この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この項では、デジタル証明書を生成してインストールする方法について説明します。次の項目を取り上げます。
Cisco 1000 シリーズ Connected Grid ルータ(CGR 1000 または単に CGR)と Cisco Connected IoT Field Network Director(IoT FND)との間のすべての通信は、両方向とも相互認証により認証される必要があります。相互認証が行われる前に、Cisco IoT FND および CGR は、それぞれ同じ認証局(CA)により署名される必要があります。ルート CA またはや下位 CA(subCA)のいずれかを採用できます。
CGR の証明書の生成について詳しくは、『 Certificate Enrollment Guide for the Cisco 1000 Series Connected Grid Routers 』を参照してください。
IoT FND の証明書の生成には、IoT FND TPS プロキシ(tpsproxy)の証明書の生成と読み込みも関係しています。証明書を生成したら、それらを TPS プロキシと キーストア として知られている IoT FND 上のストレージ場所にインポートします。
Keystore により、特定のシステム(IoT FND や TPS プロキシなど)の詳細が提供され、それには次の項目が含まれています。
■そのシステムの証明書(IoT FND 証明書または TPS プロキシ証明書など)
IoT FND キーおよび証明書は、IoT FND サーバ上の /opt/cgms/server/cgms/conf/ ディレクトリ内の cgms_keystore ファイルに 格納されます。
(注)IoT FND 証明書は、データベースのデータを暗号化します。この証明書は決して消失させないでください。この証明書を消失すると、一部のデータベース データが復号できなくなります。
証明書を生成してエクスポートするには、次の手順を実行します。
■IoT FND および TPS プロキシの証明書テンプレートの設定IoT FND
■IoT FND および IoT FND TPS プロキシの証明書の生成
CA(または subCA)上で、IoT FND と TPS プロキシの証明書を生成する証明書テンプレートを作成する必要があります。
1. Windows Server 2008 R2 Enterprise エディションを稼働するシステム上で、認証局アプリケーションを開きます。
認証局アプリケーションは、上記の Windows Server バージョン上では標準です。
2. メニューを展開して、証明書テンプレート フォルダを表示します。
3. [Certificate Templates] を右クリックし、コンテキスト メニューから [Manage] を選択します。
4. 右ペインで [Computer] を右クリックし、コンテキスト メニューから [Duplicate Template] を選択し、[NMS] を入力します。
5. [Duplicate Template] ペインで、[Windows Server 2008 Enterprise] を選択します。
7. [NMS Properties] > [General] タブをクリックし、次の手順を実行します。
a. [Template display name] と [Template name] フィールドに、 NMS を入力します。
b. 適切な [Validity] を入力します。これは証明書の存続期間を定義します。
c. [Publish certificate in Active Directory] チェックボックスをオンにします。
8. [NMS Properties] > [Extensions] タブをクリックし、次の手順を実行します。
a. [Extensions] ペインで、[Application Policies] を選択します。
b. [Application Policies] ペインで、クライアント認証とサーバ認証が下部のペインに表示されていることを確認します。
c. 上部の [Extensions] ペインで [Key Usage] を選択し、[Edit] をクリックします。
d. [Edit Key Usage Extension] ペインで、[Make this extension critical] チェックボックスをクリアします。
9. [NMS Properties] > [Request Handling] タブをクリックし、次の手順を実行します。
a. [Purpose] ドロップダウン メニューから [Signature and encryption] を選択します。
b. [Allow private key to be exported] チェックボックスをオンにします。
10. [NMS Properties] > [Security] タブをクリックし、次の手順を実行します。
a. [Group] または [User Names] ペインで [Administrator] を選択します。
b. リストされている各グループまたはユーザ名項目(認証されたユーザ、管理者、ドメイン管理者、エンタープライズ管理者など)に対して、すべての権限(フル コントロール、読み取り、書き込み、登録、自動登録)の、[Allow] チェックボックスをオンにします。
