ビュー:

Deep Security 10.0以降または DSaaS をご利用の場合は、Deep Securityヘルプセンターをご参照ください。
※リンク先の画面左上のリストから対象バージョンを選択してください。

  1. Deep Security Manager (以降、DSM)のインストールディレクトリに移動し、「Backupkeystore」という名前の新しいフォルダを作成します。

    ※ 以降、DSMのインストールディレクトリは、初期設定の<C:\Program Files\Trend Micro\Deep SecurityManager>として解説します。

  2. .keystoreとconfiguration.propertiesを、新しく作成したBackupkeystoreフォルダにコピーします。

  3. コマンドプロンプトから次の場所に移動します。

    > cd C:\Program Files\Trend Micro\Deep Security Manager\jre\bin

  4. 次のコマンドを実行して、DSMの新たなキーストアと自己署名証明書を作成します。

    > keytool -genkey -alias tomcat -keyalg RSA -dname cn=dsmserver

  5. 新しく作成されるキーストアを保護する任意のパスワードを入力します。

    ※キーストアのパスワードとの鍵パスワードは同一にしてください。

  6. ユーザのホームディレクトリに、新しいキーストアファイルが作成されます。

    「管理者」としてログインしている場合は、<C:\Users\Administrator> の下に新しい.keystoreファイルが作成されます。

  7. 新たに作成された.keystoreの内容は、下記コマンドで確認できます。

    > keytool -list -v

  8. 次のコマンドを使用して、新しいキーストアから証明書署名要求 (CSR) を作成します。

    > keytool -certreq -keyalg RSA -alias tomcat -file [任意のファイル名].csr

    ※パスワードは手順5. と同じものを入力します。

  9. 作成した*.csrファイルを認証局に送り、署名してもらい、「ルート証明書」、「中間CA証明書」、「SSL証明書」の3つのファイルを取得します。

    ここでは、各証明書ファイルを以下と仮定します。

    • ルート証明書: rootca.txt
    • 中間CA証明書: ca.txt
    • SSL証明書 : ssl.txt
  10. 認証局より取得した3つのファイルをにコピーします。

  11. SSL証明書をインポートする前に、opensslコマンドでPKCS12形式にキーストアファイルを変換します。

    前提

    opensslコマンドをインストールしておきます。

    1. コマンドプロンプトより<C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>に移動します。

    2. 次のコマンドにて.keystoreから.pkcs12ファイルを作成します。

      ※ファイル名は任意です。

      > keytool -importkeystore -srckeystore C:\Users\Administrator\.keystore -destkeystore .\certificate.pkcs12 -deststoretype PKCS12

    3. 「certificate.pkcs12」が<C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>に作成されている事を確認します。

    4. 次のコマンドにて.keystoreからプライベートキーをエクスポートします。

      > openssl rsa -in .\certificate.pkcs12 -inform PKCS12 > .\privatekey.key

    5. 「privatekey.key」が<C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>に作成されている事を確認します。

    6. 次のコマンドにてPKCS#12形式にSSL証明書を変換して、秘密鍵とすべての関連証明書を含めます。

      > copy ca.txt + rootca.txt certchain.txt

      > openssl pkcs12 -export -in ssl.txt -inkey privatekey.key -certfile certchain.txt -out <FQDN>.p12 -name tomcat

    7. 次のコマンドにて出力された<FQDN>.p12を新しいキーストアにインポートします。

      > "C:\Program Files\Trend Micro\Deep Security Manager\jre\bin\keytool.exe" -importkeystore -srckeystore <FQDN>.p12 -destkeystore <new keystore> -srcstoretype pkcs12 -srcalias tomcat -destalias tomcat

      <new keystore>は、ユーザのホームディレクトリに任意の名前で新たに作成いただくキーストアファイルとなります。

    8. 次のコマンドにて新しいキーストアのtomcatのエントリタイプが"PrivateKeyEntry"となり、3つの証明書チェーンを持っていることを確認します。

      更に、中間CAのエントリタイプが「trustedCertEntry」であることも確認します。

      > keytool -v -list -keystore <new keystore>

  12. 次のコマンドにてユーザのホームディレクトリに作成された新しいキーストアファイル(new keystore)をストアファイルを<C:\Program Files\Trend Micro\Deep Security Manager>にコピーします。

    > copy <new keystore> "C:\Program Files\Trend Micro\Deep Security Manager\.keystore"

  13. <C:\Program Files\Trend Micro\Deep Security Manager>にあるconfiguration.propertiesファイルのバックアップを取得した後、「メモ帳」等のテキストエディタで開きます。

    下記例のように表示されます。

    keystoreFile=C\:\\\\Program Files\\\\Trend Micro\\\\Deep Security Manager\\\\.keystore

    port=4119

    keystorePass=$1$85ef650a5c40bb0f914993ac1ad855f48216fd0664ed2544bbec6de80160b2f

    installed=true

    serviceName= Trend Micro Deep Security Manager

  14. 次の文字列にあるパスワードを置き換えます。

    keystorePass=xxxx

    ※「xxxx」は手順5.で設定したパスワードです。

  15. ファイルを保存して、閉じます。
  16. Deep Security Managerサービスを再起動します。
  17. ブラウザからDSMのWebコンソールへアクセスし、認証局によって署名された新しいSSL証明書になっている事およびソフトウェアのインポートが成功する事を確認します。
キーワード: Deep Security,DS_Index‐運用における留意点-DSM