新しいカスタム証明書へのOracle FPPサーバーの切替え

新しいカスタム・セキュリティ証明書を使用して、自己署名証明書を置き換えたり、失効した証明書を更新するように、Oracle FPPサーバーを切り替えることができます。

新しいカスタム証明書を使用するようにOracle FPPサーバーを切り替えると、Oracle FPPクライアントとの通信が切断されます。通信をリストアするには、次の手順を実行する必要があります。
  1. Oracle FPPクライアントから健全性検査を実行して、クライアントがサーバーに接続できることを確認します。
    $ rhpctl query server
  2. Oracle FPPサーバーの構成に使用するセキュリティ証明書からP12ファイルを生成します。
    $ openssl pkcs12 -export -inkey ${SERVER_KEY} -passin pass:${PASS} -in ${SERVER_CRT} 
    -name orakey -certfile ${CA_CRT} -caname cakey -out ${P12_FILE} -password pass:${P12_PASS}
  3. 生成されたP12ファイルの新しいカスタム証明書を使用するようにOracle FPPサーバーを構成し、この証明書の名前を指定します。
    $ srvctl stop rhpserver
    # srvctl modify rhpserver -p12certpath P12_file_path -certname cert_name
    $ srvctl start rhpserver
  4. Oracle FPPサーバーからクライアント・データ・ファイルに資格証明をエクスポートします。
    $ rhpctl export client -client cluster_name -clientdata file_path
  5. 生成された資格証明ファイルをOracle FPPクライアント・クラスタにセキュアにコピーします。
  6. Oracle FPPクライアントから健全性検査を実行します。
    $ rhpctl query server
    このコマンドは、PRGO-1068エラーで失敗すると予想されます。
  7. 新しいカスタム証明書を使用するようにOracle FPPクライアントを構成します。
    1. Oracle FPPクライアントの構成に使用するセキュリティ証明書からP12ファイルを生成します。
      $ openssl pkcs12 -export -inkey ${SERVER_KEY} -passin pass:${PASS} -in ${SERVER_CRT} 
      -name orakey -certfile ${CA_CRT} -caname cakey -out ${P12_FILE} -password pass:${P12_PASS}
    2. 生成されたP12ファイルの新しいカスタム証明書を使用するようにOracle FPPクライアントを構成し、この証明書の名前を指定します。
      $ srvctl stop rhpclient
      # srvctl modify rhpclient -p12certpath P12_file_path -certname cert_name

      ノート:

      Oracle FPPサーバーでカスタム・セキュリティ証明書を使用している場合でも、すべてのOracle FPPクライアントでカスタム・セキュリティ証明書を使用する必要があるわけではありません。同様に、1つ以上のOracle FPPクライアントにはカスタム・セキュリティ証明書を使用できますが、Oracle FPPサーバーには使用できません。
  8. Oracle FPPサーバーの公開セキュリティ・キーを更新します。
    # srvctl modify rhpclient -clientdata file_path
    $ srvctl start rhpclient
    このコマンドは、Oracle FPPサーバー上のOracle FPPクライアントの公開キーを更新します。
  9. Oracle FPPクライアントから健全性検査を実行して、クライアントがサーバーに接続できることを確認します。
    $ rhpctl query server
  10. ステップ4から9を他のすべてのOracle FPPクライアント・クラスタ・ノードで繰り返します。