11. [NMS Properties] > [Cryptography] タブで、次のデフォルト設定を保持します。
■Cryptographic provider:要求には、対象コンピュータ上の任意のプロバイダを使用できます
13. [NMS Properties] > [Subject Name] タブで、次のデフォルト設定を保持します。
■[Supply in the request radio button] のラジオボタンをオン
■[Use subject information from existing certificates for autoenrollment renewal requests] のチェックボックスをオン
(注)残りのタブ([Superseded Templates]、[Server]、および [Issuance Requirements])は、デフォルトの設定のままにしておきます。
証明書を作成するには、まず証明書テンプレートを有効にする必要があります。
1. 証明書テンプレートを設定します(証明書の生成およびエクスポートを参照)。
2. Windows Server 上で認証局アプリケーションを開きます。
3. メニューを展開して、証明書テンプレート フォルダを表示します。
4. [Certificate Templates] を右クリックし、[New] > [Certificate Template to Issue] をコンテキスト メニューから選択します。
5. [Enable Certificate Templates] ウィンドウで、[NMS] テンプレートを強調表示します。
前に作成した設定テンプレートを使用して、IoT FND と TPS プロキシの証明書を生成するための同じ手順を実行します。
この項の手順を 2 回実行します。1 回は IoT FND の証明書を生成するため、もう 1 回は TPS プロキシの証明書を生成するためです。
ヒント: [Certificate Properties] ウィンドウで、[Subject] タブをクリックし、次の手順を実行します。[Value] フィールドに、次のようにして完全修飾ドメイン名(FQDN)を追加します。 で、入力する値は、IoT FND または TPS プロキシの証明書を作成するかどうかによって異なります。
これら 2 つの証明書を作成したら、IoT FND 証明書を IoT FND アプリケーション サーバに安全に転送したり、TPS プロキシ 証明書を TPS プロキシ サーバに安全にコピーしたりできます。
1. 証明書テンプレートを設定します(証明書の生成およびエクスポートを参照)。
2. 証明書テンプレートを有効にします(証明書テンプレートの有効化を参照)。
3. Windows Server 2008 を実行するサーバから、[Start] > [Run] を選択し、 mmc を入力して MMC コンソールを開きます。
4. [Console 1] ウィンドウで、[Certificates] > [Personal] フォルダを展開します。
5. [Certificates] を右クリックして、コンテキスト メニューから [All Tasks] > [Request New Certificate] を選択します。
6. [Before You Begin] ウィンドウで、[Next] をクリックします。
7. [Select Certificate Enrollment Policy] ウィンドウで、[Active Directory Enrollment Policy] を選択します。
[Next] をクリックします。
8. [Request Certificates] ウィンドウで、次の手順を実行します。
b. [More information...] リンクをクリックします。
9. [Certificate Properties] ウィンドウで、[Subject] タブをクリックし、次の手順を実行します。
a. [Type] ドロップダウン メニューから、 [Common name (CN)] を選択します。
b. [Value] フィールドに、次のようにして完全修飾ドメイン名(FQDN)を追加します。
■IoT FND 証明書の場合、導入システムの IoT FND サーバの FQDN を入力します(例:CN=nms.sgbu.cisco.com)。 |
■TPS プロキシ証明書の場合、導入システムの TPS プロキシの FQDN を入力します(例:CN= tps.sgbu.cisco.com)。 |
c. [Add] をクリックすると、右ペインに共通名が表示されます。
d. [Type] ドロップダウン メニューから、 [Organization (O)] を選択します。
e. [Value] フィールドに、IoT FND または TPS プロキシの会社名または設定を追加します。
f. [Add] をクリックすると、組織が右ペインに表示されます。
10. [Apply] をクリックします。[OK] をクリックします。
11. [Certificate Enrollment] ウィンドウで、[NMS] チェックボックスをオンにし、[Enroll] をクリックします。
12. 登録が完了したら、[Finish] をクリックします。
13. MMC コンソール(コンソール 1)で、[Certificates] を展開します。
14. [Personal] > [Certificates] を選択します。
