重要: このプロセスを開始する前に、
OpenSSL ツールキットをインストールして設定する必要があります。このツールキットのインストールと設定により、必要なすべてのライブラリと設定ファイルが OpenSSL で使用されていることを確認します。
- OpenSSL ツールキット をダウンロードしてインストールします。
注:
- OpenSSL の完全なバージョンをダウンロードして使用する必要があります。ライトバージョンは使用しないでください。
- 現在のリリースは、Win64 OpenSSL v3.0.2 140 MB インストーラー EXE MSI です。
- お使いのプラットフォーム(32 ビット または 64 ビット)に応じてダウンロードしたバージョンを解凍してインストールします。
注: OpenSSL ツールキットの入手方法については、 OpenSSL サイトを参照してください。
- 次のフォルダーを作成します: c:\ssl\keys
- 管理者としてコマンド プロンプトを開きます。 OpenSSL がインストールされている OpenSSL bin フォルダーにディレクトリを変更します。例: cd C:\OpenSSL-Win64\bin
ePO で使用するカスタム SSL 証明書を取得します:
- OpenSSL を使用して、2048ビット強度で新しい秘密鍵を作成し、des3 を使用して暗号化します。
openssl genpkey -out c:\ssl\keys\mcafee.key -algorithm RSA -pkeyopt rsa_keygen_bits:2048
- 暗号化された .key ファイルのコピーを保存します。ステップ 7 で暗号化されていないバージョンを作成して ePO にインポートするには、キーが必要です。
- Chrome および Edge の新しいバージョンでは、Subject Alt Name フィールドが入力された証明書が必要です。Chrome または Edge で使用する 証明書署名要求 (CSR) を作成するには、まず以下の手順を実行して構成ファイルを作成する必要があります。
- 以下の内容で sancert.cnf という名前のファイルを作成します。
- C:\OpenSSL-Win64\bin フォルダー、または bin フォルダーにある限り、OpenSSL がインストールされている場所に保存します。
- 以下の [req] もしくは [ req_ext ] セクションは何も変更しないでください。
- 必要に応じて、[dn] および [alt_names] セクションで情報を置き換えます。DNS.1-3 パラメーターを使用しない場合は、未使用のパラメーターを削除して、有効な DNS 名のみが一覧表示されるようにします。
例:
[ req ]
default_bits = 2048
distinguished_name = dn
req_extensions = req_ext
[ dn ]
C=US
ST=State name (note: use full state name instead of abbreviation)
L=City
O=Organization name
OU=Domain name
CN=fqdn of server name
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = dns1
DNS.2 = dns2.com (optional)
DNS.3 = dns3.com (optional)
- 共通名 (CN) を使用して CSR を作成します。これにより、sancert.cnf が参照され、サブジェクトの別名が追加されます。
以下のコマンドを実行し、引用符内を正しい値に置き換えます。
openssl req -key c:\ssl\keys\mcafee.key -config sancert.cnf -new -subj "/C=US/ST=state/L=city/O=OrgName/OU=domain.com/CN=servername.domain.com" -out c:\ssl\keys\mcafee.csr
注: CN= 値は、サーバーの FQDN または NetBIOS 名のいずれであっても、証明書の発行先です。ePO がクラスター化されている場合は、仮想クラスター名を使用します。これらの値は、証明書のサブジェクト フィールドに入力されます。
- サーバー証明書を取得するには、CSR をサードパーティ CA またはエンタープライズ CA に提出します。
カスタム SSL 証明書は、以下のいずれかを使用して認証できます。
- ECA (Windows のドメイン CA):
- ドメイン コントローラー CA サーバーで、管理者としてコマンドプロンプトを開きます。
- 以下のコマンドを実行します。このコマンドは、サーバー証明書を生成する Web サーバー テンプレートの使用を強制します。
certreq -submit -attrib "CertificateTemplate: WebServer" c:\ssl\keys\mcafee.csr
注: テンプレート名は、Web サーバー タイプのテンプレートである限り、CA によって異なる場合があります。
