必要に応じて、コマンドラインユーティリティ klsetsrvcert を使用し、管理サーバーに特別な証明書を割り当てることができます。
証明書を置き換えると、以前 SSL を介して管理サーバーに接続したすべてのネットワークエージェントの接続が切断され、「管理サーバー証明書エラー」が返されます。新しい証明書を指定して接続を復元するには、klmover ユーティリティを使用します。
新しい証明書を指定して接続を復元するには:
コマンドラインから、次のコマンドを実行します:
klmover [-address <サーバーアドレス>] [-pn <ポート番号>] [-ps <SSL ポート番号>] [-nossl] [-cert <証明書ファイルのパス>]
ネットワークエージェントパッケージが作成される際に、管理サーバー証明書が追加されることがあります。この場合、klsetsrvcert ユーティリティにより管理サーバー証明書を置き換えたとしても、既存のネットワークエージェントパッケージ内の管理サーバー証明書は置き換えられません。
管理サーバーのインストール直後でクイックスタートウィザードが終了する前に、証明書を置き換えてください。
管理サーバー証明書に 397 日を超える有効期間を指定すると、Web ブラウザーはエラーを返します。
場合によっては、証明書の置き換えが必要な場合があります。
ユーティリティで指定する証明書は、完全な信頼チェーンを含む必要があり、下の表にリストされた要件を満たす必要があります。
パブリック認証局(CA)が発行した証明書は、管理サーバー証明書に必須である証明書署名の権限がないので、使用できません。
管理サーバー証明書の要件
証明書の種別 |
要件 |
コメント |
|---|---|---|
共通証明書、予備の共通証明書(「C」「CR」) |
最短鍵長:2048 Basic Constraints(基本制約):
|
Extended Key Usage パラメータは任意です。 Path Length Constraint の値は「None」ではなく、「1」以上の整数である場合があります。 |
モバイルデバイス用証明書、モバイルデバイス用の予備の証明書(「M」「MR」) |
最短鍵長:2048 Basic Constraints(基本制約):
|
Extended Key Usage パラメータは任意です。 Path Length Constraint の値は「None」ではない場合があります(共通証明書の Path Length Constraint の値が「1」以上である場合)。 |
自動生成されたユーザー証明書用の CA 証明書(「MCA」) |
最短鍵長:2048 Basic Constraints(基本制約):
|
Extended Key Usage パラメータは任意です。 Path Length Constraint の値は「None」ではない場合があります(共通証明書の Path Length Constraint の値が「1」以上である場合)。 |
証明書を置き換えるには、PKCS#12 形式の新しい証明書(たとえば、組織の PKI を使用)を作成し、その証明書をユーティリティ klsetsrvcert に渡します(ユーティリティのパラメータ値については、下の表を参照)。
ユーティリティのコマンドライン構文は次のとおりです:
klsetsrvcert [--stp <インスタンス識別子>][-t <種別> {-i <入力ファイル> [-p <パスワード>] [-o <証明書の検証パラメータ>] | -g <DNS 名>}][-f <時刻>][-r <CA のリストファイル>][-l <ログファイル>]
ユーティリティ klsetsrvcert のパラメータ値
パラメータ |
値 |
|---|---|
|
インスタンスの識別子。 |
|
置き換える証明書の種別。
|
|
証明書の変更の予定時刻。形式は「DD-MM-YYYY hh:mm」です(ポート 13000 と 13291 向け)。 |
|
PKCS#12 形式の証明書を持つコンテナー(拡張子が .p12 または .pfx のファイル)。 |
|
証明書を持つ p12 コンテナーの保護に使用されるパスワード |
|
証明書の検証パラメータ(セミコロン区切り)。 |
|
指定した DNS 名に対する新しい証明書が作成されます。 |
|
信頼済みのルート証明機関のリスト(PEM 形式)。 |
|
結果出力ファイル。既定では、出力は標準出力ストリームにリダイレクトされます |