15. [Issued To] ペインで、新しい証明書を右クリックして、コンテキスト メニューから [All Tasks] > [Export] を選択します。
図 2 サポートされる証明書を表示する [Issued To] ペイン
17. [Export Private Key] ウィンドウで、[Yes, export the private key] ラジオ ボタンを選択します。[Next] をクリックします。
18. [Export File Format] ウィンドウで、次の手順を実行します。
a. [Personal Information Exchange] ラジオ ボタンをクリックします。
b. [Include all certificates in the certification path if possible] チェックボックスをオンにします。
このオプションには、証明書内のすべての証明書チェーンが含まれています。
19. パスワード ウィンドウで、 keystore と入力し、確認のために再入力します。
このパスワードは、IoT FND と TPS プロキシがこのファイルを読み取るために使用するデフォルトのパスワードです。
21. [File to Export] ウィンドウに、ファイル名( nms_cert または tps_cert など)を入力し、[Next] をクリックします。
22. [Completing the Certificate Export Wizard] で、[Finish] をクリックします。
*.pfx 拡張子を持つファイルは、デスクトップに自動的に保存されます。PFX とは、Personal Information Exchange 形式のことであり、PKCS_#12 形式とも呼ばれます。PFX は、コンピュータ間で証明書と秘密キーを転送(エクスポート)可能にするための、業界標準形式です。
23. 2 つの証明書ファイル( nms_cert.pfx および tps_cert.pfx )は、Windows デスクトップから IoT FND( nms_cert.pfx )および TPS プロキシ( tps_cert.pfx )にそれぞれ安全に転送されます。
(注) セキュリティを向上させるには、転送が正常に実行されたら、*.pfx ファイルを Windows デスクトップから削除して、ごみ箱を空にします。
Cisco Connected Grid ルータ(CGR)は、3G、4G、または WiMAX などの WAN バックホール接続を介して IoT FND により管理されます。CG-OS CGR の場合、IoT FND に対する管理権限を有効にするには、OID 値を定義します。
このポリシーの OID は、1.3.6.1.4.1.9.21.3.3.1 です。IoT FND が管理権限で管理コマンドを CGR に対して発行することが許可されている場合に、この要素は表示されます。IoT FND は TLS などのセキュア セッションを介して CGR と通信し、CGR はそれらのコマンドを、ネットワーク管理者が発行したかのように実行できます。
ルータのコマンド認可(CA)機能を承認するための手順に従い、IoT FND への登録を実行します。
1. 新しい NMS/TPS 証明書を生成するか(IoT FND および IoT FND TPS プロキシの証明書の生成を参照)、既存の NMS/TPS 証明書を更新します(証明書の更新を参照)。
2. OID 値を CA 証明書に追加します(CA 証明書への OID 値の追加を参照)。
3. NMS/TPS 証明書の新しい.pfx ファイルを生成します(IoT FND および IoT FND TPS プロキシの証明書の生成を参照)。
4. IoT FND を停止します(IoT FNDの停止を参照)。
5. 既存の cgms_keystore ファイルの名前を変更します(たとえば、cgms_keystore_no_oid)。
6..pfx ファイルを IoT FND にエクスポートし、新しい cgms_keystore ファイルを作成します(キーツールを使用した cgms_keystore ファイルの作成を参照)。
7. 新しい証明書をインストールします(証明書のインストールを参照)。
8. 新しい cgms_keystore ファイルを IoT FND に追加します(cgms_keystore ファイルの IoT FND へのコピーを参照)。
9. IoT FND を開始します(IoT FND の起動を参照)。
IoT FND がルータ上でのコマンド認可に管理者役割を使用できるようにするには、OID 値を CA 証明書に追加する必要があります。
OID 値を CA 証明書に追加するには、次の手順を実行します。
1. CA サーバ上で、cmd コンソールを開き、次のように入力します。
3. [Select Certificate Enrollment Policy] ウィンドウで、[Active Directory Enrollment Policy] を選択し、[Next] を選択します。
4. [Request Certificates] ウィンドウで、次の手順を実行します。
b. [More information...] リンクをクリックします。
5. [Certificate Properties] ウィンドウで、[Subject] タブをクリックし、フィールドに入力します。
6. [Certificate Properties] ウィンドウで、[Extensions] タブをクリックし、[Custom extension definition] ボタンをクリックして、セクションを展開します。
