SSH および証明書の設定
(注) IPS SSP を搭載した Cisco ASA 5585-X は、現在、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。他の Cisco IPS センサーは、いずれも現在 IPS 7.1 をサポートしていません。
(注) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。
この章では、センサーの SSH と証明書を設定する方法について説明します。内容は次のとおりです。
• 「SSH について」
• 「認証キーの設定」
• 「既知のホスト キーの設定」
• 「センサー キーの生成」
• 「証明書の概要」
• 「信頼できるホストの設定」
• 「サーバ証明書の生成」
SSH について
SSH は、セキュリティで保護されていないチャネルでの強力な認証と安全な通信を提供します。SSH は、センサーへの接続を暗号化し、正しいセンサーに接続していることを検証するためのキーを提供します。また、ブロッキングを行うため、センサーが接続する他のデバイスに対する認証および暗号化されたアクセスも提供します。
SSH でホストやネットワークの認証を行うときには、次のいずれかまたは両方が使用されます。
• パスワード
• ユーザ RSA 公開キー
SSH は、以下に対する保護を提供します。
• IP スプーフィング:リモート ホストが、信頼できるホストから送信されたように装うパケットを送信します。
(注) SSH は、外部へのルータであるようになりすますローカル ネットワーク上のスプーファからも保護します。
• IP ソース ルーティング:ホストが、他の信頼できるホストから送信された IP パケットを装います。
• DNS スプーフィング:攻撃者がネーム サーバ レコードを偽造します。
• 中間ホストによるクリア テキスト パスワードやデータの代行受信。
• 中間ホストを支配する攻撃者によるデータ操作。
• X 認証データをリッスンして X11 サーバにスプーフィング接続する攻撃。
(注) SSH では、クリア テキストでのパスワードの送信は行われません。
認証キーの設定
ここでは、センサーの認証キーを設定する方法について説明します。内容は次のとおりです。
• 「[Authorized Keys] ペイン」
• 「[Authorized Keys] ペインのフィールド定義」
• 「[Add Authorized Key] および [Edit Authorized Key] ダイアログボックスのフィールド定義」
• 「許可キーの定義」
[Authorized Keys] ペイン
(注) 認証キーを追加または編集するには、管理者である必要があります。オペレータ権限やビューア権限で許可キーの追加や編集を試みると、「Delivery Failed
」メッセージが表示されます。
ローカル SSH サーバへのログインに RSA 認証を使用することを許可されたクライアントの公開キーを定義するには、[Authorized Keys] ペインを使用します。[Authorized Keys] ペインには、センサーへのアクセスが許可されたすべての SSH クライアントの公開キーが表示されます。参照できるのは自分のキーだけで、他のユーザのキーは参照できません。
センサーにログインできる各ユーザには、そのユーザがログインする際に使用する各クライアントにより収集された許可キーのリストが割り当てられています。SSH を使用してセンサーにログインするときは、パスワードの代わりに RSA 認証を使用できます。
公開キーの定義には、秘密キーを保存するクライアントで RSA キー生成ツールを使用します。生成された公開キーを 3 つの数字(係数の長さ、公開指数、公開係数)の組み合わせとして表示し、これらの数字を [Authorized Keys] ペインの下にあるフィールドに入力します。
[Authorized Keys] ペインのフィールド定義
[Authorized Keys] ペインには次のフィールドがあります。
• [ID]:キーを識別するための一意の文字列(1 ~ 256 文字)。ID にスペースが含まれているか、または英数字が 256 文字を超えていると、エラー メッセージが表示されます。
• [Modulus Length]:係数の有効ビット数(511 ~ 2048)。長さが範囲外の場合は、エラー メッセージが表示されます。
• [Public Exponent]:RSA アルゴリズムにより、データを暗号化するために使用されます。有効な範囲は 3 ~ 2147483647 です。指数が範囲外の場合は、エラー メッセージが表示されます。
• [Public Modulus]:RSA アルゴリズムにより、データを暗号化するために使用されます。公開係数は、1 ~ 2048 の数字の文字列です(係数は (2 ^ 長さ) < 係数 < (2 ^ (長さ + 1)))。係数が範囲外であるか、または数字以外の文字を使用すると、エラー メッセージが表示されます。数字は、「^[0-9][0-9]*$」のパターンに一致する必要があります。
[Add Authorized Key] および [Edit Authorized Key] ダイアログボックスのフィールド定義
[Add Authorized Key] および [Edit Authorized Key] ダイアログボックスには次のフィールドがあります。
