Cisco Advanced Web Security Reporting アプリケーションの自己署名証明書
このトピックでは、Cisco Advanced Web Security Reporting アプリケーションに含まれているバージョンの OpenSSL を使用して、コマンドラインで自己署名証明書を作成するための基本的な例を示します。
自己署名証明書は組織によって署名されるため、ブラウザの証明書ストアには含まれていません。その結果、Webブラウザは、自己署名証明書を「信頼できない」と見なします。これによってユーザへの警告ページが生成され、ユーザのアクセスが妨げられる場合もあります。
自己署名証明書は、Cisco Advanced Web Security Reporting アプリケーションに接続するすべてのブラウザストアに独自の CA を追加できる組織内または既知のエンティティ間での、ブラウザから Cisco Advanced Web Security Reporting アプリケーションへの通信に最適です。その他のシナリオでは、CA 署名付き証明書をお勧めします。詳細については、「Cisco Advanced Web Security Reporting アプリケーション用に第三者によって署名された証明書を取得する」を参照してください。
はじめる前に
この説明では、$AWSR_HOME
は AWSR Enterprise のインストールディレクトリを指します。この表記法に従うことをお勧めしますが、この表記法を使用しない場合は、これらの例を使うときに $AWSR_HOME
をインストールディレクトリに置き換える必要があります。
Windows の場合、コマンドラインまたは [システムのプロパティ(System Properties)] ダイアログの [環境(Environment)] タブで、この変数の設定が必要になる場合があります。デフォルトのホームディレクトリは、プラットフォームによって異なります。
-
Windows の場合、AWSR Enterprise ディレクトリはデフォルトで
C:\Program Files\Cisco\
です。 -
ほとんどの Linux プラットフォームでは、デフォルトのインストールディレクトリは
/opt/
です。
認証局となる新しいルート証明書の生成
手順
ステップ 1 |
証明書とキーをホストする新しいディレクトリを作成します。この例では、 |
ステップ 2 |
新しい RSA 秘密キーを生成します。Cisco Advanced Web Security Reporting アプリケーションは 2048 ビットのキーをサポートしていますが、ブラウザでサポートされている場合は、より大きなキーを指定できます。 Linux の場合:
Windows の場合: Windows では、openssl.cnf ファイルの場所の追加が必要な場合があることに注意してください。
Cisco Advanced Web Security Reporting アプリケーションは 2048 ビットのキーをサポートしていますが、ブラウザでサポートされている場合は、より大きなキーを指定できます。 |
ステップ 3 |
プロンプトが表示されたら、パスワードを作成します。 秘密キー |
ステップ 4 |
ルート証明書の秘密キー Linux の場合:
Windows の場合:
|
ステップ 5 |
秘密キー 新しい CSR myCACertificate.csr がディレクトリに表示されます。 |
ステップ 6 |
CSR を使用して、新しいルート証明書を生成し、秘密キーで署名します。 Linux の場合:
Windows の場合:
|
ステップ 7 |
プロンプトが表示されたら、秘密キー 新しい証明書 |
Cisco Advanced Web Security Reporting アプリケーションの新しい秘密キーの作成
手順
ステップ 1 |
新しい秘密キーを生成します。 Linux の場合:
Windows の場合:
|
ステップ 2 |
プロンプトが表示されたら、パスワードを作成します。 新しいキー |
ステップ 3 |
キーからパスワードを削除します(Cisco Advanced Web Security Reporting アプリケーションは、パスワードで保護された秘密キーをサポートしていません)。 Linux の場合:
Windows の場合:
次のコマンドを使用して、パスワードが削除されたことを確認できます。 Linux の場合:
Windows の場合:
パスワードを入力しなくても、証明書の内容を読み取ることができます。 |
サーバ証明書の作成と署名
手順
ステップ 1 |
秘密キー Linux の場合:
Windows の場合:
CSR |
ステップ 2 |
ルート証明書の秘密キー Linux の場合:
Windows の場合:
|
ステップ 3 |
プロンプトが表示されたら、ルート証明書の秘密キー 証明書 |
単一の PEM ファイルの作成
サーバ証明書とパブリック証明書をこの順序で 1 つの PEM ファイルに結合します。
Linux でこれを行う例を次に示します。
# cat myAWSRWebCert.pem myCACertificate.pem > myAWSRWebCertificate.pem
Windows の例を次に示します。
# type myAWSRWebCert.pem myCACertificate.pem > myAWSRWebCertificate.pem
証明書チェーンの設定
複数の証明書を使用するには、次の順序でサーバの証明書ファイルの最後に中間証明書を追加します。
<div class=samplecode
[ server certificate]
[ intermediate certificate]
[ root certificate (if required) ]
</div>
たとえば、証明書チェーンは次のようになります。
-----BEGIN CERTIFICATE-----
... (certificate for your server)...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
... (the intermediate certificate)...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
... (the root certificate for the CA)...
-----END CERTIFICATE-----