証明書署名要求の生成

証明書署名要求 (CSR) には、プライベートキーの所有者に関する識別情報が含まれています。 これをサードパーティまたは内部の証明機関に渡して署名付き証明書を生成したり、ACME、Microsoft 証明機関、OpenSSL などのアプリケーションと組み合わせて使用したりできます。 現在、Expressway は、楕円曲線デジタル署名アルゴリズム (ECDSA) または RSA ベースの公開キー アルゴリズムを使用した CSR の生成をサポートしています。


(注)  

新しいサーバ証明書署名要求 (CSR) を生成しても、Expressway にインストールされている既存のアクティブなサーバ証明書は無効になりません。

この章では、次の項目について説明します。

Expressway を使用した CSR の作成

Expressway は、サーバ証明書署名要求を生成できます。 これにより、証明書要求を生成および取得するために外部メカニズムを使用する必要がなくなります。

CSR を生成するには:

手順

ステップ 1

[メンテナンス] > [セキュリティ] > [サーバ証明書] に移動します

ステップ 2

[CSR の生成] をクリックして、 [CSR の生成] ページに移動します。

ステップ 3

証明書に必要なプロパティを入力します。

  1. 追加情報 セクションから、 公開鍵アルゴリズムを選択します。 ドロップダウンから RSA または ECDSA を選択します。

  2. パブリックキーアルゴリズムに基づいて、ドロップダウンで希望するキーの長さをビット単位で選択します。

    (注)  

     

    ECDSA の定義されたキー長(ビット単位)は 256、384、521、RSA は 2048、4096 です。

  3. Expressway がクラスタの一部である場合は、「 サーバ証明書とクラスタ化されたシステム」を参照してください。

  4. この Expressway が Unified Communications ソリューションの一部である場合は、「Unified Communications のサーバ証明書の要件」セクションを参照してください。

  5. 証明書要求には、証明書で使用される公開キーと、クライアントおよびサーバ認証の拡張キー使用法 (EKU) 拡張機能が自動的に含まれます。

ステップ 4

[CSR の作成(Generate CSR)]をクリックします。 システムは署名要求と関連する秘密鍵を生成します。 秘密鍵は Expressway 上に安全に保存され、表示したりダウンロードしたりすることはできません。 秘密鍵は、証明機関に対してであっても決して開示しないでください。

ステップ 5

サーバ証明書 ページに戻ります。 ここから次のことができます:

  1. 証明機関に送信できるように、要求をローカル ファイル システムにダウンロードします。 ファイルを保存するように求められます (正確な文言はブラウザによって異なります)。

  2. 現在のリクエストを表示します (人間が読める形式で表示するには、 [表示 (デコード済み)] をクリックし、生の形式でファイルを表示するには、 [表示 (PEM ファイル)] をクリックします)。

  3. ACME を使用して、ACME 証明書に署名する CA に CSR を手動または自動で送信します。

(注)  

 

  • 一度に処理できる署名リクエストは 1 つだけです。 これは、Expressway が現在のリクエストに関連付けられた秘密キー ファイルを追跡する必要があるためです。 現在のリクエストを破棄して新しいリクエストを開始するには、[Discard CSR(CSR を破棄)] をクリックします。

  • バージョン X8.5.1 以降、ユーザ インターフェイスにはダイジェスト アルゴリズムを設定するオプションが提供されます。 デフォルトは SHA-256 に設定されていますが、SHA-1、SHA-384、または SHA-512 に変更するオプションがあります。

  • バージョン X8.10 以降では、SHA-1 を選択することはできません。

  • Let's Encrypt によって返される証明書の Issuer フィールドと Subject フィールドには、State、Country、Organisation などの属性は含まれません。 認証局がこれらのフィールドを無視しても、Expressway UI では CSR のこれらのフィールドへの入力が要求されます。

署名された PEM 証明書ファイルを生成するには、CSR を使用する必要があります。 これをサードパーティまたは内部の証明書管理に渡すか、Microsoft Certification Authority (「付録 6: Microsoft Certification Authority を使用してリクエストを承認し、証明書を生成する」を参照) または OpenSSL (「OpenSSL を使用して Certificate Authority を操作する」を参照) などのアプリケーションと組み合わせて使用します。

SAN に複数のエントリまたは FQDN がある場合 (MRA 展開など)、証明機関から単一の証明書ではなく、マルチドメイン / マルチ SAN 証明書を要求するようにしてください。 一部の当局では、明示的に要求しない限りこのオプションを提案しません。

署名されたサーバ証明書を証明機関から受け取ったら、「 Expressway への証明書とキーのロード」の説明に従って、それを Expressway にアップロードします

サーバー証明書とクラスタシステム

CSR が生成されると、そのピアに対してのみ単一のリクエストと秘密キーの組み合わせが生成されます。

Expressway のクラスタがある場合は、ピアごとに個別の署名要求を生成する必要があります。 これらの要求は証明機関に送信され、返されたサーバ証明書は関連する各ピアにアップロードされる必要があります。

正しいサーバ証明書が適切なピアにアップロードされていることを確認する必要があります。そうしないと、各ピアに保存されている秘密キーが、アップロードされた証明書と一致しなくなります。