• [ID]:キーを識別するための一意の文字列(1 ~ 256 文字)。ID にスペースが含まれているか、または英数字が 256 文字を超えていると、エラー メッセージが表示されます。
• [Modulus Length]:係数の有効ビット数(511 ~ 2048)。長さが範囲外の場合は、エラー メッセージが表示されます。
• [Public Exponent]:RSA アルゴリズムにより、データを暗号化するために使用されます。有効な範囲は 3 ~ 2147483647 です。指数が範囲外の場合は、エラー メッセージが表示されます。
• [Public Modulus]:RSA アルゴリズムにより、データを暗号化するために使用されます。公開係数は、1 ~ 2048 の数字の文字列です(係数は (2 ^ 長さ) < 係数 < (2 ^ (長さ + 1)))。係数が範囲外であるか、または数字以外の文字を使用すると、エラー メッセージが表示されます。数字は、「^[0-9][0-9]*$」のパターンに一致する必要があります。
許可キーの定義
公開キーを定義するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Sensor Management] > [SSH] > [Authorized Keys] を選択し、[Add] をクリックして、リストに公開キーを追加します。最大 50 個の SSH 認証キーを追加できます。
ステップ 3 [ID] フィールドに、キーを識別するための一意の ID を入力します。
ステップ 4 [Modulus Length] フィールドに、整数を入力します。係数の長さは、係数の有効ビット数で表します。RSA キーの強度は、係数のサイズに依存します。係数のビット数が多いほど、キーは強力になります。
(注) 係数の長さ、公開指数、および公開係数がわからない場合は、秘密キーを保存するクライアントで RSA キー生成ツールを使用します。生成された公開キーを 3 つの数字(係数の長さ、公開指数、公開係数)として表示し、ステップ 4 ~ 6 でこれらの数字を入力します。
ステップ 5 [Public Exponent] フィールドに、整数を入力します。RSA アルゴリズムでは、公開指数を使用してデータが暗号化されます。公開指数の有効な値は、3 ~ 2147483647 の数字です。
ステップ 6 [Public Modulus] フィールドに、値を入力します。公開係数は、数字の文字列です(係数は (2 ^ 長さ) < 係数 < (2 ^ (長さ + 1)))。RSA アルゴリズムでは、公開係数を使用してデータが暗号化されます。
ヒント 変更を破棄して [Add Authorized Key] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 7 [OK] をクリックします。[Authorized Keys] ペインの認証キー リストに新しいキーが表示されます。
ステップ 8 認証キー リストの既存のエントリを編集するには、そのエントリを選択し、[Edit] をクリックします。
ステップ 9 [Modulus Length]、[Public Exponent]、[Public Modulus] フィールドを編集します。
注意 エントリの作成後、[ID] フィールドを編集することはできません。
ヒント 変更を破棄して [Edit Authorized Key] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 10 [OK] をクリックします。[Authorized Keys] ペインの認証キー リストに編集後のキーが表示されます。
ステップ 11 リストから公開キーを削除するには、そのキーを選択し、[Delete] をクリックします。[Authorized Keys] ペインの認証キー リストにキーが表示されなくなります。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 12 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
既知のホスト キーの設定
ここでは既知のホスト キーの設定方法について説明します。内容は次のとおりです。
• 「[Known Host Keys] ペイン」
• 「[Known Host Keys] ペインのフィールド定義」
• 「[Add Known Host Key] および [Edit Known Host Key] ダイアログボックスのフィールド定義」
• 「既知のホスト キーの定義」
[Known Host Keys] ペイン
(注) 既知のホスト キーを追加または編集するには、管理者である必要があります。
センサーが管理するブロッキング デバイス、アップデートのダウンロードやファイルのコピーに使用する SSH(SCP)サーバの公開キーを定義するには、[Known Host Keys] ペインを使用します。[Known Host Keys] ページの設定に必要な情報を取得するには、各デバイスおよびサーバからその公開キーを入手することが必要です。公開キーを正しい形式で入手できない場合は、[Add Known Host Keys] ダイアログボックスで [Retrieve Host Key] をクリックします。
