SMAで証明書を生成してインストールする方法
ダウンロード オプション
偏向のない言語
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
翻訳について
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
内容
概要
このドキュメントでは、Cisco Security Management Appliance(SMA)の設定と使用のために証明書を生成してインストールする方法について説明します。
前提条件
opensslコマンドをローカルで実行するには、アクセス権が必要になります。
Eメールセキュリティアプライアンス(ESA)への管理者アカウントアクセスと、SMAのCLIへの管理者アクセスが必要です。
次の項目を.pem形式で使用できる必要があります。
- X.509 証明書
- 証明書に一致する秘密キー
- 認証局(CA)によって提供される中間証明書
SMAで証明書を生成してインストールする方法
ヒント:信頼できるCAによって署名された証明書を使用することをお勧めします。特定のCAは推奨されません。 使用するCAに応じて、署名付き証明書、秘密キー、および中間証明書(該当する場合)をさまざまな形式で受信できます。 証明書をインストールする前に、CAに提供するファイルの形式を調査するか、CAと直接話し合ってください。
現在、SMAはローカルでの証明書の生成をサポートしていません。 代わりに、ESAで自己署名証明書を生成できます。これは、SMAの証明書をインポートおよび設定するための回避策として使用できます。
ESAからの証明書の作成とエクスポート
- ESAのGUIで、[Network] > [Certificates] > [Add Certificate]から自己署名証明書を作成します。
- 自己署名証明書を作成する際には、証明書を正しく使用できるように、ESAではなくSMAのホスト名を「共通名(CN)」で使用することが重要です。
- 変更を送信し、保存します。
- [Network] > [Certificates] > [Export Certificates]から作成した証明書をエクスポートします。 (1)自己署名証明書としてエクスポートおよび保存/使用、または(2)証明書署名要求のダウンロード(外部で証明書を署名する必要がある場合)の2つのオプションがあります。
- 自己署名証明書として保存/使用:
- [証明書のエクスポート]を選択します
- 証明書を変換するときに使用するファイル名(mycert.pfxなど)とパスフレーズを入力します。
- これにより、ファイルをローカルに保存するように自動的に求められます。
- 「エクスポートされた証明書の変換」に進みます。
- 証明書署名要求のダウンロード
- [Network] > [Certificates] に移動します。
- 作成した証明書名をクリックします。
- [署名の発行元]セクションで、[証明書の署名要求のダウンロード]をクリックします。
- .pemファイルをローカルに保存し、CAに送信します。
- 自己署名証明書として保存/使用:
エクスポートされた証明書の変換
ESAから作成およびエクスポートされる証明書は.pfx形式になります。SMAはインポート用の.pem形式のみをサポートしているため、この証明書を変換する必要があります。 証明書を.pfx形式から.pem形式に変換するには、次のopensslコマンドの例を使用します。
openssl pkcs12 -in mycert.pfx -out mycert.pem -nodes
ESAから証明書を作成する際に使用するパスフレーズの入力を求められます。 OpenSSLコマンドで作成された.pemファイルには、証明書と.pem形式のキーの両方が含まれます。 これで、SMAで証明書を設定する準備ができました。 この記事の「証明書のインストール」セクションに進んでください。
OpenSSLを使用した証明書の作成
または、PC/ワークステーションからopensslを実行するためのローカルアクセス権がある場合は、次のコマンドを発行して証明書を生成し、必要な.pemファイルと秘密キーを2つの別のファイルに保存できます。
openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout sma_key.pem -out sma_cert.pem
これで、SMAで証明書を設定する準備ができました。 この記事の「証明書のインストール」セクションに進んでください。
追加オプション、ESAからの証明書のエクスポート
前述のように、証明書を.pfxから.pemに変換する代わりに、ESAのパスワードをマスキングせずにコンフィギュレーションファイルを保存できます。保存したESA .xml設定ファイルを開き、<certificate>タグを検索します。証明書と秘密キーは既に.pem形式になります。次の「証明書のインストール」セクションで説明されているように、証明書と秘密キーをSMAにインポートするためにコピーします。
注:このオプションは、AsyncOS 11.1以前を実行しているアプライアンスでのみ有効です。このアプライアンスでは、「プレーン・パスフレーズ」オプションを使用して構成ファイルを保存できます。 AsyncOSの新しいバージョンでは、パスフレーズをマスクするか、パスフレーズを暗号化するかのオプションだけが提供されます。 どちらのオプションも秘密キーを暗号化します。これは、証明書のインポートまたは貼り付けのオプションに必要です。