7. [Object ID] フィールドに、次のように入力します。
証明書を更新し、OID 値を追加するには、次のようにします。
1. 元の NMS/TPS 証明書がある RSA CA サーバから、コマンド プロンプトで次のオープン コマンドを入力します。
4. CA サーバ上の Personal フォルダ内から、発行された NMS/TPS 証明書を見つけます。
5. サーバ アイコンを右クリックし、コンテキスト メニューから [All Tasks] > [Advanced Operations] > [Renew This Certificate with the Same Key] オプションを選択します。
6. [Certificate Enrollment] ウィンドウで、[Next] をクリックします。
9. OID とその値を入力し、[OK] をクリックします。
10. [Add>] をクリックし、次に [OK] をクリックします。
この項では、IoT FND からメッシュ デバイスに送信される CSMP メッセージに署名するための、ハードウェア セキュリティ モジュール(HSM)用のカスタム CA の設定について説明します。
■表 1 にリストされている SafeNet クライアント ソフトウェア バージョンが、IOT-FND サーバ上にインストールされていることを確認します。
■独自の CA(たとえば、Microsoft や OpenSSL)を持つ必要があります。
HSM 証明書を生成するためのカスタム CA を設定するには、次の手順を実行します。
1. HSM 上に新しいパーティションを作成し、それを IoT FND クライアントに割り当てます(HSM クライアントの設定を参照)。
2. HSM 上でキーペアを生成し、そのキーペアの CSR をエクスポートします(キーストアを参照)。
すべてのコマンドは、IoT FND サーバ上の Luna クライアントから実行します。HSM マシンにログインする必要はありません。
3. 生成された CSR を CA に保存して、証明書に署名します。
(注) 証明書は必ず有効期限を 30 年として署名します。メッシュ ノードは、30 年未満の有効期限で署名された証明書はすべて拒否します。ノード アドミッションのための 802.1x 認証に使用されるルート CA を使用できます。
4. 署名付き証明書を IoT FND サーバにコピーして、HSM にインポートします。
5. この新しい証明書を使用するように IoT FND を設定します。
6. 証明書が [Certificates for CSMP] タブに表示されることを確認します([Admin] > [Certificates])。
この項では、IoT FND からメッシュ デバイスに送信される CSMP メッセージに署名するための、ソフトウェア セキュリティ モジュール(SSM)用のカスタム CA の設定について説明します。
■表 1 にリストされている SafeNet クライアント ソフトウェア バージョンが、IOT-FND サーバ上にインストールされていることを確認します。
■サポート対象は、SSM バージョン 2.2.0-37 以上です。
■独自の CA(たとえば、Microsoft や OpenSSL)を持つ必要があります。
SSM 証明書を生成するためのカスタム CA を設定するには、次の手順を実行します。
2. ssm_setup.sh スクリプトを使用して、新しいキーペアを特定のエイリアスで設定し、CSR を生成します。
3. 生成された CSR を CA に保存して、証明書に署名します。
(注) 証明書は必ず有効期限を 30 年として署名します。メッシュ ノードは、30 年未満の有効期限で署名された証明書はすべて拒否します。ノード アドミッションのための 802.1x 認証に使用されるルート CA を使用できます。
4. 署名付き証明書を IoT FND サーバにコピーして、SSM にインポートします。
5. ssm_setup.sh スクリプトを使用して、2 つの証明書を SSM キーストアにインポートします。
6. ssm_setup.sh スクリプトを使用して、エイリアスの署名付き証明書認証をインポートします。
7. cgms.properties ファイルを次のパラメータで更新して、IoT FND がこの証明書を署名のために SSM で使用するように設定します。
8. 証明書が [Certificates for CSMP] タブに表示されることを確認します([Admin] > [Certificates])。
証明書を認証局または下位 CA から IoT FND にエクスポートするには、次の手順を実行します。
1. Windows Server 2008 R2 Enterprise エディションを稼働するシステム上で、認証局アプリケーションを開きます。
2. メニューを展開して、[Certificates (Local Computer)] > [Personal] > [Certificates] フォルダを表示します。
3. フィンガープリントが Cisco CGR 1000 と
Cisco ASR により使用されているものと一致する証明書を見つけます。
4. 証明書を右クリックして、コンテキスト メニューから [All Tasks] > [Export] を選択します。
5. [Certificate Export Wizard] ウィンドウで、[Next] をクリックします。
