SSLサーバ鍵/証明書登録

概要

SSLサーバ鍵と認証機関から取得した認証済み証明書を装置に登録します。

「SSLサーバ鍵」および「認証済み証明書」の入手方法には、以下の2種類があります。

  • 本装置の「Key/CSR生成」を使用する

    「Key/CSR生成」で生成した「SSLサーバ鍵」および「CSR (Certificate Signing Request:証明書取得申請書)」を認証機関に送付し、認証機関から「認証済み証明書」を入手する

  • 本装置以外のツールまたはWebサイトを使用する

    一般公開されているツールまたはWebサイトを使用して、「SSLサーバ鍵」および「認証機関が発行した認証済み証明書」を入手する

認証済み証明書を登録する場合は、以下の操作および確認が必要です。手順に従い、実行してください。

  1. 装置に登録されているSSL証明書をバックアップとして保存します。

  2. SMI-SクライアントおよびRESTful APIクライアントによるアクセスを停止し、ほかのWeb GUI(自分を除くWeb GUI)をすべてログアウトします。

  3. 本機能を使用して、SSLサーバ鍵と認証済み証明書を登録してから、Web GUIをログアウトします。

    登録を指示したあと、装置に証明書を反映するためにHTTP/HTTPS通信が停止します。反映が完了するまでRESTful API および Web GUIによるHTTP/HTTPSアクセスはできません。

  4. 手順3終了後、2~3分経過してから、以下のエラーログを確認します。詳細は、イベントログ表示/削除を参照してください。

    Network service startup error. service=GUI <ce#$b cm#$c factor=$d>

    および

    Network service startup error. service=Restful API <ce#$b cm#$c factor=$d>

  5. 手順4でエラーログが出力されている場合、手順2から再度実行します。手順4でエラーログが出力されていない場合、手順6に進みます。

  6. 必要に応じて、RESTful APIクライアントに認証済み証明書を反映してから、HTTPS通信を再開します。

Caution

  • Web GUIのHTTPS接続は、工場出荷時に無効になっています。

  • PFX形式の「認証済み証明書」は、事前にPEM (Privacy Enhanced Mail) 形式に変換してください。本機能では、PFX形式の「認証済み証明書」は登録できません。詳細は、PFX形式の「認証済み証明書」を変換して登録する方法を参照してください。

  • SSLサーバ鍵と認証済み証明書をペアで装置に登録してください。SSLサーバ鍵と認証済み証明書の組み合わせが正しくない場合、HTTPS接続でRESTful APIおよびWeb GUIによるアクセスができません。

  • SSLサーバ鍵と認証済み証明書を装置に登録すると、反映が完了するまでRESTful APIおよびWeb GUIによるHTTP/HTTPSアクセスができません。

  • SSLサーバ鍵と認証済み証明書を装置に登録すると、すでにHTTPS接続で Web GUI にログインしている設定用PCは強制切断されます。

  • 以下の条件をすべて満たす場合、本機能を実行すると、結果画面にSMI-Sの再起動を促すメッセージが表示されます。詳細は、「SMI-S設定」を参照してください。

    • SMI-Sに「有効にする」が選択されている

    • SSL証明書に「Web GUI SSL証明書」が選択されている

Note

  • SSL証明書には、本機能で登録する「認証済み証明書」と「自己発行証明書」の2種類があります。HTTPS接続を使用する場合は、どちらか1つを装置に登録してください。「自己発行証明書」を使用する場合は、「自己発行証明書生成」を参照してください。

PFX形式の「認証済み証明書」を変換して登録する方法

本装置では、PEM (Privacy Enhanced Mail) 形式の証明書は登録できますが、PFX形式の証明書は登録できません。PFX形式の証明書は、OpenSSLなどのソフトウェアを使用してPEM形式に変換してから、「秘密鍵(keyファイル)」および「認証済み証明書(crtファイル)」を装置に登録してください。