IME は、IP アドレスに指定されているホストから既知のホスト キーを取得しようとします。成功すると、IME により、[Add Known Host Key] ペインにキーが読み込まれます。
(注) [Retrieve Host Key] は、[Add] ダイアログボックスでのみ使用できます。IP アドレスが無効であると、エラー メッセージが表示されます。
[Known Host Keys] ペインのフィールド定義
[Known Host Keys] ペインには次のフィールドがあります。
• [IP Address]:キーを追加しているホストの IP アドレス。
• [Modulus Length]:係数の有効ビット数(511 ~ 2048)。長さが範囲外の場合は、エラー メッセージが表示されます。
• [Public Exponent]:RSA アルゴリズムにより、データを暗号化するために使用されます。有効な範囲は 3 ~ 2147483647 です。指数が範囲外の場合は、エラー メッセージが表示されます。
• [Public Modulus]:RSA アルゴリズムにより、データを暗号化するために使用されます。公開係数は、1 ~ 2048 の数字の文字列です(係数は (2 ^ 長さ) < 係数 < (2 ^ (長さ + 1)))。係数が範囲外であるか、または数字以外の文字を使用すると、エラー メッセージが表示されます。数字は、「^[0-9][0-9]*$」のパターンに一致する必要があります。
[Add Known Host Key] および [Edit Known Host Key] ダイアログボックスのフィールド定義
[Add Known Host Key] および [Edit Known Host Key] ダイアログボックスには次のフィールドがあります。
センサーが管理するブロッキング デバイス、アップデートのダウンロードやファイルのコピーに使用する SSH(SCP)サーバの公開キーを定義するには、[Known Host Keys] ペインを使用します。[Known Host Keys] ページの設定に必要な情報を取得するには、各デバイスおよびサーバからその公開キーを入手することが必要です。公開キーを正しい形式で入手できない場合は、[Add Known Host Keys] ダイアログボックスで [Retrieve Host Key] をクリックします。
IME は、IP アドレスに指定されているホストから既知のホスト キーを取得しようとします。成功すると、IME により、[Add Known Host Key] ペインにキーが読み込まれます。
(注) [Retrieve Host Key] は、[Add] ダイアログボックスでのみ使用できます。IP アドレスが無効であると、エラー メッセージが表示されます。
既知のホスト キーの定義
既知のホスト キーを設定するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Sensor Management] > [SSH] > [Known Host Keys] を選択し、[Add] をクリックして、リストに既知のホスト キーを追加します。
ステップ 3 [IP Address] フィールドに、キーの追加対象となるホストの IP アドレスを入力します。
ステップ 4 [Retrieve Host Key] をクリックします。IME が、ステップ 3 で入力した IP アドレスにあるホストからキーを取得しようとします。成功した場合は、ステップ 8 に進みます。成功しなかった場合は、ステップ 5 ~ 7 を実行します。
注意 取得したキーがアドレスに対して正しいことを検証し、サーバ IP アドレスがスプーフィングされていないことを確認します。
ステップ 5 [Modulus Length] フィールドに、整数を入力します。係数の長さは、係数の有効ビット数で表します。RSA キーの強度は、係数のサイズに依存します。係数のビット数が多いほど、キーは強力になります。
ステップ 6 [Public Exponent] フィールドに、整数を入力します。RSA アルゴリズムでは、公開指数を使用してデータが暗号化されます。
ステップ 7 [Public Modulus] フィールドに、値を入力します。公開係数は、数字の文字列です(係数は (2 ^ 長さ) < 係数 < (2 ^ (長さ + 1)))。RSA アルゴリズムでは、公開係数を使用してデータが暗号化されます。
ヒント 変更を破棄して [Add Known Host Key] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 8 [OK] をクリックします。[Known Host Keys] ペインの既知のホスト キー リストに新しいキーが表示されます。
ステップ 9 認証キー リストの既存のエントリを編集するには、そのエントリを選択し、[Edit] をクリックします。
ステップ 10 [Modulus Length]、[Public Exponent]、[Public Modulus] フィールドを編集します。
注意 エントリの作成後、[ID] フィールドを編集することはできません。