6. [Export Private Key] ウィンドウで、[No, do not export the private key] ラジオ ボタンを選択します。[Next] をクリックします。
7. [Export File Format] ウィンドウで、[Base-64 encoded X.509(.CER)] ラジオ ボタンをオンにします。[Next] をクリックします。
8. [File to Export] ウィンドウで、エクスポートするファイルに名前を割り当てます。[Next] をクリックします。
9. [File to Export] ウィンドウに、ファイル名( ca_cert または subca_cert など)を入力し、[Next] をクリックします。
10. [Completing the Certificate Export Wizard] で、[Finish] をクリックします。
*.cer 拡張子を持つファイルは、デスクトップに自動的に保存されます。
11. 証明書ファイル( ca_cert.cer など)を、Windows デスクトップから IoT FND に安全に転送します。
(注) セキュリティを向上させるには、転送が正常に実行されたら、*.cer ファイルを Windows デスクトップから削除して、ごみ箱を空にします。
cgms_keystore ファイルは、IoT FND と IoT FND TPS プロキシを稼働している両方のサーバ上に作成する必要があります。
■ IoT FND :cgms_keystore ファイルを作成するときは、IoT FND 証明書、秘密キー、および証明書チェーンをインポートする必要があります。cgms_keystore ファイルを作成したら、それをサーバ上の特定のディレクトリにコピーします。
■ IoT FND TPS プロキシ :cgms_keystore ファイルを作成したら、IoT FND TPS プロキシの証明書、秘密キー、および証明書チェーンをインポートします。cgms_keystore ファイルを作成したら、TPS プロキシ上の特定のディレクトリにそれをコピーします。
TPS プロキシおよび IoT FND 用の cgms_keystore を作成するには、キーツールを使用して、次の手順を実行します。
■キーツールを使用した cgms_keystore ファイルの作成
■cgms_keystore ファイルの IoT FND へのコピー
この章の例では、このパスワードを keystore_password としています。
IoT FND と TPS プロキシの両方に対して cgms_keystore ファイルを作成するには、次の手順を実行します。
1. root として、.pfx ファイルの内容を、サーバ上(IoT FND および TPS プロキシ)で次のコマンドを入力して表示します。
[root@ tps_server ~]# keytool -list -v -keystore nms_cert.pfx -srcstoretype pkcs12
(注).pfx の内容を表示すると、インポート時に必要なエイリアス名を入手できます。
2. プロンプトが表示されたら、キーストアのパスワードを入力します。
これは、.pfx ファイルの作成時に入力したものと同じパスワードです。
表示される情報には(次の例を参照)、証明書を cgms_keystore ファイルにインポートするには、次のコマンドを入力します。 に必要な alias_name が含まれています。
3. 証明書を cgms_keystore ファイルにインポートするには、次のコマンドを入力します。
4. プロンプトで、宛先キーストア パスワードを入力します。
5. プロンプトが表示されたら、キーストアのパスワードを再入力します。
6. ソースのキーストア パスワードの入力を求めるプロンプトが表示されたら、.pfx ファイルの作成時に使用したパスワードを入力します( nms_cert.pfx または tps_cert.pfx のどちらか)。
(注) この例では、 keystore が .pfx ファイルを作成したときのパスワードです。
nms_cert.pfx ファイルを表示して別名にアクセスするには、root として以下のコマンドを入力します。
(注)この例は、nms_cert.pfx についての手順を示しています。tps_cert.pfx に関する詳細を表示して、証明書を TPS プロキシにインポートするには、同じコマンドを使用しますが、nms_cert.pfx の部分は tps_cert.pfx に置き換え、tps_cert.pfx ファイルからの別名を使用します。
証明書を IoT FND 上の cgms_keystore ファイルにインポートするには、root として次のコマンドを入力します。
cgms_keystore ファイルを次の IoT FND および TPS プロキシのディレクトリにコピーします。
1. IoT FND の場合は、cgms_keystore ファイルをディレクトリ /opt/cgms/server/cgms/conf/ にコピーします。
2. TPS プロキシの場合、cgms_keystore ファイルをディレクトリ /opt/cgms-tpsproxy/conf/ にコピーします。
NMS 証明書のインポートに加え、CA(または subCA)証明書を cgms_keystore にインポートする必要があります。
CA 証明書を cgms_keystore にインポートするには、次の手順を実行します。
