Standard Agent for Windows Administrators' Guide
This release is in Beta. Beta software is not fully supported, and may be incomplete or unstable. It is not intended for use in production systems. We welcome your feedback on this release! Send feedback to anyware-beta-feedback@hp.com.

カスタム証明書の作成とインストール

この項では HP のデフォルトの証明書をお使いのカスタム証明書に置き換える方法を説明します。

注記: 以下の手順では OpenSSL を使用します。

この項の手順では、OpenSSL を使用してプライベート キー、証明書署名要求、および証明書を作成します。OpenSSL を使用するには、Visual C++ 2008 Restri hp および Win32 OpenSSL Light v1.0.2g+をインストールします。

OpenSSL に関する詳細については、 OpenSSL ドキュメントを参照してください

HP のデフォルトの証明書をカスタム証明書に置き換えるには、次のようにします。

  1. お使いのシステムに必要な OpenSSL コンポーネントをインストールします。

  2. 内部ルート CA 証明書を作成します

  3. Anyware エージェントのプライベートキーと証明書のペアを作成します。

  4. 各デスクトップの証明書モードを構成します。

  5. 内部ルート CA を Anyware クライアントにインストールします。

OpenSSL要件のインストール

お使いの Windows マシンに以下のコンポーネントをインストールします。

  • Visual C++ 2008 再頒布可能ファイル

  • Win32 OpenSSL v1.0.2g ランプ (またはそれ以降)

    OpenSSL インストール中にプロンプトが表示されたら、OpenSSL バイナリ ディレクトリに OpenSSL DLLs をコピーします。例えば、C:\OpenSSL-Win32\bin と入力します。

注記: デフォルトインストールディレクトリを使用する例

以下の例では、デフォルトの OpenSSL インストール ディレクトリを想定しています C:\OpenSSL-Win32

内部ルート CA 証明書の作成

この項では、ルート CA プライベートキーを作成する方法、このキーを使用して自己署名し、内部のルート CA 証明書を作成する方法、および証明書の使用方法を制限する証明書に X.509 v3 拡張を追加する方法を示します。

ルート CA プライベートキーの作成

ROOT CA プライベートキーを SSL 形式で作成するには、次のようにします。

  1. コマンド プロンプトを開き、OpenSSL バイナリ ディレクトリ (c:\OpenSSL-Win32\bin) に移動します。

  2. openssl入力してEnterを押し、OpenSSLを起動します。

    注記: OpenSSL は .ウェブカムファイルの検索に役立つ場合があります

    以下のエラーが表示される場合は、続行する前に OPENSSL_CONF変数を設定 する必要があります。

    WARNING: can’t open config file: /usr/local/ssl/openssl.cnf
    
  3. rootCA.keyという名前の3072ビットのルートNETFキーを作成するには、次のコマンドのいずれかを使用します。

    • キーの 入力を解除 する場合は、次のように入力します。

      genrsa -out rootCA.key 3072
      
    • パスワードで保護されたキーについては、-des3 www:を追加します。

      genrsa -out rootCA.key -des3 3072
      

    パスワード保護キーを使用するには、毎回パスワードを入力する必要があります。

注意: プライベートルートキーを安全な場所に保管する

プライベート ルート キーにアクセスできる人なら誰でも、これを使用して PCoIP クライアントが承認する証明書を生成することができます。

OPENSSL_CONF変数の設定

OpenSSL がその構成ファイルを検索できない場合は、OPENSSL_CONF変数を設定する必要があります。

OPENSSL_CONF変数を設定するには、次のようにします。

  1. OpenSSLを終了します。

  2. 次のコマンドを入力します。

    set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg
    
  3. ssl入力し、Enterを押して、エラーが発生したときに実行していた手順に進みます。

内部ルート CA 証明書の自己署名と作成

プライベートキーをお持ちになったので、これを使用して、1095日間 (1095日はLeap日間を無視し、3年間を無視)に対して有効な rootCA.xl と呼ばれる自己署名 X.509 root CA 証明書を作成します。

ルート CA 証明書を作成するには次のようにします。

  1. 次のコマンドを入力します。この例では、3 年間有効な証明書を作成します。(1095 日)。 -days のパラメーターを変更して、証明書証明書をカスタマイズします。

    req -x509 -new -nodes -key rootCA.key -days 1095 -out rootCA.pem
    

    対話型スクリプトが実行され、いくつかのフィールドの値を入力するよう求められます。

  2. 指示に従って、項目の値を入力します。

    項目 のメモ
    国名 随意。ISO 3166-1 の英数字コードのいずれかを使用します。
    都道府県名 随意
    ローカル名 随意
    組織名 随意
    俗称 必要です。お使いのルート CA の名前を入力します (例えば certificates.mycompany.com)
    アドレス 随意。このフィールドを使用する場合は、管理者用電子メールを入力します。