< OpenSSLを使用した設定例 >

customer.pfx: 変換前のPFX形式のファイル

customer.key: 変換後のPEM形式のファイル(秘密鍵)

customer.crt: 変換後のPEM形式のファイル(認証済み証明書)

  1. PFX形式の「認証済み証明書」に秘密鍵および認証済み証明書が含まれていることを確認します。

    openssl pkcs12 -nodes -info -in customer.pfx

  2. PFX形式の「認証済み証明書」をPEM形式の「秘密鍵(keyファイル)」に変換します。

    openssl pkcs12 -in customer.pfx -out customer.key -nodes -nocerts

  3. PFX形式の「認証済み証明書」をPEM形式の「認証済み証明書(crtファイル)」に変換します。

    openssl pkcs12 -in customer.pfx -out customer.crt -nodes -nokeys

  4. PEM形式の「秘密鍵(keyファイル)」および「認証済み証明書(crtファイル)」を、本機能を使用して装置に登録します。

Caution

  • 変換したファイルの登録に失敗した場合、変換に使用したソフトウェアの版数などが原因の場合があります。最新版のソフトウェアを使用し、正しく変換できること確認してください。

設定内容

SSLサーバ鍵/証明書登録の設定

項目 説明 設定値

SSLサーバ鍵ファイル

[ 参照 ] ボタンをクリックしてSSLサーバ鍵ファイルを指定します。

[ 取込 ] ボタンをクリックして、SSLサーバ鍵ファイルを Web GUI へインポートします。インポート後、「インポート済み」が表示されます。

SSLサーバ鍵ファイル

SSLサーバ証明書ファイル

[ 参照 ] ボタンをクリックしてSSLサーバ証明書ファイルを指定します。

[ 取込 ] ボタンをクリックして、SSLサーバ証明書ファイルを Web GUI へインポートします。インポート後、「インポート済み」が表示されます。

SSLサーバ証明書ファイル

操作手順

  1. [ アクション ] から「SSL証明書登録」をクリックします。

    Caution
    • 事前に以下のどちらかが必要です。

      • 本装置の「Key/CSR生成」でダウンロードした「SSLサーバ鍵」および認証機関から取得した「認証済み証明書」

      • 本装置以外のツールまたはWebサイトで生成し、認証機関から取得した「認証済み証明書」

      「認証済み証明書」(ペアとなる「秘密鍵」および「認証済み証明書」を含む)が PFX形式の場合は、PEM形式に変更して装置に登録する必要があります。詳細は、PFX形式の「認証済み証明書」を変換して登録する方法を参照してください。

  2. [ 参照 ] ボタンをクリックして「SSLサーバ鍵ファイル」へのパスを設定します。

  3. [ 取込 ] ボタンをクリックします。

    → 「インポート済み」が表示されます。

  4. [ 参照 ] ボタンをクリックして「SSLサーバ証明書ファイル」へのパスを設定します。

  5. [ 取込 ] ボタンをクリックします。

    → 「インポート済み」が表示されます。

  6. 「SSLサーバ鍵ファイル」と「SSLサーバ証明書ファイル」のインポートを確認し、[ 登録 ] ボタンをクリックします。

    → 確認画面が表示されます。

    Caution
    • 以下の場合、エラー画面が表示されます。

      • インポートしたファイルが「SSLサーバ鍵ファイル」ではなかった

      • インポートしたファイルが「SSLサーバ証明書ファイル」ではなかった

      • インポートした「SSLサーバ証明書ファイル」がSSLサーバ鍵に対応する証明書ではなかった

  7. [ OK ] ボタンをクリックします。

    → SSLサーバ鍵/証明書登録が開始されます。

  8. [ 完了 ] ボタンをクリックして、[ ネットワーク ] 画面に戻ります。

    Note

    • 装置への反映が完了するまでRESTful APIおよびWeb GUIによるHTTP/HTTPSアクセスはできません。

    • SMI-Sが有効の場合、SMI-Sの再起動を促すメッセージが表示されます。詳細は、「SMI-S設定」を参照してください。