1. IoT FND アプリケーション サーバ上で、root としてログインします。
2. cgms_keystore ファイルが置かれている /opt/cgms/server/cgms/conf ディレクトリに移動します。
4. プロンプトが表示されたら、キーストアのパスワードを入力します。
6. 証明書を信頼するかどうかを確認するメッセージが表示されたら、 yes と入力します。
CA 証明書をインポートするには、次のコマンドを root として入力します。
CA 証明書のインポート と同じ手順に従って、CA 証明書を IoT FND TPS プロキシ上の cgms_keystore にインポートします。
デフォルトの IoT FND インストール システムは、クライアント Web ブラウザまたは NB API クライアントのいずれかを使用する HTTP(S)通信に、自己署名証明書を使用します。必要であれば、ユーザ自身の CA サーバによって署名された証明書を使用できます。この項では、これらのカスタム証明書のインストール方法を示します。
■North Bound API クライアント(Windows)を使用している場合のカスタム証明書のインポート
■Window IE を使用している場合のカスタム証明書のインポート
■クライアント ブラウザで、NMS サーバの既存の証明書を(IP および DNS により)削除します。
たとえば、Firefox では、[Preferences] > [Advanced] > [Encryption] > [View Certifications] を選択します。それぞれのサーバについてリスト内の証明書を削除します。
この名前には、NMS サーバの IP アドレスに解決するための DNS エントリが必要です。
■新しい証明書を生成し、それを.PFX ファイルにエクスポートします。
このファイルには、秘密キー、パブリック証明書、および CA サーバ証明書が含まれている必要があります。
cgms_keystore ファイルの秘密キーと公開キーを生成してそれらを.PFX ファイルにエクスポートする手順については、キーツールを使用した cgms_keystore ファイルの作成を参照してください。
1. NMS サーバで、既存の jbossas.keystore および jbossas.keystore.password ファイルを、/opt/cgms/server/cgms/conf/ ディレクトリから安全な場所にコピーします。
2. 既存の jbossas.keystore および jbossas.keystore.password ファイルを /opt/cgms/server/cgms/conf/ ディレクトリから削除します。
3. jbossas.keystore ファイルにインポートする予定の別名を、.PFX ファイル内で確認します。
次のキーストア パスワードを入力します。keystore_password_when_pfx_file_was_created
4. .pfx ファイル形式の新しいカスタム証明書を新しい jbossas.keystore ファイルにインポートし、同時にエイリアス名を jboss に変更します。プロンプトに従います。
5. (任意) SALT を定義します。
(注)SALT を変更しない場合は、この手順をスキップすることができます。
SALT は暗号化パスワードの強度を定義します。それは少なくとも 8 文字の長さにする必要があります。
例: A1a1B2b2C3c3D4dE5e5F6f6G7g7H8h8I9i9J10j10K11k11L12l12M13m13N14n14O15
a. ファイル /opt/cgms/server/cgms/deploy/ security-service.xml を安全な場所にコピーします。
b. /opt/cgms/server/cgms/deploy/security-service.xml ファイル内で SALT を更新します。
(注)実行している NMS リリースに応じて、手順 6 または手順 7 のどちらかを選択します。
6. 2.1.0 より 前の CG-NMS リリースでは、キーストア パスワードは、ファイル /opt/cgms/server/cgms/conf/jbossas.keystore.password に保存します。
この手順では、jbossas.keystore.password ファイルに保存されるパスワードを暗号化します。
このパスワードは、手順 .pfx ファイル形式の新しいカスタム証明書を新しい jbossas.keystore ファイルにインポートし、同時にエイリアス名を jboss に変更します。プロンプトに従います。 でインポートされた新しいカスタム証明書がある jbossas.keystore を開くために使用されます。
a. /opt/cgms/bin/encrypt-password.sh スクリプトを、次のパラメータを指定して実行します。
–手順 (任意)SALT を定義します。 で定義した新しい SALT を指定するか、または /opt/cgms/server/cgms/deploy/ security-service.xml ファイル内にある既存のものを使用します。
–パスワード ファイルを jbossas.keystore.password に設定します。
–your_keystore_password を設定します。
b. jbossas.keystore.password を /opt/cgms/server/cgms/conf ディレクトリに移動させるかまたはコピーします。
