# SSL証明書の作成
{% hint style="info" %}
[ZeroSSL](https://zerossl.com/)で無料のSSL証明書をすばやく簡単に入手できます。または、作成手続きをステップごとにより詳細に制御したい場合は、以下の手順を進めてください。
{% endhint %}
この文書では、KeeperオンプレミスSSOコネクトで使用するSSL証明書の生成手順を順を追って説明します。既存の環境では、SSL証明書の有効期限が切れる前に、この作業を実行する必要があります。
Linuxをご使用の場合は、バイナリ版のOpenSSLをインストールする必要はありません。ここでは、Windows環境を中心に説明します。
## **Windows**
1. **OpenSSLバージョン1.1.1をダウンロードしてインストールします。**
OpenSSLのバージョン3.0にはJava 11との互換性の問題があるようなので、今のところバージョン1.1.1のご使用をお勧めしています。 サードパーティ (slproweb.com) 製のバイナリインストーラーがありますので、よろしければご使用ください。 一般的なバイナリインストーラーは[こちら](https://slproweb.com/products/Win32OpenSSL.html)にリンクします。
インストール中に、デフォルトのオプションを選択できます。インストールの過程で、Microsoft Visual Studioの拡張機能もインストールするよう求められる場合があります。直ちに指示に従ってこの拡張機能をインストールしてから、OpenSSLの設定を完了してください。
2. **OpenSSLコマンドプロンプトを実行します**
スタートメニューにOpenSSLフォルダが表示されます。OpenSSLコマンドプロンプト (OpenSSL Command Prompt) をクリックします。
3. **秘密鍵を作成します**
OpenSSLコマンドプロンプトで、以下のコマンドを実行して秘密鍵を作成します。
```
C:\Users\craig> openssl genrsa -out keeper.mycompany.com.key
```
4. **CSRを生成します**
SSOコネクトに使用する予定のホスト名を必ず使用して、CSRを作成します。今回は、keeper.mycompany.comを使用します。ここで重要なのは、一般名 (Common Name) がドメインと正確に一致することです。
以下に例を示します。
{% code overflow="wrap" %}
```
C:\Users\craig> openssl req -new -key keeper.mycompany.com.key -out keeper.mycompany.com.csr
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:Illinois
Locality Name (eg, city) [Default City]:Chicago
Organization Name (eg, company) [Default Company Ltd]:Lurey, LLC
Organizational Unit Name (eg, section) []:Engineering
Common Name []:keeper.mycompany.com
Email Address []:webmaster@lurey.com
```
{% endcode %}
5. SSL証明書を購入します
CSRをSSL証明書プロバイダに提出します。証明書をお持ちでない場合は、の基本HTTPS証明書のご利用をお勧めします。
ベンダーの指示に従って証明書のリクエストを完了します。その後、SSL証明書プロバイダから証明書が発行されるのを待つ必要があります。発行には5分ないし24時間かかる場合があります。納期についてはベンダーにご確認ください。
SSL証明書プロバイダから、署名付き証明書 (.crtファイル) と中間CA証明書 (.ca-bundle) を含むzipファイルが送信されます。このファイルを秘密鍵と同じ場所に解凍します。
6. **pfxファイルを作成します**
証明書が発行されたら、`.pfx`形式に変換する必要があります。 `.key`、`.crt`、`.ca-bundle`ファイルと同じフォルダで、OpenSSLコマンドプロンプトから、以下のコマンドを実行します。
{% code overflow="wrap" %}
```bash
openssl pkcs12 -export -out keeper.mycompany.com.pfx -inkey keeper.mycompany.com.key -in keeper.mycompany.com.crt -certfile keeper.mycompany.com.ca-bundle
Enter Export Password: **********
Verifying - Enter Export Password: **********
```
{% endcode %}
この例では...
* `keeper.mycompany.com.key`は、手順1で生成された秘密鍵です。
* `keeper.mycompany.com.crt`は、手順3で送信された署名付き証明書です。
* `keeper.mycompany.com.ca-bundle`は中間証明書およびパブリック認証局のルート証明書のチェーンを含むCAバンドルです。
* `keeper.mycompany.com.pfx`は、SSOコネクトで使用されるpkcs12出力ファイルで、パスワードで暗号化されています。
4つのファイルすべてと生成された強力なパスワードをKeeperボルトに必ず保存してください。生成された鍵のパスワードに記号は使用しないでください。
このパスワードは、PFXファイルをKeeper SSOコネクトインターフェースにインポートするときに必要になります。
7\. **証明書をインストールします**
オンプレミスSSOコネクトに戻り、 「⚙️設定 (Configuration)」 をクリックします。
8. 先ほど生成した**.pfx**ファイルをSSOコネクトにドラッグまたはアップロードします。
9. SSOコネクトの右上隅にある 「保存 (Save)」 をクリックすると、証明書の設定が完了します。
設定が完了したら、エンドユーザーのログインフローをチェックして、SSOログインが機能することをご確認ください。