注: フィールドの値はテンプレートで指定できます。

多数の証明書を作成する場合は、グローバル フィールドの値が含まれている構成ファイルの使用を検討してください。詳細については、「 https://www.openssl.org/docs/man1.1.1/man5/x509v3_config.html#:~:text=This%20is%20a%20multi%20valued,nonnegative%20value%20can%20be%20included 」を参照してください。

Anyware Agent のプライベートキーと証明書の作成

各 Anyware エージェント インスタンスに対して、次の 3 つの項目を作成します。

  • プライベートキーファイル

  • 証明書署名要求 (CSR)

  • 証明書

また、ワークステーションの証明書を生成する際に入力として使用する、X.509 v3 拡張子ファイルが必要になります。

注記: 2つの異なるプライベートキーがあります

ここで作成したプライベートキーは、Anyware Agent がデータを復号化するために使用します。内部ルート CA プライベートキーとは異なります。

X.509バージョン3拡張子ファイルの作成

X.509 バージョン 3 拡張が証明書の使用を制限します。

X.509 v3拡張子ファイルの作成方法:

  1. テキスト エディターを使用して新しいファイルを開き、次のテキストをそれに貼り付けます。

    authorityKeyIdentifier=keyid,issuer
    basicConstraints=CA:TRUE
    keyUsage=digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    subjectAltName=email:test@mycompany.com
    
  2. .ext 拡張子の付いたファイルを保存します (例えばv3.ext)。

  3. ファイルを C:\OpenSSL-Win32\bin directoryに保存します。

注記: X.509 v3拡張機能に関する詳細

X.509 v3証明書拡張の詳細については、 https://www.openssl.org/docs/apps/x509v3_config.html を参照してください。

プライベートキーと証明書の作成

Anyware Agent のプライベートキー、証明書署名要求、および証明書を作成する方法:

  1. C:\OpenSSL-Win32\bin ディレクトリから openssl を起動します。

  2. 以下のようにして、 3072ビットのプライベートキー をウェブカムの形式で作成します。

    genrsa -out pcoipprivate.pem 3072
    

    このコマンドは、現在のディレクトリで pcoipprivate.bmp ファイルを作成します。

  3. 証明書署名要求の作成:

    req -new -key pcoipprivate.pem -out pcoip_req.csr
    

    このコマンドは、証明書のメタデータの入力を求める対話型スクリプトを開始します。

    問題のあるパスワードや会社名が要求されることがあります。

    [Common Name] (一般名) フィールドは、例えばmypcname.mydomain.local Anyware Agent がインストールされるデスクトップの完全修飾ドメイン名 (FQDN) でなければなりません。同じドメイン内の複数のマシンで同じ証明書を使用する場合、FQDNの最後の2つのセグメント以外のすべての証明書を使用*.mydomain.local

    完了すると、このコマンドにより現在のディレクトリに pcoip_req.csr ファイルが作成されます。

  4. X.509 v3 証明書にサインインして作成します。この例では、1 年間 (365 日間) の有効な証明書を作成します。証明書の有効期限をカスタマイズするには、-daysパラメータを変更します。

    x509 -req -outform PEM -in pcoip_req.csr -extfile v3.ext -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -sha256 -out pcoipcert.pem -days 365
    

    このコマンドは、現在のディレクトリで poipcert.bmp ファイルを作成します。

    注意: セキュア ハッシュ アルゴリズムを使用する

    Windows Certificate Manager では、MD4、MD5、および WLAN1 などの古いハッシュ アルゴリズムの使用に対処しています。お使いの証明書の作成時に WLAN 384 または WLAN-256 を使用します。

  5. BMPS#12 ファイルを作成し、Windows 証明書ストアにインポートします。<password>をお使いのパスワードに置き換えます。

    pkcs12 -export -in pcoipcert.pem -inkey pcoipprivate.pem -name PCoIP -out pcoipagent.p12 -password pass:<password>
    

    このコマンドは、現在のディレクトリに pcoipagent.p12 ファイルを作成します。

    注: -name パラメータは 'PCoIP' でなければなりません。

    PCoIP-nameパラメータ値として指定する必要があります。この値は、証明書の使いやすい名前を設定します。

  6. Anywareエージェントの管理者ユーザーがネットワークストレージやUSBキーなど、それらにアクセスできる場所に、 pcoipagent.p12 および rootCA.pem ファイルを配置します。


Last updated: Thursday, October 31, 2024