概要
InterScan Web Security Suite Linux版 (以下、IWSS) および InterScan Web Security Virtual Appliance (以下、IWSVA) において、管理画面への HTTPS アクセス時に使用するサーバ証明書のインポート方法を教えてください。
管理画面アクセス時に、Web ブラウザ側でセキュリティ警告が表示されることを避けたいです。
管理画面アクセス時に、Web ブラウザ側でセキュリティ警告が表示されることを避けたいです。
詳細
概要
管理画面の以下に存在する設定「SSL証明書」にて、個別に用意したサーバ証明書をインポートし、IWSS / IWSVA のサーバ証明書として使用することが可能です。
IWSS:[管理] > [Webコンソール]
IWSVA:[管理] > [ネットワーク設定] > [Webコンソール]
サーバ証明書は、認証局から購入いただくか、独自に作成された自己証明書等を事前にご用意ください。
サーバ証明書の CN 値 または SAN 値に、IWSS / IWSVA サーバの FQDN が設定されている必要があります。
IWSS 6.5 Patch 3未満/IWSVA 6.5 Service Pack 2においては、管理画面からインポートできるのはjks(Java kerstore)形式の証明書のみとなります。予めjks形式に変換をお願いします。例として、PKCS#12形式の証明書(/tmp/server.pfx)をjks形式(/tmp/server.ks)に変換する場合、以下のコマンドを実行します。
# cd /etc/iscan/AdminUI/jre/bin
# ./keytool -importkeystore -srckeystore /tmp/server.pfx -srcstoretype pkcs12 -destkeystore /tmp/server.ks -deststoretype jks
# ./keytool -importkeystore -srckeystore /tmp/server.pfx -srcstoretype pkcs12 -destkeystore /tmp/server.ks -deststoretype jks
IWSVA 6.5 Service Pack 3またはIWSS 6.5 Patch 3では、PKCS#12形式のサーバ証明書のインポートも可能となっております。
IWSS / IWSVA サーバ上でjks形式の自己証明書を作成される場合は、例として、以下の手順で作成が可能です。
手順
-
IWSS / IWSVA サーバの Linux コンソールに root ユーザでログインします。
-
以下のコマンドを実行し、サーバ証明書ファイル server.ks を作成します。
# cd /etc/iscan/AdminUI/jre/bin
※管理画面に FQDN 指定でアクセスする場合
# ./keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -validity 3652 -ext san=dns:(IWSS/IWSVA の FQDN) -keystore /tmp/server.ks
※管理画面に IP アドレス指定でアクセスする場合
# ./keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -validity 3652 -ext san=dns:(IWSS/IWSVA のホスト名),ip:(アクセス時に利用する IP アドレス) -keystore /tmp/server.ks
※管理画面に FQDN 指定でアクセスする場合
# ./keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -validity 3652 -ext san=dns:(IWSS/IWSVA の FQDN) -keystore /tmp/server.ks
※管理画面に IP アドレス指定でアクセスする場合
# ./keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -validity 3652 -ext san=dns:(IWSS/IWSVA のホスト名),ip:(アクセス時に利用する IP アドレス) -keystore /tmp/server.ks
- 上記例では証明書の有効期限を10年 (3652日) に指定しています。
- -aliasに指定するエイリアス名は任意です。本例では共通で"tomcat"を使用しています。
- キー長を 2048-bit および署名アルゴリズムに SHA-2 を設定しています。
- 管理画面に IP アドレス指定でアクセスする場合に設定する「IWSS/IWSVA のホスト名」は、実際に DNS で名前解決できる必要はありません。
- 画面の指示に従います。パスワード入力のプロンプトが表示されたら一意のパスワードを設定し、必要な情報を入力します。すると、/tmp配下に server.ks ファイルが作成されます。
<入力例>
姓名 (your first and last name): iwss.example.com (IWSS / IWSVA の FQDN を設定します)
※管理画面に IP アドレス指定でアクセスする場合は、IP アドレスを設定します。
組織単位名 (the name of your organizational unit): (無記入)
組織名 (the name of your organization): Trend Micro Inc.
都市名または地域名 (the name of your City or Locality): Shibuya
州名または地方名 (the name of your State or Province): Tokyo
国番号 (the two-letter country code): JP
姓名 (your first and last name): iwss.example.com (IWSS / IWSVA の FQDN を設定します)
※管理画面に IP アドレス指定でアクセスする場合は、IP アドレスを設定します。
組織単位名 (the name of your organizational unit): (無記入)
組織名 (the name of your organization): Trend Micro Inc.
都市名または地域名 (the name of your City or Locality): Shibuya
州名または地方名 (the name of your State or Province): Tokyo
国番号 (the two-letter country code): JP
- Web ブラウザ用に、以下のコマンドを実行して、server.ks と対になる公開鍵用証明書 server.cer を作成します。
# cd /etc/iscan/AdminUI/jre/bin
# ./keytool -exportcert -alias tomcat -keystore /tmp/server.ks -file /tmp/server.cer
# ./keytool -exportcert -alias tomcat -keystore /tmp/server.ks -file /tmp/server.cer
- SCPやSFTPを使用し、IWSS / IWSVA サーバから/tmp/server.ksと/tmp/server.cerを取得します。
前者は、上述の「概要」に記載の管理画面からインポートを行ってください。
後者は、こちらのKB等をご参照のうえ、ご利用の Web ブラウザにインポートしてください。