7. 2.1.0 または IoT FND 3.0 以降の CG-NMS リリースでは、キーストア パスワードはファイル /opt/cgms/server/cgms/conf/VAULT.dat に保存します。
続く手順を実行し、パスワードを更新して、手順 4 で入力したもの(your_keystore_password)と一致するようにします。
a. /opt/cgms/server/cgms/conf 内の VAULT.dat と vault.keystore ファイルを安全な場所にバックアップします。
b. VAULT.dat ファイルを新しいパスワードで更新します。
ここで、vault.keystore には VAULT.dat への参照が含まれており、VAULT.dat は jboss キーストア パスワードを保存して非表示にします。このコマンドは、新しい jboss.keytsore を含む新しい VAULT.dat ファイルを作成します。vault.keystore を開くデフォルトのパスワードは cgnms123 です。
Windows Server 上で実行する NB API クライアントの場合は、CA パブリック証明書をローカル コンピュータ上の証明書ストアにインポートします。一致する CA パブリック証明書により、クライアント マシンは必ず NB API クライアントを使用して IoT FND と通信します。
1. IE では、NMS サーバの https URL アドレスを入力します。
URL 名は、NMS サーバ証明書の共通名と一致している必要があります。
2. [Security Alert] ウィンドウで、[OK] をクリックします。
3. [Security Certificate Warning] ウィンドウで、[Continue to this Website (Not Recommended)] リンクをクリックします。
4. [Security Alert] ウィンドウで、[OK] をクリックします。
5. アドレス バーの [Certificate error] セクションをクリックします。
6. [Certificate Invalid] ウィンドウで、[View certificates] をクリックします。
[Certificate] ウィンドウには、NMS サーバに対して発行され、発行元 CA(または下部 CA)サーバによって署名されたデバイス証明書がリストされます。
7. [Certification Path] タブを選択し、無効な証明書(つまり赤いバツ印が付いているもの)を探します。
8. 無効な証明書を選択し、[General] タブを選択します。
9. [Install Certificate] をクリックします。
10. [Certificate Install Wizard] ウィンドウで、[Next] をクリックします。
11. [Place all certificates in the Following Store] を選択し、[Browse] をクリックします。
12. [Certificate Store] ウィンドウで、[Show physical stores] チェックボックスをオンにし、Trusted Root Certification Authorities フォルダを開き、[Local Computer] を選択して、[OK] をクリックします。
16. [Certificate] ウィンドウで、[Install Certificate] をクリックします。
17. [Place all certificates in the Following Store] を選択し、[Browse] をクリックします。
18. [Certificate Store] ウィンドウで、[Show physical stores] チェックボックスをオンにし、Trusted Root Certification Authorities フォルダを開き、[Local Computer] を選択して、[OK] をクリックします。
22. [Certificate] ウィンドウで、[OK] をクリックします。
23. アドレス バーの [Certificate error] セクションが引き続き表示される場合は、前述の手順を繰り返します。
■NMS サーバに対して発行され、発行元 CA(または下部 CA)サーバによって署名されたデバイス証明書が、[Certificate] ウィンドウに表示されていることを確認します。 |
|
■[Certification Path] タブを選択し、パス内のすべての証明書が有効である(つまり、証明書の上に赤いバツ印が付いていない)ことを確認します。 |
1. IoT FND を更新するかまたはフレッシュ インストールを実行するときに上書きされる次のファイルをバックアップします。
これは、ブラウザ クライアントでのカスタム証明書のインストールで SALT 値を追加したファイルです。 |
|
2. IoT FND のアップグレードまたは新規インストールを実行します(IoT FND のアップグレードを参照)。
North Bound(NB)API クライアントは、HTTPS を使用してイベントを送信できます。NB API クライアントは、IoT FND がイベント送信に使用する有効な URL HTTPS を提供することで、IoT FND をサブスクライブする必要があります。IoT FND は、NB API クライアントがパブリッシュする SSL 証明書とハンドシェイクを受け入れます。
