ビジネスサポートポータルアカウントでログイン
Deep Security Managerの証明書を置き換える方法  

Deep Security Managerの証明書を置き換える方法

    • 更新日:
    • 29 Jul 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Windows すべて
概要
Deep Security Managerの証明書を、認証局から発行された公式な証明書に置き換える方法をおしえてください。
詳細
Public

Deep Security 10.0以降または DSaaS をご利用の場合は、Deep Securityヘルプセンターをご参照ください。
※リンク先の画面左上のリストから対象バージョンを選択してください。

  1. Deep Security Manager (以降、DSM)のインストールディレクトリに移動し、「Backupkeystore」という名前の新しいフォルダを作成します。

    ※ 以降、DSMのインストールディレクトリは、初期設定の<C:\Program Files\Trend Micro\Deep SecurityManager>として解説します。

  2. .keystoreとconfiguration.propertiesを、新しく作成したBackupkeystoreフォルダにコピーします。

  3. コマンドプロンプトから次の場所に移動します。

    > cd C:\Program Files\Trend Micro\Deep Security Manager\jre\bin

  4. 次のコマンドを実行して、DSMの新たなキーストアと自己署名証明書を作成します。

    > keytool -genkey -alias tomcat -keyalg RSA -dname cn=dsmserver

  5. 新しく作成されるキーストアを保護する任意のパスワードを入力します。

    ※キーストアのパスワードとの鍵パスワードは同一にしてください。

  6. ユーザのホームディレクトリに、新しいキーストアファイルが作成されます。

    「管理者」としてログインしている場合は、<C:\Users\Administrator> の下に新しい.keystoreファイルが作成されます。

  7. 新たに作成された.keystoreの内容は、下記コマンドで確認できます。

    > keytool -list -v

  8. 次のコマンドを使用して、新しいキーストアから証明書署名要求 (CSR) を作成します。

    > keytool -certreq -keyalg RSA -alias tomcat -file [任意のファイル名].csr

    ※パスワードは手順5. と同じものを入力します。

  9. 作成した*.csrファイルを認証局に送り、署名してもらい、「ルート証明書」、「中間CA証明書」、「SSL証明書」の3つのファイルを取得します。

    ここでは、各証明書ファイルを以下と仮定します。

    • ルート証明書: rootca.txt
    • 中間CA証明書: ca.txt
    • SSL証明書 : ssl.txt
  10. 認証局より取得した3つのファイルをにコピーします。
  11. SSL証明書をインポートする前に、opensslコマンドでPKCS12形式にキーストアファイルを変換します。

    前提

    opensslコマンドをインストールしておきます。

    1. コマンドプロンプトより<C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>に移動します。
    2. 次のコマンドにて.keystoreから.pkcs12ファイルを作成します。

      ※ファイル名は任意です。

      > keytool -importkeystore -srckeystore C:\Users\Administrator\.keystore -destkeystore .\certificate.pkcs12 -deststoretype PKCS12

    3. 「certificate.pkcs12」が<C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>に作成されている事を確認します。
    4. 次のコマンドにて.keystoreからプライベートキーをエクスポートします。

      > openssl rsa -in .\certificate.pkcs12 -inform PKCS12 > .\privatekey.key

    5. 「privatekey.key」が<C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>に作成されている事を確認します。
    6. 次のコマンドにてPKCS#12形式にSSL証明書を変換して、秘密鍵とすべての関連証明書を含めます。

      > copy ca.txt + rootca.txt certchain.txt

      > openssl pkcs12 -export -in ssl.txt -inkey privatekey.key -certfile certchain.txt -out <FQDN>.p12 -name tomcat

    7. 次のコマンドにて出力された<FQDN>.p12を新しいキーストアにインポートします。

      > "C:\Program Files\Trend Micro\Deep Security Manager\jre\bin\keytool.exe" -importkeystore -srckeystore <FQDN>.p12 -destkeystore <new keystore> -srcstoretype pkcs12 -srcalias tomcat -destalias tomcat

      <new keystore>は、ユーザのホームディレクトリに任意の名前で新たに作成いただくキーストアファイルとなります。

    8. 次のコマンドにて新しいキーストアのtomcatのエントリタイプが"PrivateKeyEntry"となり、3つの証明書チェーンを持っていることを確認します。

      更に、中間CAのエントリタイプが「trustedCertEntry」であることも確認します。

      > keytool -v -list -keystore <new keystore>

  12. 次のコマンドにてユーザのホームディレクトリに作成された新しいキーストアファイル(new keystore)をストアファイルを<C:\Program Files\Trend Micro\Deep Security Manager>にコピーします。

    > copy <new keystore> "C:\Program Files\Trend Micro\Deep Security Manager\.keystore"

  13. <C:\Program Files\Trend Micro\Deep Security Manager>にあるconfiguration.propertiesファイルのバックアップを取得した後、「メモ帳」等のテキストエディタで開きます。

    下記例のように表示されます。

    keystoreFile=C\:\\\\Program Files\\\\Trend Micro\\\\Deep Security Manager\\\\.keystore

    port=4119

    keystorePass=$1$85ef650a5c40bb0f914993ac1ad855f48216fd0664ed2544bbec6de80160b2f

    installed=true

    serviceName= Trend Micro Deep Security Manager

  14. 次の文字列にあるパスワードを置き換えます。

    keystorePass=xxxx

    ※「xxxx」は手順5.で設定したパスワードです。

  15. ファイルを保存して、閉じます。
  16. Deep Security Managerサービスを再起動します。
  17. ブラウザからDSMのWebコンソールへアクセスし、認証局によって署名された新しいSSL証明書になっている事およびソフトウェアのインポートが成功する事を確認します。
Premium
Internal
評価:
カテゴリ:
操作方法/設定
Solution Id:
1116196
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド