カスタムSSL証明書
カスタムSSL証明書でKeeper Automatorを設定
概要
Keeper AutomatorによりKeeperバックエンドとお客様の環境で実行されているAutomatorサービスの間の通信を暗号化されます。
カスタム証明書を使用しない場合、Keeper Automatorがデフォルトで自己署名証明書を生成します。
SAMLが署名だけでなくリクエストを暗号化するように設定されている場合は、カスタム SSL証明書が必要となります。
ZeroSSLで簡単に無料でSSL証明書を取得できます。あるいはプロセスの各過程をより詳細に制御したい場合は、以下の手順にお進みください。
SSL証明書の生成と準備
Keeper Automatorには、公的認証局によって署名された有効な署名付きSSL証明書が必要です。SSL 証明書を生成するプロセスはプロバイダによって異なりますが、ここでは一般的なフローについて記載します。
以下の手順に従ってAutomatorの実行に必要な2つの証明書ファイルを作成します。これらのファイルにはssl-certificate.pfx
およびssl-certificate-password.txt
という名前を付けます。
(1) opensslコマンド プロンプトを使用して秘密キーを生成します。
(2) Automatorに使用する予定のホスト名を使用してCSRを生成します。この場合、automator.lurey.comを使用します。Common Nameはドメインと完全に一致します。
(3) SSL証明書を購入するか 90日間の無料証明書を取得し、CSRをSSL証明書プロバイダに送信します。
Automatorインスタンス用に作成したSSL証明書はこの目的にのみ使用するようにしてください。他のサービスと共有されているワイルドカード証明書は使用しないでください。
まだプロバイダをお持ちでない場合は、https://www.ssls.com/をご利用になれます。1つのドメインに対して最も安価なSSL証明書で問題ありません。
automator.company.comなどのURLを選択し、Automatorに限定したドメインの証明書を作成します。
SSL証明書プロバイダが署名付き証明書(.crt ファイル)と中間CA証明書を含むzipファイルを配信します。バンドルのファイル拡張子は .crt または .ca-bundleのいずれかとなります。このファイルを、前に作成した.keyファイルと同じ場所に解凍します。
(4) 証明書が発行された後、OpenSSL を使用して完全な証明書チェーン(ルート、中間、CA 証明書)を含む.pfx形式に変換する必要があります。
Windows では、必ずOpenSSLコマンドプロンプトを起動し、ファイルが存在するフォルダへ移動してください。
特殊文字を含まないエクスポートパスワードを設定します。
重要: エクスポートパスワードには特殊文字を使用しないようにしてください。
次に、ssl-certificate-password.txtという名前の新しいテキストファイルを作成し、そのファイルにエクスポートパスワードを入力して保存します。
automator.key
は手順1で生成された秘密キーです。automator.yourcompany.com.crt
は手順3で配信された署名付き証明書です。automator.yourcompany.com.ca-bundle
はCAバンドルです。ssl-certificate.pfx
は、Automatorによって使用されるパスワードで暗号化済みの出力ファイルです。ssl-certificate-password.txt
には、.pfxファイルの暗号化に使用されるパスワードが含まれています。
5つのファイルすべてをKeeperボルトに保存することを推奨します。
.pfx ファイルに、発行した証明書とプロバイダからの完全な証明書チェーンが含まれていることを確かにしてください。完全な証明書チェーンを提供しない場合は通信が失敗し、AutomatorがURLに接続できません。
.pfxを確認するにはopensslを使用します。
openssl pkcs12 -in ssl-certificate.pfx -info
.pfx が正しい場合は、3 つの証明書が表示されます。
証明書が1つしか表示されない場合、4つまたは5つの証明書が表示される場合は.pfxが間違っているため、プロセスを繰り返す必要があります。
(5) ssl-certificate.pfx
とssl-certificate-password.txt
を保存し、後述のデプロイ手順で使用できるようにします。
また、後でサービスを更新したり証明書を再入力したりするときに参照できるように、Keeperコンテナ内のファイルは必ずバックアップしておいてください。
(6) 以下に記載されている年次証明書更新プロセスを確認してください。
Windows
SSL証明書の生成と準備
Keeper Automatorには、公的認証局によって署名された有効な署名付きSSL証明書が必要です。自己署名証明書はサポートされていません。SSL 証明書を生成するプロセスはプロバイダによって異なりますが、ここでは一般的なフローについて記載します。
OpenSSLをダウンロードしてインストールします。サードパーティ(slproweb.com)がバイナリインストーラーを作成しています。一般的なバイナリインストーラーについては以下をご参照ください。
https://slproweb.com/products/Win32OpenSSL.html 下部にあるWin32 OpenSSL vX.X.X Lightというバージョンをインストールします。
インストール中にデフォルトのオプションを選択できます。Microsoft Visual Studio拡張機能もインストールするように求められる場合がありますので、OpenSSLのセットアップを完了する前にこの拡張機能をインストールしてください。
OpenSSLコマンドプロンプトを実行します。
スタートメニューにOpenSSLフォルダがありますので、[Win32 OpenSSLコマンドプロンプト]をクリックします。
毎年の更新プロセス
毎年SSL証明書の更新が必要となりますが、ほとんどの証明書プロバイダーで新しい証明書を生成してくれます。証明書の更新後、Automatorインスタンス内の.pfx証明書ファイルを置き換えてからサービスを再起動します。ファイルの更新とサービスの再起動の正確なプロセスについては、特定のAutomatorインストール方法のドキュメントをご参照ください。
AD FSを使用した環境の場合
ID プロバイダーとしてAD FSを使用してKeeper Automatorを使用している場合、以下の手順に従って Keeper証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
証明書の更新後にログインの問題が発生した場合
証明書の更新後、IDプロバイダで新しいSP証明書を発行する必要がある場合があります。以下がその手順となります。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックして証明書ファイルを保存します。
[メタデータのエクスポート]をクリックして証明書が含まれるメタデータファイルを保存します。
IDプロバイダポータルにログインし、KeeperのSSO設定を見ます。
サービスプロバイダーの証明書更新の指示に従って、KeeperのSP証明書ファイル(または必要に応じてメタデータ)をアップロードし、保存します。
Automatorサービスが本質的にサービスプロバイダーになるのが理由となります。署名プロセスには、お客様が生成したSSL証明書が使用されます。
AzureおよびAWSでのデプロイ
SSLを終了するカスタムドメインを持つアプリケーションゲートウェイまたはロードバランサーを利用する環境でSSL証明書を更新する場合は、そのデバイス上の証明書も更新する必要があります。
App Gatewayを使用したAzureデプロイの場合、ゲートウェイのhttpsリスナーで.pfx 証明書も更新する必要があります。[Azure] > [リソースグループ] > [アプリゲートウェイ] > [リスナー]に移動し、新しい証明書をアップロードします。
最終更新