Standard Agent for Windows Administrators' Guide

カスタム証明書を作成しインストールする

このセクションでは、HPの初期設定の証明書を独自のカスタム証明書に置き換える方法について説明します。

注:以下の手順ではOpenSSLを使用します

このセクションの手順では、OpenSSLを使用して、秘密キー、証明書署名要求、および証明書を作成します。OpenSSLを使用するには、Visual C++ 2008再頒布可能パッケージおよびWin32 OpenSSL Light v1.0.2g+をインストールします。

OpenSSLについて詳しくは、OpenSSL Documentationを参照してください。

HPの初期設定の証明書をカスタム証明書に置き換えるには、以下の操作を行います。

  1. 必要なOpenSSLコンポーネントをシステムにインストールします。

  2. 内部ルートCA証明書を作成します。

  3. Anyware Agentの秘密キーおよび証明書ペアを作成します。

  4. 各デスクトップの証明書モードを構成します。

  5. Anyware Clientに内部ルートCAをインストールします。

OpenSSLの要件をインストールする

次のコンポーネントをWindowsマシンにインストールします。

  • Visual C++ 2008再頒布可能パッケージ

  • Win32 OpenSSL v1.0.2g Light(またはそれ以降)。

    OpenSSLのインストール中に求められた場合、OpenSSLのDLLをOpenSSLバイナリ ディレクトリにコピーします。例:C:\OpenSSL-Win32\bin。

注:サンプルでは初期設定のインストール ディレクトリを使用しています

以下のサンプルでは、次の初期設定のOpenSSLインストール ディレクトリを仮定しています。C:\OpenSSL-Win32

内部ルートCA証明書を作成する

このセクションでは、ルートCA秘密キーを作成する方法、このキーを使用して自己署名により内部ルートCAを生成する方法、および証明書にX.509 v3拡張を追加して証明書の使用方法を制限する方法を示します。

ルートCA秘密キーを作成する

RSA形式のルートCA秘密キーを作成するには、以下の操作を行います。

  1. コマンド プロンプトを開き、OpenSSLバイナリ ディレクトリ(c:\OpenSSL-Win32\bin)に移動します。

  2. openssl と入力し、Enterを押してOpenSSLを起動します。

    注:OpenSSLが.cfgファイルを見つけるためにヘルプを必要とする場合があります

    次のエラーが発生した場合、先に進む前にOPENSSL_CONF変数を設定する必要があります。

    WARNING: can’t open config file: /usr/local/ssl/openssl.cnf

  3. rootCA.keyという名前の3072ビットのルートRSAキーを作成するには、次のどれかのコマンドを使用します。

    • 保護されないキーを作成するには、次のように入力します。

      genrsa -out rootCA.key 3072

    • パスワードで保護されたキーを作成するには、-des3引数を追加します。

      genrsa -out rootCA.key -des3 3072

    パスワードで保護されたキーは、使用のたびにパスワードを入力する必要があります。

注意:ルート秘密キーは安全な場所に保管してください

ルート秘密キーにアクセスできるユーザーは誰でも、それを使用してPCoIP Clientに受け入れられる証明書を生成できます。

OPENSSL_CONF変数を設定する

OpenSSLが構成ファイルを見つけられない場合、OPENSSL_CONF変数を設定する必要があります。

OPENSSL_CONF変数を設定するには、以下の操作を行います。

  1. OpenSSLを終了します。

  2. 次のコマンドを入力します。

    set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg

  3. ssl と入力し、Enterを押して、エラーが発生したときに実行していた手順を続行します。

内部ルートCA証明書を自己署名により作成する

秘密キーが準備できたら、それを使用して、rootCA.pemという名前の自己署名X.509ルートCA証明書を生成します。これは1095日間有効です(1095日は、うるう日を含まない3年に当たります)。

ルートCA証明書を作成するには、以下の操作を行います。

  1. 次のコマンドを入力します。この例では、3年間(1095日)有効な証明書を作成します。-days パラメーターを変更して、証明書の有効期間をカスタマイズします。

    req -x509 -new -nodes -key rootCA.key -days 1095 -out rootCA.pem

    対話型のスクリプトが実行され、いくつかのフィールドの値の入力を求められます。

  2. プロンプトに応じてフィールドの値を入力します。

    フィールド メモ
    国名 オプション。ISO 3166-1 alpha-2国コードの1つを使用します。
    都道府県名 オプション
    市町村名 オプション
    組織名 オプション
    共通名 必須です。ルートCAの名前を入力します(例:certificates.mycompany.com)。
    電子メール アドレス オプション。このフィールドを使用する場合は、管理用のエイリアス電子メール アドレスを入力します。