cgms_keystore を作成し、NMS と CA 証明書をそれにインポートしたら、IoT FND が cgms_keystore ファイルにアクセスするように設定します。
keystore パスワードを設定するには、次の手順を実行します。
このスクリプトは、cgms.properties ファイル内に設定されたパスワードを保存します。
ヒント: cgms_keystore と cgms.properties ファイルを保護するには、そのアクセス許可を root の読み取り専用に設定します。
注意: システムは必ず保護してください。root でのみ IoT FND サーバにアクセスできることを確認します。ファイアウォールは必ず内部ホストからの SSH アクセスのみを許可するように設定します。
keystore にアクセスするように TPS プロキシを設定するには、次のようにします。
3. 暗号化したパスワードを tpsproxy.properties ファイルにコピーします。
この例では、暗号化された keystore_password は「7jlXPniVpMvat+TrDWqh1w==」です。
HSM クライアントをセットアップするには、次の手順を実行します。
■IoT FND サーバ上への HSM クライアントのインストールIoT FND サーバ上への HSM クライアントのインストール
■IoT FND サーバ上への HSM クライアントのインストールHSM HA クライアントの設定
(注)インストール システムで CSMP ベースのメッセージングに SSM を使用している場合は、SSM のインストールと設定を参照してください。
ハードウェア セキュリティ モジュール(HSM)は、ポート 1792 でリスニングするセキュリティ サーバとして機能します。IoT FND が HSM と通信するようにセットアップするには、次の手順を実行します。
1. HSM クライアントを IoT FND サーバ上にインストールします。
2. HSM クライアントが HSM の証明書を持つように設定します。
この項では、HSM クライアントをインストールして設定する方法を説明していますが、HSM は 172.16.0.1、クライアントは 172.31.255.254 であると想定しています。
HSM クライアントをインストールしてセットアップするには、次の手順を実行します。
1. HSM クライアント パッケージを取得して、アンパックし、インストール スクリプトを実行します。
2. /usr/lunasa/bin ディレクトリに移動します。
4. HSM サーバから HSM 証明書をダウンロードします。
5. クライアント証明書を HSM サーバにアップロードします。
8. HSM クライアントから、SSH を使用して HSM サーバにログインします。
9. SSH を使用して、HSM サーバ上で次の手順を実行します。
b. 次の手順で、サーバ上で定義されているクライアントをリストし、クライアントが追加されていることを確認します。
10. HSM クライアントを実行しているサーバ上で、HSM クライアントのインストールを確認します。
11. HSM クライアントのインストールが完了したら、テスト スイートの ckdemo を実行します。
(注)HSM サーバが 1 つのみであっても、この項の手順を実行する必要があります。さらに、HSM サーバを含むグループを作成する必要もあります。
HSM HA クライアントを設定するには、次の手順を実行します。
1. IoT FND サーバ上への HSM クライアントのインストールの説明に従って、HSM クライアントを設定し、両方の HSM サーバと接続するようにします。
2. /usr/safenet/lunaclient/bin/ ディレクトリに移動します。
3. このコマンドを実行して、最初の HSM サーバのパーティションのみを含むグループを作成します。それからパーティションにアクセスするために、./vtl verify コマンド(HSM クライアントを実行しているサーバ上で、HSM クライアントのインストールを確認します。)を実行して取得した HSM サーバのシリアル番号( serial_num )、グループ名( group_name )、およびパスワード( prtn_password )を入力します。
4. 2 番目の HSM のパーティションをグループに追加します。
– retry 値を -1 ~ 500 の間で設定します。ここで -1 は回数制限なく無限に再試行することを示し、0 は自動再試行を無効にすることを示します。
HSM のグループ名とパスワードは、製造時にシスコにより提供されます。
ユーザが設定した HSM グループ名とパスワードを許可するには、次の手順を実行します。
1. cgms.properties ファイルを編集して、次のプロパティを追加します。
■hsm-keystore-password <encrypted password>
ヒント: HSM サーバ上に複数のパーティションを作成し、HSM クライアントを設定し、cgms.properties ファイル内にパーティション名とパーティション パスワードを指定することで、複数の IoT FND インストール システムに対して同じ HSM サーバを使用できます。
2. cgms.properties ファイルを保存します。
3. これらの変更を適用するには、IoT FND を再起動します。