カスタムSSL証明書

概要

KeeperオートメーターによりKeeperバックエンドとお客様の環境で実行されているオートメーターサービスの間の通信を暗号化されます。

カスタム証明書を使用しない場合、Keeperオートメーターがデフォルトで自己署名証明書を生成します。

ZeroSSLで簡単に無料でSSL証明書を取得できます。あるいはプロセスの各過程をより詳細に制御したい場合は、以下の手順にお進みください。

SSL証明書の生成と準備

Keeperオートメーターには、公的認証局によって署名された有効な署名付きSSL証明書が必要です。SSL 証明書を生成するプロセスはプロバイダによって異なりますが、ここでは一般的なフローについて記載します。

以下の手順に従ってオートメーターの実行に必要な2つの証明書ファイルを作成します。これらのファイルにはssl-certificate.pfxおよびssl-certificate-password.txtという名前を付けます。

1. opensslコマンド プロンプトを使用して秘密キーを生成します。

openssl genrsa -out automator.key

1. オートメーターに使用する予定のホスト名を使用してCSRを生成します。この場合、automator.lurey.comを使用します。Common Nameはドメインと完全に一致します。

openssl req -new -key automator.key -out automator.csr

Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:Illinois
Locality Name (eg, city) [Default City]:Chicago
Organization Name (eg, company) [Default Company Ltd]:Company, LLC
Organizational Unit Name (eg, section) []:Engineering
Common Name []:automator.yourcompany.com
Email Address []:webmaster@yourcompany.com

1. SSL証明書を購入するか90日間の無料証明書を取得し、CSRをSSL証明書プロバイダに送信します。

まだプロバイダをお持ちでない場合は、https://www.ssls.com/をご利用になれます。1つのドメインに対して最も安価なSSL証明書で問題ありません。

automator.company.comなどのURLを選択し、オートメーターに限定したドメインの証明書を作成します。

SSL証明書プロバイダが署名付き証明書 (.crt ファイル) と中間CA証明書を含むzipファイルを配信します。バンドルのファイル拡張子は .crt または .ca-bundleのいずれかとなります。このファイルを、前に作成した.keyファイルと同じ場所に解凍します。

1. 証明書が発行された後、OpenSSL を使用して完全な証明書チェーン (ルート、中間、CA 証明書) を含む.pfx形式に変換する必要があります。

openssl pkcs12 -export -out ssl-certificate.pfx -inkey automator.key -in automator.yourcompany.com.crt -certfile automator.yourcompany.com.ca-bundle

エクスポートパスワードを設定してから、ssl-certificate-password.txtという名前の新しいテキストファイルを作成し、そのファイルにエクスポートパスワードを入力して保存します。

• automator.keyは手順1で生成された秘密キーです。

• automator.yourcompany.com.crtは手順3で配信された署名付き証明書です。

• automator.yourcompany.com.ca-bundleはCAバンドルです。

• ssl-certificate.pfxは、オートメーターによって使用されるパスワードで暗号化済みの出力ファイルです。

• ssl-certificate-password.txtには、.pfxファイルの暗号化に使用されるパスワードが含まれています。

5つのファイルすべてをKeeperボルトに保存することを推奨します。

1. ssl-certificate.pfxとssl-certificate-password.txtを保存し、後述のデプロイ手順で使用できるようにします。

また、後でサービスを更新したり証明書を再入力したりするときに参照できるように、Keeperコンテナ内のファイルは必ずバックアップしておいてください。

1. 以下に記載されている年次証明書更新プロセスを確認してください。

Windows

SSL証明書の生成と準備

Keeperオートメーターには、公的認証局によって署名された有効な署名付きSSL証明書が必要です。自己署名証明書はサポートされていません。SSL 証明書を生成するプロセスはプロバイダによって異なりますが、ここでは一般的なフローについて記載します。

OpenSSLをダウンロードしてインストールします。サードパーティ (slproweb.com) がバイナリインストーラーを作成しています。一般的なバイナリインストーラーについては以下をご参照ください。

https://slproweb.com/products/Win32OpenSSL.html 下部にあるWin32 OpenSSL vX.X.X Lightというバージョンをインストールします。

インストール中にデフォルトのオプションを選択できます。Microsoft Visual Studio拡張機能もインストールするように求められる場合がありますので、OpenSSLのセットアップを完了する前にこの拡張機能をインストールしてください。

OpenSSLコマンドプロンプトを実行します。

スタートメニューにOpenSSLフォルダがありますので、[Win32 OpenSSLコマンドプロンプト]をクリックします。

毎年の更新プロセス

毎年SSL証明書の更新が必要となりますが、ほとんどの証明書プロバイダーで新しい証明書を生成してくれます。証明書の更新後、オートメーターインスタンス内の.pfx証明書ファイルを置き換えてからサービスを再起動します。ファイルの更新とサービスの再起動の正確なプロセスについては、特定のオートメーターインストール方法のドキュメントをご参照ください。

AD FSを使用した環境の場合

IDプロバイダーとしてAD FSを使用してKeeperオートメーターを使用している場合、以下の手順に従って Keeper証明書を更新するまでログインできません。

• Keeper管理コンソールへログインします。

• [管理者] > SSOノード > [プロビジョニング]に移動し、SSOクラウド設定を見ます。

• [SP証明書をエクスポート]をクリックします。

• AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。

• [暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。

• [署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。

証明書の更新後にログインの問題が発生した場合

証明書の更新後、IDプロバイダで新しいSP証明書を発行する必要がある場合があります。以下がその手順となります。

• Keeper管理コンソールへログインします。

• [管理者] > SSOノード > [プロビジョニング]に移動し、SSOクラウド設定を見ます。

• [SP証明書をエクスポート]をクリックして証明書ファイルを保存します。

• [メタデータのエクスポート]をクリックして証明書が含まれるメタデータファイルを保存します。

• IDプロバイダポータルにログインし、KeeperのSSO設定を見ます。

• サービスプロバイダーの証明書更新の指示に従って、KeeperのSP証明書ファイル (または必要に応じてメタデータ) をアップロードし、保存します。

オートメーターサービスが本質的にサービスプロバイダーになるのが理由となります。署名プロセスには、お客様が生成したSSL証明書が使用されます。

AzureおよびAWSでのデプロイ

SSLを終了するカスタムドメインを持つアプリケーションゲートウェイまたはロードバランサーを利用する環境でSSL証明書を更新する場合は、そのデバイス上の証明書も更新する必要があります。

• App Gatewayを使用したAzureデプロイの場合、ゲートウェイのhttpsリスナーで.pfx証明書も更新する必要があります。[Azure] > [リソースグループ] > [アプリゲートウェイ] > [リスナー]に移動し、新しい証明書をアップロードします。