注:フィールド値はテンプレート化できます

多数の証明書を作成する場合、グローバルなフィールド値を記入した構成ファイルの使用を検討してください。詳しくは、http://www.openssl.org/docs を参照してください。

Anyware Agentの秘密キーおよび証明書を作成する

Anyware Agentインスタンスのそれぞれに対して、次の3つの項目を作成します。

  • 秘密キー ファイル

  • 証明書署名要求(CSR)

  • 証明書

また、ワークステーション証明書の生成時に入力として用いられるX.509 v3拡張ファイルも必要です。

注:秘密キーは2つあります

ここで作成する秘密キーは、Anyware Agentによってデータの復号化に使用されます。内部ルートCAの秘密キーとは異なります。

X.509バージョン3拡張ファイルを作成する

X.509バージョン3拡張は、証明書の使用方法を制限します。

X.509 v3拡張ファイルを作成するには、以下の操作を行います。

  1. テキスト エディターで新しいファイルを開き、次のテキストを貼り付けます。

    authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:TRUE
keyUsage=digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName=email:test@mycompany.com

  2. ファイルに拡張子.extを付けて保存します(例:v3.ext)。

  3. C:\OpenSSL-Win32\bin directoryにファイルを保存します。

注:X.509 v3拡張の詳細情報

X.509 v3証明書拡張について詳しくは、https://www.openssl.org/docs/apps/x509v3_config.htmlを参照してください。

秘密キーおよび証明書を作成する

Anyware Agentの秘密キー、証明書署名要求、および証明書を作成するには、以下の操作を行います。

  1. C:\OpenSSL-Win32\bin ディレクトリからopensslを起動します。

  2. RSA形式の3072ビット秘密キーを作成します。

    genrsa -out pcoipprivate.pem 3072

    このコマンドは、現在のディレクトリにpcoipprivate.pemというファイルを作成します。

  3. 証明書署名要求を作成します。

    req -new -key pcoipprivate.pem -out pcoip_req.csr

    このコマンドによって対話型スクリプトが開始され、証明書メタデータの入力を求められます。

    チャレンジ パスワードおよび会社名の入力を求められる場合があります。

    [Common Name]フィールドは、Anyware Agentがインストールされているデスクトップの完全修飾ドメイン名(FQDN)である必要があります。例:mypcname.mydomain.local。同じドメイン内の複数のマシンで同じ証明書を使用する場合、FQDNの最後の2つのセグメント以外にワイルド カードを使用します。例:*.mydomain.local

    完了すると、このコマンドは現在のディレクトリに pcoip_req.csr というファイルを作成します。

  4. 署名してX.509 v3証明書を作成します。この例では、1年間(365日)有効な証明書を作成します。証明書の有効期間をカスタマイズするには、-days パラメーターを変更します。

    x509 -req -outform PEM -in pcoip_req.csr -extfile v3.ext -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -sha256 -out pcoipcert.pem -days 365

    このコマンドは、現在のディレクトリにpoipcert.pemというファイルを作成します。

    注意:セキュアなハッシュ アルゴリズムを使用する

    Windows証明書マネージャーでは、MD4、MD5、およびSHA1など、一部の古いハッシュ アルゴリズムが使用できなくなっています。証明書を作成する際には、SHA-384またはSHA-256を使用します。

  5. Windows証明書ストアにインポートするPKCS#12ファイルを作成します。 は使用するパスワードに置き換えます。

    pkcs12 -export -in pcoipcert.pem -inkey pcoipprivate.pem -name PCoIP -out pcoipagent.p12 -password pass:

    このコマンドは、現在のディレクトリに pcoipagent.p12 というファイルを作成します。

    注:-nameパラメーターは「PCoIP」にする必要があります。

    -name パラメーターの値には PCoIP を指定する必要があります。この値は、証明書のフレンドリ名を設定します。

  6. pcoipagent.p12 および rootCA.pem ファイルを、ネットワーク ストレージやUSBメモリなど、Anyware Agentの管理者ユーザーがアクセスできる場所に置きます。

Last updated: Thursday, July 18, 2024