証明書管理

認証局(CA)とは、エンティティ(Webサイト、電子メール・アドレス、会社、個人など)のアイデンティティを検証し、デジタル証明書と呼ばれる電子ドキュメントの発行を通じてそれらを暗号鍵にバインドする会社または組織です。CAは、証明書のサブジェクト(所有者)、および証明書に依存する関係者の両方にとっての、信頼できる第三者の役目を果たします。

デジタル証明書により、次のことが提供されます:

認証: 証明書は、その所有者のアイデンティティを検証するための資格証明として機能します。この場合には、それにより、リカバリ・アプライアンスからその保護されたデータベース、他のレプリケーション・リカバリ・アプライアンス、およびクラウド・アーカイブ・ストレージへの通信が認証されます。
暗号化: インターネットなどのセキュアでないネットワークを介したセキュアな通信の場合。
証明書で署名されたドキュメントの整合性: 転送中に第三者が変更できないようにします。

これらの証明書の形式は、X.509標準で指定されています。

指定されたドメイン名を証明書申請者が制御していることを証明するための、そのドメインを検証するための方法はCAによって異なります。

同様に、各CAにはそれ固有の申請手順がありますが、それについてはこの章では説明しません。

一般的には、選択したCAでの証明書申請プロセスが完了したら、申請者が、自分の証明書すべてを含むバンドル・ファイルをダウンロードします。

次の例では、選択したCAによって生成されたバンドル・ファイル(*.pfx)にYourCompany.pfxという名前を付けたと仮定します。

証明書のCAバンドル・ファイル(*.pfx)

リカバリ・アプライアンスのTLS暗号化には、信頼できる証明書(*.pem)と署名付き証明書(*.p12)の両方が必要です。各証明書をバンドル・ファイル(*.pfx)から展開し、TLSウォレットにインポートする必要があります。

サード・パーティ・ソフトウェアを使用した証明書作成

リカバリ・アプライアンスで、次のコマンドを発行することで、すべてのサブジェクト代替名(SAN)のリストを取得します。
```
racli list san
```
ノート:
これによって何も返されない場合は、パッチを適用して新しいバージョンにします。
SAN情報(具体的には共通名(CN)とDNSエントリ)を用意して、セキュリティWebサイトにアクセスし、この情報を入力して証明書パッケージを取得します。

PKCS#8形式を使用し、必ず個別のファイルを指定します。
証明書ZIPパッケージをダウンロードします。
証明書ZIPパッケージを解凍します。

証明書ZIPパッケージには、信頼できる証明書およびユーザー証明書を含む複数のファイルが含まれています。
- 信頼できる証明書は名前にchainまたはrootが含まれており、それは*.pem形式です。
- ユーザー証明書は*.crt形式です。
- *.keyファイルも、ダウンロードしたパッケージからのこのディレクトリに含まれている必要があります。
openssl pkcs12を使用して、信頼できる証明書でユーザー証明書に署名し*.p12ファイルを作成します。
```
openssl pkcs12 -export --in /<DIR>/<NAME>.crt 
--inkey /<DIR>/<NAME2>.key --certfile  /<DIR>/<NAME3>.pem 
--passin pass:<YOURPASSWORD> --passout pass: :<YOURPASSWORD>  
--out /<DIR>/<NAME4>.p12
```
ノート:
<NAME4>にewalletやcwalletを使用しないでください。<NAME4>では、<NAME>、<NAME2>および<NAME3>に使用されているローカル・ホスト情報または組織名が参照される必要があります。
信頼できる証明書と署名済ユーザー証明書の両方をリカバリ・アプライアンス・ウォレットにインポートします。
```
racli add certificate --signed_cert=/<DIR>/<NAME4>.p12 
--trusted_cert=/<DIR>/<NAME3>.pem
```
それらの証明書がリカバリ・アプライアンス・ウォレットにあることを確認します。
```
racli list certificate 
```
「リカバリ・アプライアンスでのTLSデータ・セキュリティの構成」、「クライアントでのTLSデータ・セキュリティの構成」の順に進みます。