HTTPS では SSL 証明書が必要です。SSL 証明書を生成すると、ブラウザインタフェース がマスターサーバーに接続するときに使用されるキーストアファイルとキーストアパスワードが作成されます。
認証局に証明書に署名してもらうか、自己署名付き証明書を使用するかを選択できます。認証局によって署名された証明書は、ブラウザによって信頼されます。このため、ブラウザはユーザーがマスターサーバー上のブラウザインタフェースに接続する場合に警告を出しません。一般に、認証局は証明書の署名に費用を請求します。自己署名付き証明書は認証局による署名を待つ必要がないため、生成後すぐに使用できます。ただし、ブラウザは自己署名付き証明書を信用しないため、ユーザーがマスターサーバーに接続するたびに警告を発します。
ブラウザインタフェースに SSL を使用させるには、初めに SSL 証明書を生成する必要があります。キーストアファイルとキーストアパスワードは、SSL 証明書を生成中に作成します。
キーストアファイルとキーストアパスワードを作成するには、keytool を使用します。keytool は、JRE で使用可能なセキュリティーツールです。keytool がインストールされていない場合は、HTTPS を使用するようにプロビジョニングシステムを構成する前に keytool をインストールする必要があります。JRE は、N1 Service Provisioning System によってインストールされます。プロビジョニングシステムをインストールしたあとに HTTPS を構成する場合、keytool はシステム上にインストールされています。
JRE をインストールしたディレクトリに移動します。
% cd JAVA-HOME/bin |
JAVA-HOME には、JRE をインストールしたディレクトリを指定します。N1 Service Provisioning System 5.1 でインストールした場合、JRE は N1SPS5.1-home/common/jre/bin ディレクトリにインストールされます。
証明書を生成します。
% keytool -genkey -alias tomcat -keyalg RSA -keystore /keystore-location -storepass password |
/keystore-location に生成されたキーを格納するキーストアファイルの場所とファイル名を設定します。
password にキーストアパスワードとして使用する何らかのパスワードを設定します。
メッセージに従って操作を進めます。
組織名には区切り文字を入れないようにしていください。区切り文字が入ると、Java Certificate ツールは要求の生成に失敗します。共通名 (Common Name: CN) は、ドメイン名、URI のコンポーネントを含む完全修飾のホスト名である必要があります。
認証局によって署名された証明書を使用する場合は、この手順に従って証明書を認証局に提出し、署名を依頼してください。
証明書要求を生成します。
% keytool -certreq -v -alias tomcat -keyalg RSA -keystore /keystore-location |
/keystore-location には、生成したキーを格納した場所とファイル名を指定します。
この証明書要求を認証局へ送信します。
認証局の指示に従います。認証局から、証明書応答 (Certificate Reply) が返送されてきます。
証明書応答をファイルに保存します。
証明書応答を確認します。
% keytool -printcert -file certificate-reply-file |
certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。
証明書応答ファイルを keystore ファイルにインポートします。
% keytool -v -import -trustcacerts -keystore /keystore-location -file certificate-reply-file -alias tomcat |
/keystore-location には、生成したキーを格納した場所とファイル名を指定します。certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。
インポートされた証明書応答を確認します。
% keytool -v -list -keystore /keystore-location |
/keystore-location には、生成したキーを格納した場所とファイル名を指定します。