クラスタノードの SSL 証明書の管理

既定では、KSMG はクラスタノードの導入時にクラスタノードの SSL 証明書として自動生成される、自己署名の証明書を使用します。本製品の Web インターフェイスへこの証明書を使用してログインすると、ブラウザーにセキュアではない接続に関する警告が表示されます。利便性とセキュリティを高めるためにも、Web インターフェイスを使用する際は、ノードの既定の証明書を、信頼された証明機関によって発行された証明書で置換できます。

クラスタノードの SSL 証明書を置換するには、次のファイルが必要です：

• PEM 拡張子を持つ X.509 形式の証明書ファイル、または PEM 拡張子を持つ X.509 形式の証明書チェーン
• PEM 拡張子を持つ RSA 秘密鍵ファイル（パスフレーズなし）

秘密鍵ファイルおよび証明書は自身で用意することも、証明機関が用意したすぐに使えるファイルを取得することもできます。

クラスタノードの SSL 証明書の置換および秘密鍵と証明書ファイルの作成に伴う手順

1. 秘密鍵および証明書への署名リクエストの作成

   証明機関から次のうちいずれか 1 つのファイルを受け取ります。

   • CER または CRT 拡張子を持つ署名済みの X.509 証明書ファイル。
   • P7B 拡張子を持つ PKCS#7 証明書チェーンファイル。ファイルには、リクエストに応じて署名された Web サイト証明書と中間証明書認証局の証明書が含まれます。
2. 取得したファイルの PEM エンコーディングへの変換

   これまでの手順で取得したファイルの種類によっては、次のいずれか 1 つを実行します：

   • DER エンコーディングから PEM エンコーディングへの証明書の変換。
   • PKCS#7 コンテナーからの証明書チェーンの抽出。
3. クラスタノードの SSL 証明書の置換

証明機関によって提供された秘密鍵と証明書ファイルを使用したクラスタノードの SSL 証明書の置換に伴う手順

1. 証明機関からの秘密鍵と証明書ファイルの取得

   秘密鍵と証明書は PFX コンテナーとして提供されます（PKCS#12 形式、PFX または P12 拡張子）。

   組織が Active Directory Certification Services サービスを証明機関として使用している場合には、Web サーバーテンプレートを使用して証明書を作成します。その結果生成されたファイルを DER エンコーディングで証明書チェーンとして保存します。

2. PFX コンテナーからの証明書と秘密鍵の抽出
3. クラスタノードの SSL 証明書の置換