ヒント 変更を破棄して [Edit Known Host Key] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 11 [OK] をクリックします。[Known Host Keys] ペインの既知のホスト キー リストに編集後のキーが表示されます。
ステップ 12 リストから公開キーを削除するには、そのキーを選択し、[Delete] をクリックします。[Known Host Keys] ペインの既知のホスト キー リストにキーが表示されなくなります。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 13 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
センサー キーの生成
ここでは、センサー キーの取得方法について説明します。内容は次のとおりです。
• 「[Sensor Key] ペイン」
• 「センサー SSH ホスト キーの表示と生成」
[Sensor Key] ペイン
(注) センサー SSH ホスト キーを生成するには、管理者である必要があります。
サーバでは、その身元を証明する手段として SSH ホスト キーが使用されます。クライアントは、既知のキーを見つけると、正しいサーバに接続したと認識します。センサーでは、初回起動時に SSH ホスト キーが生成されます。[Sensor Key] ペインに表示されます。キーを新しいキーに置換するには、[Generate Key] をクリックします。
フィールド定義
[Sensor Key] ペインには、センサー SSH ホスト キーが表示されます。新しいセンサー SSH ホスト キーを生成するには、[Generate Key] を押します。
センサー SSH ホスト キーの表示と生成
センサー SSH ホスト キーの表示や生成を行うには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Sensor Management] > [SSH] > [Sensor Key] を選択します。センサー SSH ホスト キーが表示されます。
ステップ 3 新しいセンサー SSH ホスト キーを生成するには、[Generate Key] をクリックします。ダイアログボックスに次の警告が表示されます。
Generating a new SSH host key requires you to update the known hosts tables on remote systems with the new key so that future connections succeed. Do you want to continue?
注意 これ以降は、既存のキーの代わりに新しいキーが使用されるため、引き続き正常に接続するためには、リモート システム上にある既知ホストのテーブルを新しいホスト キーで更新する必要があります。
ステップ 4 [OK] をクリックして続行します。新しいホスト キーが生成され、古いホスト キーが削除されます。ステータス メッセージにより、キーが正常に更新されたことが通知されます。
証明書の概要
(注) IME には、IDM コンフィギュレーション コンポーネントが組み込まれています。
Cisco IPS には、IDM を実行する Web サーバが含まれています。管理ステーションは、この Web サーバに接続します。ブロッキング転送センサーも、マスター ブロッキング センサーの Web サーバに接続します。セキュリティ機能を提供するため、この Web サーバは TLS という暗号化プロトコルを使用します。このプロトコルは、SSL プロトコルと密接な関係があります。Web ブラウザでは、 https://
ip_address で始まる URL が入力されると、それに対する応答として、TLS プロトコルまたは SSL プロトコルによりホストとの間で暗号化セッションのネゴシエーションが行われます。
注意 Web ブラウザでは、初めてのネゴシエーションが行われる際、この時点ではまだ Certification Authority(CA; 認証局)に対する信頼が確立されていないため、IDM から提示される証明書は拒否されます。
(注) TLS および SSL を使用できるように、IDM はデフォルトでイネーブルになっています。TLS と SSL を使用することを強く推奨します。
TLS による暗号化セッションのネゴシエーション プロセスは、クライアントとサーバとが協調して何度もデータのやり取りを行うことから、「ハンドシェイク」と呼ばれます。サーバからクライアントへ証明書が送信されると、クライアントでは、この証明書に対して、次の 3 つのテストが実行されます。
1. 証明書に記載されている発行元は信頼できるか。
各 Web ブラウザには、出荷される時点で、信頼されているサードパーティ CA のリストが組み込まれています。証明書に記載されている発行元が、ブラウザにより信頼されている CA のリストに含まれていれば、この最初のテストでは問題なしと判断されます。
2. その日の日付が、証明書の有効期間内にあるか。
それぞれの証明書には、有効期間を表す 2 つの日付が記載された [Validity] フィールドがあります。その日の日付がこの期間内に該当すれば、この 2 番目のテストでは問題なしと判断されます。