注:上記の「#2の証明書署名要求のダウンロード」を選択し、CAによって証明書が署名されている場合は、証明書と秘密キーのコピーを作成するための設定ファイルを保存する前に、証明書が作成されたESAに署名付き証明書をインポートする必要があります。インポートは、ESA GUIで証明書名をクリックし、[Upload Signed Certificate]オプションを使用して実行できます。
SMAへの証明書のインストール
1つの証明書をすべてのサービスに使用することも、個別の証明書を4つのサービスそれぞれに使用することもできます。
- インバウンド TLS
- アウトバウンド TLS
- HTTPS
- LDAPS
SMAで、CLIを使用してログインし、次の手順を実行します。
- certconfigを実行します。
- セットアップオプションを選択します。
- すべてのサービスで同じ証明書を使用するか、個々のサービスごとに個別の証明書を使用するかを選択する必要があります。
- 「Do you want to use one certificate/key for receiving, delivery, HTTPS management access, and LDAPS?」というメッセージが表示されたら、「Y」と答えると、証明書とキーを一度入力するだけで、その証明書をすべてのサービスに割り当てることができます。
- 「N」を入力する場合、プロンプトが表示されたら、各サービスの証明書、キー、中間証明書(該当する場合)を入力する必要があります。インバウンド、アウトバウンド、HTTPS、および管理
- プロンプトが表示されたら、証明書またはキーを貼り付けます。
- 末尾に「。」 現在の項目の貼り付けが完了したことを示すために、エントリごとに独自の行に表示されます。 (「例」セクションを参照)。
- 中間証明書がある場合は、プロンプトが表示されたら必ず入力してください。
- 完了したらEnterキーを押し、SMAのメインCLIプロンプトに戻ります。
- commitを実行して設定を保存します。
注:Ctrl+Cを使用してcertconfigコマンドを終了しないでください。変更はただちにキャンセルされます。
例
mysma.local> certconfig
Currently using the demo certificate/key for receiving, delivery, HTTPS management access, and LDAPS.
Choose the operation you want to perform:
- SETUP - Configure security certificates and keys.
[]> setup
Do you want to use one certificate/key for receiving, delivery, HTTPS management access, and LDAPS? [Y]> y
paste cert in PEM format (end with '.'):
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
.
paste key in PEM format (end with '.'):
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
.
Do you want to add an intermediate certificate? [N]> n
Currently using one certificate/key for receiving, delivery, HTTPS management access, and LDAPS.
Choose the operation you want to perform:
- SETUP - Configure security certificates and keys.
- PRINT - Display configured certificates/keys.
- CLEAR - Clear configured certificates/keys.
[]>
mysma.local> commit
Please enter some comments describing your changes:
[]> Certificate installation
Changes committed: Fri Nov 10 11:46:07 2017 EST
SMAでインポートおよび設定された証明書を確認する
- HTTPS(https://<SMA IPまたはホスト名>)を使用してGUI経由でSMAに接続し、ログイン資格情報を入力します。
- ブラウザのアドレスバーのURLの横にあるロックアイコンまたは情報アイコンをクリックして、証明書、有効期限などの有効性を確認します。
- 使用しているブラウザによって、操作と結果は異なります。
- 証明書のチェーンを確認するには、[Certification Path]をクリックします。
フィードバック