InterScan MSS 9.1 Linux版 では初期設定で管理コンソール (ポート 8445)、エンドユーザメール隔離 (EUQ) コンソール (ポート 8447) の SSL 証明書に自己署名証明書を使用しています。
管理コンソールや EUQ コンソールのアクセスに公的な認証局 (CA) が発行する証明書を使用する場合、次の手順を参考にしてください。
証明書署名要求 (CSR) の生成と SSL 証明書の発行
Linux サーバ上で OpenSSL コマンドを使用して、認証局に提出する証明書署名要求 (Certificate signing request, CSR) を生成します。
-
InterScan MSS がインストールされた Linux サーバにログインし、認証局に提出する証明書署名要求 (Certificate signing request, CSR) を生成します。
以下のコマンドを実行して 秘密鍵 (imss91.privkey) と CSR (imss91.csr) を生成します。
# openssl req -new -keyout imss91.privkey -out imss91.csr
秘密鍵のパスフレーズには任意の文字列を指定します。また、以下は入力例です。ドメインや会社名などはユーザ環境に合わせて変更してください。
Country Name: JP
State or Province Name: Tokyo
Locality Name: Shibuya
Organization Name: Trend Micro Inc.
Organizational Unit Name: (無記入)
Common Name: imss.trendmicro.com
Email Address: (無記入)RSA 2048-bit の秘密鍵 (imss91.privkey) と CSR (imss91.csr) が生成されます。秘密鍵は大切に保管してください。
-
CSR のファイル (imss91.csr) を認証局に提出して SSL 証明書の発行を依頼し、認証局から SSL 証明書を入手してください。
-
SSL 証明書の入手後、証明書ファイルおよび秘密鍵のファイルを用意します。
証明書SSL 証明書 (imss91.crt) と中間証明書 (intermediate_ca.crt) の証明書ファイルを PEM フォーマットで用意します。
秘密鍵以下のコマンドを実行して、手順 1 の秘密鍵 (imss91.privkey) からパスフレーズを除去した秘密鍵のファイル (imss91.key) を生成します。
# openssl rsa -in imss91.privkey -out imss91.key
-
用意した証明書と秘密鍵のファイルを使用して各サービスごとに証明書と秘密鍵をインストールします。
InterScan MSS のインストールディレクトリ $IMSS_HOME は初期設定では /opt/trend/imss です。
管理コンソール (ポート 8445)
-
念のために既存の SSL 証明書とサーバ秘密鍵、そして設定ファイルのバックアップを取得します。
# cp -p $IMSS_HOME/UI/apache/conf/ssl.crt/server.crt $IMSS_HOME/UI/apache/conf/ssl.crt/server.crt.org # cp -p $IMSS_HOME/UI/apache/conf/ssl.key/server.key $IMSS_HOME/UI/apache/conf/ssl.key/server.key.org # cp -p $IMSS_HOME/UI/php/conf/widget.conf $IMSS_HOME/UI/php/conf/widget.conf.org
-
上書きコピーで認証局から発行された SSL 証明書 (imss91.crt) と秘密鍵 (imss91.key) を既存のファイル (server.crt, server.key) と置き換えます。
# cp imss91.crt $IMSS_HOME/UI/apache/conf/ssl.crt/server.crt # cp imss91.key $IMSS_HOME/UI/apache/conf/ssl.key/server.key
-
次に中間証明書 (intermediate_ca.crt) を $IMSS_HOME/UI/apache/conf/ssl.crt/ にコピーし、ファイルのオーナー・グループとパーミッションを変更します。
# cp intermediate_ca.crt $IMSS_HOME/UI/apache/conf/ssl.crt/ # chown imss:imss $IMSS_HOME/UI/apache/conf/ssl.crt/intermediate_ca.crt # chmod 750 $IMSS_HOME/UI/apache/conf/ssl.crt/intermediate_ca.crt
-
設定ファイル widget.conf を vi で開き、以下のように SSLCertificateChainFile ディレクティブを追加します。
$IMSS_HOME/UI/php/conf/widget.conf:... SSLCertificateFile conf/ssl.crt/server.crt SSLCACertificateFile conf/ssl.crt/server.crt SSLCertificateKeyFile conf/ssl.key/server.key SSLCertificateChainFile conf/ssl.crt/intermediate_ca.crt ...
-
最後に以下のコマンドを実行して管理コンソールを再起動します。
# LANG=C; $IMSS_HOME/script/S99ADMINUI restart
EUQ コンソール (ポート 8447)
-
念のために既存の SSL 証明書とサーバ秘密鍵、そして設定ファイルのバックアップを取得します。
# cp -p $IMSS_HOME/UI/apache/conf/ssl.crt/euq.server.crt $IMSS_HOME/UI/apache/conf/ssl.crt/euq.server.crt.org # cp -p $IMSS_HOME/UI/apache/conf/ssl.key/euq.server.key $IMSS_HOME/UI/apache/conf/ssl.key/euq.server.key.org # cp -p $IMSS_HOME/UI/euqUI/conf/EUQ.conf $IMSS_HOME/UI/euqUI/conf/EUQ.conf.org
-
上書きコピーで認証局から発行された SSL 証明書 (imss91.crt) と秘密鍵 (imss91.key) を既存のファイル (euq.server.crt, euq.server.key) と置き換えます。
# cp imss91.crt $IMSS_HOME/UI/apache/conf/ssl.crt/euq.server.crt # cp imss91.key $IMSS_HOME/UI/apache/conf/ssl.key/euq.server.key
-
次に中間証明書 (intermediate_ca.crt) を $IMSS_HOME/UI/apache/conf/ssl.crt/ にコピーし、ファイルのオーナー・グループとパーミッションを変更します。
# cp intermediate_ca.crt $IMSS_HOME/UI/apache/conf/ssl.crt/ # chown imss:imss $IMSS_HOME/UI/apache/conf/ssl.crt/intermediate_ca.crt # chmod 750 $IMSS_HOME/UI/apache/conf/ssl.crt/intermediate_ca.crt
なお、管理コンソールの手順 3 ですでに実施している場合、実施する必要はありません。
-
設定ファイル EUQ.conf を vi で開き、以下のように SSLCertificateChainFile ディレクティブを追加します。
$IMSS_HOME/UI/euqUI/conf/EUQ.conf:... SSLCertificateFile conf/ssl.crt/euq.server.crt SSLCACertificateFile conf/ssl.crt/euq.server.crt SSLCertificateKeyFile conf/ssl.key/euq.server.key SSLCertificateChainFile conf/ssl.crt/intermediate_ca.crt ...
-
最後に以下のコマンドを実行して EUQ コンソールを再起動します。
# $IMSS_HOME/script/S99EUQ restart