- LDAP サーバーにダイアログ ウィンドウが表示されたら、 OK をクリックします。
- .cer を任意の場所に保存します。ルート CA 証明書と ePO 証明書を含む .cer ファイルが作成されます。
- Verisign または Entrust などのサードパーティの CA:
サードパーティ CA は、単一の証明書ファイル (.cer) を提供する場合もあれば、複数の証明書ファイル (.crt) を提供する場合もあります。取得した証明書には、少なくとも CA ルート証明書とサーバー証明書が必ず含まれています。
例:
- ルート証明書を表すルート証明書ファイル
- 中間証明書の証明書ファイル
- サーバー証明書
3 つの証明書ファイル
(.crt) は、次の手順で使用するために、正しい形式で ePO に統合されます。ただし、CA が証明書を
PKCS#7 形式で提供できる場合、それ以上の変換は必要ありません。結果の
(.cer) ファイルを ePO に提供できます。
別々の .crt ファイルを受け取った場合は、以下の手順に従って .crt ファイルを結合してください。
- 以下のコマンドを使用して、Windows または Windows または Linux の OpenSSL で証明書のエクスポート ウィザードを使用します。
openssl crl2pkcs7 -nocrl -certfile cert1.crt -certfile cert2.crt -certfile cert3.crt -out outfile.p7b
注: このコマンドは、outfile.p7b という名前の 'cert1.crt, cert2.crt, cert3.crt' ファイルから証明書チェーン ファイルを作成します。p7b ファイルには、ePO に提供できる証明書チェーン全体が含まれています。チェーンの順序は次のとおりである必要があります: ルート証明書、中間証明書 (存在する場合)、および ePO 証明書。
- OpenSSL ツールキットと手順 1 の暗号化された .key ファイルを使用して、ePO に入力する暗号化されていないバージョンの秘密鍵を作成します。
OpenSSL バージョン 1.x の場合、以下のコマンドを使用します。
openssl rsa -in c:\ssl\keys\mcafee.key -out c:\ssl\keys\unsecured.mcafee.pem
OpenSSL バージョン 3.x の場合、以下のコマンドを使用します。
注:この手順は、上位バージョンの OpenSSL または pkcs8 形式でキーを生成する方法を使用する場合に重要です。現在、ブラウザー証明書の pkcs8 はサポートされていないため、pkcs8 キーを pkcs1 に変換する必要があります。両方のコマンドを実行する必要があります。
openssl pkcs8 -in c:\ssl\keys\mcafee.key -topk8 -nocrypt -out c:\ssl\keys\pkcs8mcafee.pem
openssl pkcs8 -in c:\ssl\keys\pkcs8mcafee.pem -traditional -nocrypt -out c:\ssl\keys\unsecured.mcafee.pem
- 新しい証明書と秘密鍵ファイルを使用して、ePO 証明書を更新します。
重要: 証明書を ePO コンソールにインポートする前に、 <ePO installation folder> \Server\keystore\ フォルダーをバックアップしてください。
注: このリストに加えて、表示されたブラウザー証明書が信頼できるものとして認識される必要があります。この手順は、信頼されたルート CA リストに追加されたエンタープライズ CA で信頼できるようにするために重要です。詳細については、オペレーティング システムのマニュアルを参照してください。
- ePO コンソールにログオンします。
- メニュー 、設定、サーバー設定 をクリックします。
- カテゴリの設定で サーバー証明書 をクリックして、編集 をクリックします。
- 指定された証明書と秘密鍵の使用 を選択します。
- 証明書 ( P7B, PEM ) フィールドで Browse をクリックします。証明書ファイル ( .p7b または .cer ) を検索して選択します。次に、開く をクリックします。
- 秘密鍵 (PEM) 欄の Browse をクリックします。
- 秘密鍵ファイル ( この場合 unsecured.mcafee.pem ) に移動して選択し、 開くをクリックします。
- 保存 をクリックします。
- ePO サービスを再起動します:
- Windows + R を押して、services.msc と入力し、OK をクリックします。
- 次の各 ePO サービスを右クリックして、 再起動をクリックします。
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Event Parser
McAfee ePolicy Orchestrator x.x.x Server
- サービス画面を閉じます。