3. 証明書に記載されているサブジェクトの共通名が、URL ホスト名と一致するか。
URL ホスト名が、サブジェクトの共通名と比較されます。一致すれば、この 3 番目のテストでは問題なしと判断されます。
Web ブラウザから IDM に接続しようとすると、センサーは独自の証明書を発行しますが(センサーが自分自身の CA)、ブラウザにより信頼されている CA のリストにはセンサーが含まれていないため、返された証明書は無効と見なされます。
ブラウザにエラー メッセージが表示された場合の対処方法としては、次の 3 つの選択肢が考えられます。
• サイトへの接続を即座に解除する。
• その他の Web ブラウザ セッション用に証明書を受け入れる。
• 証明書に記載されている発行元を Web ブラウザの信頼 CA リストに追加して、有効期間が経過するまで証明書を信頼する。
最も簡単な方法は、発行元を永続的に信頼することです。ただし、発行元を追加する前に必ず、アウトオブバンド方式を使用して、証明書のフィンガープリントを検証します。これにより、センサーになりすました攻撃者による被害を回避できます。Web ブラウザに表示される証明書のフィンガープリントが、センサーのフィンガープリントと一致するかどうかを確認してください。
注意 センサーの組織名またはホスト名を変更した場合は、センサーの次回リブート時に新しい証明書が生成されます。Web ブラウザから IDM への次回接続時には、手動上書きダイアログボックスが表示されます。この場合は、Internet Explorer および Netscape で、証明書フィンガープリントの検証を再度実行する必要があります。
詳細情報
マスター ブロッキング センサーの詳細については、「マスター ブロッキング センサーの設定」を参照してください。
信頼できるホストの設定
ここでは、信頼できるホストの設定方法について説明します。内容は次のとおりです。
• 「[Trusted Hosts] ペイン」
• 「[Trusted Hosts] ペインのフィールド定義」
• 「[Add Trusted Host] ダイアログボックスのフィールド定義」
• 「信頼できるホストの追加」
[Trusted Hosts] ペイン
(注) 信頼できるホストを追加するには、管理者である必要があります。
マスター ブロッキング センサー、およびアップデートをダウンロードするためにセンサーが使用する TLS と SSL のサーバの証明書を追加するには、[Trusted Hosts] ペインを使用します。このペインを使用して、センサーが通信する外部製品インターフェイス(CSA MC など)の IP アドレスを追加することもできます。
[Trusted Hosts] ペインには、追加したすべての信頼できるホスト証明書がリストされます。証明書は、IP アドレスを入力することにより追加できます。IME では、追加された証明書が取得されると同時に、そのフィンガープリントが表示されます。フィンガープリントを受け入れると、証明書に対する信頼が確立されます。リストでは、エントリの追加や削除は行うことができますが、編集はできません。
[Trusted Hosts] ペインのフィールド定義
[Trusted Hosts] ペインには次のフィールドがあります。
• [IP Address]:信頼できるホストの IP アドレス。
• [MD5]:MD5(メッセージ ダイジェスト 5)暗号化。MD5 は、メッセージの 128 ビット ハッシュの計算に使用されるアルゴリズムです。
• [SHA1]:セキュリティで保護されたセキュア アルゴリズム。SHA1 は、暗号化メッセージ ダイジェスト アルゴリズムです。
[Add Trusted Host] ダイアログボックスのフィールド定義
[Add Trusted Host] ダイアログボックスには、次のフィールドが表示されます。
• [IP Address]:信頼できるホストの IP アドレス。
• [Port]:(任意)ホスト証明書を取得するポート番号を指定します。
信頼できるホストの追加
信頼できるホストを追加するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Sensor Management] > [Certificates] > [Trusted Hosts] を選択し、[Add] をクリックして、リストに信頼できるホストを追加します。
ステップ 3 [IP Address] フィールドに、信頼できるホストの追加対象となるホストの IP アドレスを入力します。
ステップ 4 センサー が 443 以外のポートを使用する場合は、[Port] フィールドにポート番号を入力します。
ヒント 変更を破棄して [Add Trusted Host] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 5 [OK] をクリックします。IME が、ステップ 3 で入力した IP アドレスにあるホストから証明書を取得します。[Trusted Hosts] ペインの信頼できるホストのリストに、新しく追加された信頼できるホストが表示されます。ダイアログボックスにより、IME がセンサーと通信していることが通知されます。
Communicating with the sensor, please wait ...
