説明
IWSVA/IWSSの管理画面で使用するTLS/SSL証明書は、デフォルトの証明書の代わりに、お客様が個別にご用意した証明書を設定することも可能です。[集中管理ログ/レポート]や[設定の複製]機能をご利用の場合、当該証明書が連携するIWSVA/IWSSサーバ間で信頼されていないと、以下のような事象が発生します。
・以下のようなエラーが発生して、ログ送信元サーバや設定の受信者サーバとして登録できない。
・[設定の複製]機能にて、各IWSS/IWSVAサーバに設定の複製が実行されない。
<[集中管理ログ/レポート]設定時のエラーの例>
<[集中管理ログ/レポート]設定時のエラーの例>
ログサーバに接続されていません。サーバのWebコンソールにアクセスできることを確認してください。
<[設定の複製]設定時のエラーの例>
複製元に接続されていません。複製元のWebコンソールにアクセスできることを確認してください。
回避策
以下の手順で接続先となるサーバの証明書を抽出し、抽出された証明書を接続元のサーバで信頼させた後、事象が改善されるかお試しください。
接続先サーバでの作業
- サーバへrootユーザにてログインします。
- 作業ディレクトリに移動します。
# cd /etc/iscan/AdminUI/tomcat
- 以下のコマンドにて証明書を抽出します。抽出の際には、keystoreのパスワード(管理コンソールのSSLパスワード)を問われるため、お客様自身で設定された値を入力します。
ご注意1:-aliasで指定するエイリアス名には、現在使用中の証明書に指定のエイリアス名を指定してください。現在使用中の証明書のエイリアス名は、以下のコマンドの出力結果の「Alias name:」で確認できます。# /usr/iwss/AdminUI/jre/bin/keytool -export -alias tomcat -file iwsvaweb.crt -keystore /etc/iscan/AdminUI/tomcat/keystoreご注意2:PKCS#12(拡張子.p12または.pfx)形式の証明書をご利用の場合は、上述の証明書を抽出するコマンドにオプション"-storetype pkcs12"を追加してください。# /usr/iwss/AdminUI/jre/bin/keytool -list -keystore /etc/iscan/AdminUI/tomcat/keystore
- 抽出された証明書をWinSCPなどのSFTPクライントを用いて、ローカルPCにダウンロードします。
証明書: /etc/iscan/AdminUI/tomcat/iwsvaweb.crt
接続元サーバでの作業
- 抽出された証明書をWinSCPなどのSFTPクライントを用いて、サーバへアップロードします。
- サーバへrootユーザにてログインします。
- 抽出された証明書がアップロードされたディレクトリへ移動します。
- 以下のコマンドにて抽出された証明書を信頼させます。
■IWSVA 6.5 SP3未満/IWSS 6.5 Patch 3未満の場合■IWSVA 6.5 SP3以降/IWSS 6.5 Patch 3以降の場合# /usr/iwss/AdminUI/jre/bin/keytool -importcert -noprompt -keystore /usr/iwss/AdminUI/jre/lib/security/cacerts -storepass changeit -alias tomcat -file iwsvaweb.crtご注意:-storepassで指定するパスワードは"changeit"になります。-aliasで指定するエイリアス名は任意(例では”tomcat”)です。複数の証明書を登録する場合はエイリアス名を”tomcat1”、”tomcat2”のように別のエイリアス名を指定してください。# /usr/iwss/AdminUI/jre/bin/keytool -importcert -noprompt -keystore /usr/iwss/AdminUI/jre/lib/security/jssecacerts -storepass changeit -alias tomcat -file iwsvaweb.crt
- 以下のコマンドにて管理コンソールのサービスを再起動します。
# /etc/iscan/S99IScanHttpd restart
- 事象が改善されることを確認します。