自己発行証明書生成

概要

SSL (Secure Socket Layer) (*1)で通信を暗号化する際に使用するSSLサーバ鍵と自己発行証明書を生成する設定を行います。

SSLは、Web GUI からのHTTPS接続に使用されます。

自己発行証明書を生成する場合は、以下の操作および確認が必要です。手順に従い、実行してください。

*1  :  SSLにはTLS (Transport Layer Security)を含みます。自己発行証明書は出荷時に作成されています。本操作を行うことで自己発行証明書が更新されます。

  1. SMI-SクライアントおよびRESTful APIクライアントによるアクセスを停止し、ほかのWeb GUI(自分を除くWeb GUI)をすべてログアウトします。

  2. 本機能を使用して、SSLサーバ鍵と自己発行証明書を生成してから、Web GUIをログアウトします。

    生成を指示したあと、装置に証明書を反映するためにHTTP/HTTPS通信が停止します。反映が完了するまでRESTful API および Web GUIによるHTTP/HTTPSアクセスはできません。

  3. 手順2終了後、2~3分経過してから、以下のエラーログを確認します。詳細は、イベントログ表示/削除を参照してください。

    Network service startup error. service=GUI <ce#$b cm#$c factor=$d>

    および

    Network service startup error. service=Restful API <ce#$b cm#$c factor=$d>

  4. 手順3でエラーログが出力されている場合、手順1から再度実行します。手順3でエラーログが出力されていない場合、手順5に進みます。

  5. 自己発行証明書をWebブラウザに登録します。詳細は、備考欄を参照してください。

    必要に応じて、RESTful APIクライアントに自己発行証明書を反映してから、HTTPS通信を再開します。

Caution

  • Web GUIのHTTP接続は、工場出荷時に無効になっています。

  • SSLサーバ鍵と自己発行証明書生成後は、装置に反映が完了するまでRESTful APIおよびWeb GUIによるHTTP/HTTPSアクセスができません。

  • 自己発行証明書は設定用PCのブラウザに登録する必要があります。登録が完了するまで、Web GUI でHTTPS接続時に警告メッセージが表示されます。

  • 以下の条件をすべて満たす場合、本機能を実行すると、結果画面にSMI-Sの再起動を促すメッセージが表示されます。詳細は、「SMI-S設定」を参照してください。

    • SMI-Sに「有効にする」が選択されている

    • SSL証明書に「Web GUI SSL証明書」が選択されている

Note

  • SSL証明書には、本機能で生成する「自己発行証明書」と「認証済み証明書」の2 種類があります。HTTPS接続を使用する場合は、どちらか1つを装置に登録してください。「認証済み証明書」を使用する場合は、「Key/CSR 生成」および「SSL サーバ鍵/証明書登録」を参照してください。

  • 鍵サーバでSED認証鍵を管理する場合、装置と鍵サーバ間の通信を確立するため、装置の信頼できるSSL証明書(「自己発行証明書」または「認証済み証明書」)が必要です。鍵管理サーバ連携機能を使用する場合は、SSL証明書を装置に登録してください。SSL証明書は、鍵更新時に装置から鍵サーバへ送信されます。詳細は、「SED認証鍵更新」を参照してください。

  • Webサイトの自己発行証明書のインストール手順については、『構築ガイド(基本設定編)』の「セキュリティ証明書のインストール」を参照してください。

設定内容

自己発行証明書生成の設定

項目 説明 設定値

Key Length

SSLサーバ鍵の長さを選択します。

SSLサーバ鍵の長さは暗号化強度に相当します。一般的に鍵が長いほど、暗号強度が高い(暗号化されたデータの解読が困難)とされています。

1024 bit

2048 bit(初期値)

4096 bit

Common Name

Web GUI から HTTPSアクセスで使用するポート(MNT、RMT、またはFSTのどれか1つのポート)の代表IPアドレスまたはFQDN (Fully Qualified Domain Name) を入力します(必須)。

代表IPアドレスの指定方法には、「IPv4」と「IPv6」があります。入力できるIPv6アドレスは、「リンクローカルアドレス」、「グローバルアドレス」、「ユニークローカルアドレス」、または「6to4アドレス」です。詳細は、設定可能なIPv6アドレス を参照してください。現在の設定状態を表示する際、IPv6アドレスは省略表記になります。

  • IPv4アドレスの場合

    • xxx.xxx.xxx.xxx

      xxx:先頭は、1~255(10進数)

      xxx:そのほかは、0~255(10進数)

    • Class (A, B, C) 内のいずれかであること。

  • IPv6アドレスの場合

    xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

    xxxx:0 ~ ffff (FFFF)(16進数、半角英数字)

    詳細は、IPv6のアドレス表記を参照

  • FQDNの場合

    1 ~ 63文字の半角英数字記号

    (ただし、 "<"、 ">"、 "˜"、 "!"、 "@"、 "#"、 "$"、 "%"、 "^"、 "\ "、 "?"、 "&"、 およびスペースを除く)

Subject Alt Name

Web GUI から HTTPSアクセスで使用するポート(MNT、RMT、およびFSTの複数のポート)のIPアドレスまたはFQDN を入力します。IPアドレスまたはFQDN には、「Common Name」で入力した代表IPアドレスまたはFQDNが含まれます。

IPアドレスの指定方法には、「IPv4」と「IPv6」があります。入力できるIPv6アドレスは、「リンクローカルアドレス」、「グローバルアドレス」、「ユニークローカルアドレス」、または「6to4アドレス」です。詳細は、設定可能なIPv6アドレス を参照してください。現在の設定状態を表示する際、IPv6アドレスは省略表記になります。

  • IPv4アドレスの場合

    • xxx.xxx.xxx.xxx

      xxx:先頭は、1~255(10進数)

      xxx:そのほかは、0~255(10進数)

    • Class (A, B, C) 内のいずれかであること。

  • IPv6アドレスの場合

    xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

    xxxx:0 ~ ffff (FFFF)(16進数、半角英数字)

    詳細は、IPv6のアドレス表記を参照

  • FQDNの場合

    1 ~ 511文字の半角英数字記号

    ([ 改行 ] コードも1文字に含みます。ただし、 "<"、 ">"、 "˜"、 "!"、 "@"、 "#"、 "$"、 "%"、 "^"、 "\ "、 "?"、 "&"、 およびスペースを除く。)

複数のIP アドレスやFQDN を入力できます。複数入力する場合は、1つずつ改行してください。

IPv4アドレス、IPv6アドレス、FQDN が設定欄に混在している場合は、"."(ドット)、":"(コロン)、改行コードを含めて最大511文字が入力できます。

操作手順

  1. [ アクション ] から「自己発行証明書生成」をクリックします。

  2. 各項目を設定し、[ 作成 ] ボタンをクリックします。

    → 確認画面が表示されます。

    Caution
    • 以下の場合、エラー画面が表示されます。

      • 入力条件を満たしていない項目が存在する

      • 必須項目を入力していない

  3. [ OK ] ボタンをクリックします。

    → 自己発行証明書生成が開始されます。

  4. [ 完了 ] ボタンをクリックして、[ ネットワーク ] 画面に戻ります。

    Note

    • 装置への反映が完了するまでRESTful APIおよびWeb GUIによるHTTP/HTTPSアクセスはできません。

    • SMI-Sが有効の場合、SMI-Sの再起動を促すメッセージが表示されます。詳細は、「SMI-S設定」を参照してください。