ビュー:

InterScan MSS 9.1 Linux版 では初期設定で管理コンソール (ポート 8445)、エンドユーザメール隔離 (EUQ) コンソール (ポート 8447) の SSL 証明書に自己署名証明書を使用しています。

管理コンソールや EUQ コンソールのアクセスに公的な認証局 (CA) が発行する証明書を使用する場合、次の手順を参考にしてください。

証明書署名要求 (CSR) の生成と SSL 証明書の発行

Linux サーバ上で OpenSSL コマンドを使用して、認証局に提出する証明書署名要求 (Certificate signing request, CSR) を生成します。

  1. InterScan MSS がインストールされた Linux サーバにログインし、認証局に提出する証明書署名要求 (Certificate signing request, CSR) を生成します。

    以下のコマンドを実行して 秘密鍵 (imss91.privkey) と CSR (imss91.csr) を生成します。

    # openssl req -new -keyout imss91.privkey -out imss91.csr
    

    秘密鍵のパスフレーズには任意の文字列を指定します。また、以下は入力例です。ドメインや会社名などはユーザ環境に合わせて変更してください。

    Country Name: JP
    State or Province Name: Tokyo
    Locality Name: Shibuya
    Organization Name: Trend Micro Inc.
    Organizational Unit Name: (無記入)
    Common Name: imss.trendmicro.com
    Email Address: (無記入)

    RSA 2048-bit の秘密鍵 (imss91.privkey) と CSR (imss91.csr) が生成されます。秘密鍵は大切に保管してください。

  2. CSR のファイル (imss91.csr) を認証局に提出して SSL 証明書の発行を依頼し、認証局から SSL 証明書を入手してください。

  3. SSL 証明書の入手後、証明書ファイルおよび秘密鍵のファイルを用意します。

    証明書

    SSL 証明書 (imss91.crt) と中間証明書 (intermediate_ca.crt) の証明書ファイルを PEM フォーマットで用意します。

    秘密鍵

    以下のコマンドを実行して、手順 1 の秘密鍵 (imss91.privkey) からパスフレーズを除去した秘密鍵のファイル (imss91.key) を生成します。

    # openssl rsa -in imss91.privkey -out imss91.key
    
  4. 用意した証明書と秘密鍵のファイルを使用して各サービスごとに証明書と秘密鍵をインストールします。

InterScan MSS のインストールディレクトリ $IMSS_HOME は初期設定では /opt/trend/imss です。

管理コンソール (ポート 8445)

  1. 念のために既存の SSL 証明書とサーバ秘密鍵、そして設定ファイルのバックアップを取得します。

    # cp -p $IMSS_HOME/UI/apache/conf/ssl.crt/server.crt $IMSS_HOME/UI/apache/conf/ssl.crt/server.crt.org
    # cp -p $IMSS_HOME/UI/apache/conf/ssl.key/server.key $IMSS_HOME/UI/apache/conf/ssl.key/server.key.org
    # cp -p $IMSS_HOME/UI/php/conf/widget.conf $IMSS_HOME/UI/php/conf/widget.conf.org
    
  2. 上書きコピーで認証局から発行された SSL 証明書 (imss91.crt) と秘密鍵 (imss91.key) を既存のファイル (server.crt, server.key) と置き換えます。

    # cp imss91.crt $IMSS_HOME/UI/apache/conf/ssl.crt/server.crt
    # cp imss91.key $IMSS_HOME/UI/apache/conf/ssl.key/server.key
    
  3. 次に中間証明書 (intermediate_ca.crt) を $IMSS_HOME/UI/apache/conf/ssl.crt/ にコピーし、ファイルのオーナー・グループとパーミッションを変更します。

    # cp intermediate_ca.crt $IMSS_HOME/UI/apache/conf/ssl.crt/
    # chown imss:imss $IMSS_HOME/UI/apache/conf/ssl.crt/intermediate_ca.crt
    # chmod 750 $IMSS_HOME/UI/apache/conf/ssl.crt/intermediate_ca.crt
    
  4. 設定ファイル widget.conf を vi で開き、以下のように SSLCertificateChainFile ディレクティブを追加します。

    $IMSS_HOME/UI/php/conf/widget.conf:
    ...
    SSLCertificateFile conf/ssl.crt/server.crt
    SSLCACertificateFile conf/ssl.crt/server.crt
    SSLCertificateKeyFile conf/ssl.key/server.key
    SSLCertificateChainFile conf/ssl.crt/intermediate_ca.crt
    ...
    
  5. 最後に以下のコマンドを実行して管理コンソールを再起動します。

    # LANG=C; $IMSS_HOME/script/S99ADMINUI restart
    

EUQ コンソール (ポート 8447)

  1. 念のために既存の SSL 証明書とサーバ秘密鍵、そして設定ファイルのバックアップを取得します。

    # cp -p $IMSS_HOME/UI/apache/conf/ssl.crt/euq.server.crt $IMSS_HOME/UI/apache/conf/ssl.crt/euq.server.crt.org
    # cp -p $IMSS_HOME/UI/apache/conf/ssl.key/euq.server.key $IMSS_HOME/UI/apache/conf/ssl.key/euq.server.key.org
    # cp -p $IMSS_HOME/UI/euqUI/conf/EUQ.conf $IMSS_HOME/UI/euqUI/conf/EUQ.conf.org
    
  2. 上書きコピーで認証局から発行された SSL 証明書 (imss91.crt) と秘密鍵 (imss91.key) を既存のファイル (euq.server.crt, euq.server.key) と置き換えます。

    # cp imss91.crt $IMSS_HOME/UI/apache/conf/ssl.crt/euq.server.crt
    # cp imss91.key $IMSS_HOME/UI/apache/conf/ssl.key/euq.server.key
    
  3. 次に中間証明書 (intermediate_ca.crt) を $IMSS_HOME/UI/apache/conf/ssl.crt/ にコピーし、ファイルのオーナー・グループとパーミッションを変更します。

    # cp intermediate_ca.crt $IMSS_HOME/UI/apache/conf/ssl.crt/
    # chown imss:imss $IMSS_HOME/UI/apache/conf/ssl.crt/intermediate_ca.crt
    # chmod 750 $IMSS_HOME/UI/apache/conf/ssl.crt/intermediate_ca.crt
    

    なお、管理コンソールの手順 3 ですでに実施している場合、実施する必要はありません。

  4. 設定ファイル EUQ.conf を vi で開き、以下のように SSLCertificateChainFile ディレクティブを追加します。

    $IMSS_HOME/UI/euqUI/conf/EUQ.conf:
    ...
    SSLCertificateFile conf/ssl.crt/euq.server.crt
    SSLCACertificateFile conf/ssl.crt/euq.server.crt
    SSLCertificateKeyFile conf/ssl.key/euq.server.key
    SSLCertificateChainFile conf/ssl.crt/intermediate_ca.crt
    ...
    
  5. 最後に以下のコマンドを実行して EUQ コンソールを再起動します。

    # $IMSS_HOME/script/S99EUQ restart