configuration.properties ファイルを開き、キーストアのパスワード設定を更新します。

   keystorePass=YOUR_PASSWORD

3. Deep Security Managerサービスを再起動します。
4. Managerで新しい証明書が使用されていることを確認するには、Webブラウザを開き、 Deep Security Managerコンソールに接続します。ロケーションバーの南京錠アイコンをクリックし、フィンガープリント (SHA-256署名) などの証明書の詳細を確認します。

Deep Security Managerでの自己署名証明書の再生成 (概要)

自己署名証明書を再生成する前に、次のコマンドを実行して古い.keystoreをバックアップする必要があります。

Linux:

cp /opt/dsm/configuration.properties /opt/dsm/configuration.properties.bak

cp /opt/dsm/.keystore /opt/dsm/.keystore.bak

Windows:

copy "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties" "C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties.bak"

copy "C:\Program Files\Trend Micro\Deep Security Manager\.keystore" "C:\Program Files\Trend Micro\Deep Security Manager\.keystore.bak"

次のように、新しい.keystoreを作成します。

• Linux:
  1. Deep Security Managerがインストールされているコンピュータで、管理者としてコマンドプロンプトを開き、 /opt/dsm/jre/binディレクトリに移動します。
  2. cnの値をDeep Security Managerに合わせて置き換えて、次のコマンドを実行します。
     

     keytool -genkey -alias tomcat -keystore ~/.keystore -keyalg RSA -validity 365 -keysize 2048 -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"

  3. プロンプトが表示されたら、パスワードを入力します。このパスワードは、 /opt/dsm/configuration.propertiesファイルのkeystorePassの値に設定します。
  4. プロンプトが表示されたら、Tomcatのキーパスワードを入力するか、Enterキーを押してキーストアファイルと同じキーを使用します。
  5. 次のコマンドを実行して、新しいキーストアを正しい場所にコピーします。
     

     cp ~/.keystore /opt/dsm/.keystore

  6. /opt/dsm/configuration.propertiesファイルで、 keystorePassの値にキーストアのパスワードを設定し、ファイルを保存します。
  7. Deep Security Managerを再起動します。
  8. ブラウザが証明書を検証できることを確認します。
• Windows:
  1. Deep Security Managerがインストールされているコンピュータで、管理者としてコマンドプロンプトを開き、 C:\Program Files\Trend Micro\Deep Security Manager\jre\binディレクトリに移動します。
  2. cnの値をDeep Security Managerに合わせて置き換えて、次のコマンドを実行します。
     

     keytool -genkey -alias tomcat -keystore C:\Users\Administrator\.keystore -keyalg RSA -validity 365 -keysize 2048 -dname "cn=dsm.example.com, ou=IT, o=Trend Micro, l=Ottawa, s=Ontario, c=CA"

  3. プロンプトが表示されたら、 C:\Program Files\Trend Micro\Deep Security Manager\configuration.propertiesファイルのkeystorePassの値に後で設定するパスワードを入力します。
  4. プロンプトが表示されたら、Tomcatのキーパスワードを入力するか、Enterキーを押してキーストアファイルと同じキーを使用します。
  5. 次のコマンドを実行して、新しいキーストアを正しい場所にコピーします。
     

     copy "c:\Users\Administrator\.keystore" "C:\Program Files\Trend Micro\Deep Security Manager\.keystore"

  6. C:\Program Files\Trend Micro\Deep Security Manager\configuration.propertiesファイルで、 keystorePassの値にキーストアのパスワードを設定し、ファイルを保存します。
  7. Deep Security Managerを再起動します。
  8. ブラウザが証明書を検証できることを確認します。