ダイアログボックスに、IME が信頼できるホストを正常に追加できたかどうかを知らせるステータスが表示されます。
The new host was added successfully.
ステップ 6 表示される値と、直接端末接続またはコンソールなどで安全に取得した値とを比較することにより、そのフィンガープリントが正しいかどうかを検証します。矛盾点が見つかった場合は、すぐに、その信頼できるホストを削除してください。
ステップ 7 信頼できるホストのリストに既存のエントリを表示するには、そのエントリを選択し、[View] をクリックします。[View Trusted Host] ダイアログボックスが表示されます。証明書のデータが表示されます。このダイアログボックスに表示されるデータは、読み取り専用です。
ステップ 8 [OK] をクリックします。リストから信頼できるホストを削除するには、そのキーを選択し、[Delete] をクリックします。[Trusted Hosts] ペインの信頼できるホストのリストに、信頼できるホストが表示されなくなります。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 9 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
サーバ証明書の生成
ここでは、サーバ証明書の生成方法について説明します。内容は次のとおりです。
• 「[Server Certificate] ペイン」
• 「サーバ証明書の表示と生成」
[Server Certificate] ペイン
(注) サーバ証明書を生成するには、管理者である必要があります。
[Server Certificate] ペインには、センサー サーバ X.509 証明書が表示されます。このペインでは、新しいサーバによる自己署名 X.509 証明書を生成できます。証明書は、センサーの初回起動時に生成されます。新しいホスト証明書を生成するには、[Generate Certificate] をクリックします。
注意 証明書にはセンサーの IP アドレスが含まれます。センサーの IP アドレスを変更した場合は、新しい証明書を生成する必要があります。
フィールド定義
[Server Certificate] ペインには、センサー サーバ X.509 証明書が表示されます。新しいセンサー X.509 証明書を生成するには、[Generate Certificate] をクリックします。
サーバ証明書の表示と生成
センサー サーバ X.509 証明書の表示や生成を行うには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Certificate] > [Server Certificate] を選択します。センサー サーバ X.509 証明書が表示されます。
ステップ 3 新しいセンサー サーバ X.509 証明書を生成するには、[Generate Certificate] をクリックします。ダイアログボックスに次の警告が表示されます。
Generating a new server certificate requires you to verify the new fingerprint the next time you connect or when you add the sensor as a trusted host. Do you want to continue?
注意 新しいフィンガープリントを書き込みます。接続時に Web ブラウザの表示内容を確認する場合や、センサーを信頼できるホストとして追加する場合には、このフィンガープリントが必要になります。センサーがマスター ブロッキング センサーである場合は、マスター ブロッキング センサーにブロックを送信するリモート センサー上で、信頼できるホストのテーブルを更新する必要があります。
ステップ 4 [OK] をクリックして続行します。新しいサーバ証明書が生成され、古いサーバ証明書が削除されます。