キーと証明書の作成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • ルートディレクトリにキーと証明書を作成して、トランスポートレイヤーセキュリティ (TLS) セットアップを有効にします。TLS セットアップを有効にしてから、MID Web サーバーとエージェントで mTLS を設定する必要があります。

    始める前に

    • 次のコマンドを実行して、MID 統一キーストアにキーがインストールされていないことを確認します。
      bin/scripts/manage-certificates.(sh/bat) -l

      キーがインストールされていない場合、出力は「defaultsecuritypairhandle」になります。

    • MID サーバーを無効化します。

      出力に他のキーが存在する場合は、MID サーバーを無効にした後にそれらのキーを再インストールします。

    • MID サーバーがインスタンスに接続されていることを確認します。
    • 証明書を作成するディレクトリ (「root」ディレクトリ) を選択します。
    注:
    次の手順で指定されるコマンドは、Centos7 ホストにのみ関連しています。別の OS で作業する場合は、ホストに関連するコマンドを使用してください。

    必要なロール:agent_client_collector_admin

    手順

    1. ルートディレクトリに、証明書のサブディレクトリを作成します。 
      mkdir -p labca labmid labacc;
    2. ルートディレクトリで次の手順を実行します。
      1. カスタム認証局キーペアを生成します。 
        openssl ecparam -list_curves;
openssl ecparam -out labca/ec-labcakey.pem -name prime256v1 -genkey; 
ls labca/;

        生成される出力は「ec-labcakey.pem」ファイルです。

      2. 次のコマンドを実行します。 
        openssl ecparam -in labca/ec-labcakey.pem -text -noout; 
openssl req -x509 -new -nodes -key labca/ec-labcakey.pem -sha512 -days 365 -out labca/labcacert.pem -subj "/C=<country>/ST=<state>/L=<location>/O=<organization> Lab/OU=<organization unit>/CN=<cn abbreviation>"; 
openssl verify labca/labcacert.pem;
        生成される出力は次のとおりです。
        • labca/labcacert.pem: C = <country>, ST = <state>, L = <location>, O = <organization>, OU = <organization unit>, CN = <cn abbreviation>
        • error 18 at 0 depth lookup: self signed certificate
        • OK
        注:
        error」メッセージは無視してかまいません。
    3. MID Web サーバーキーと証明書を準備します。
      1. ルートディレクトリで次のコマンドを実行します。 
        sudo cp -a labca/labcacert.pem /etc/pki/ca-trust/source/anchors/;
sudo update-ca-trust extract;
openssl verify labca/labcacert.pem

        生成される出力は、「labca/labcacert.pem: OK」です。

      2. コマンド "hostname --all-fqdns" を実行して、特定の VM の有効なホスト名をすべて取得します。
      3. 次のコマンドを実行します。 
        openssl req -new -newkey rsa:4096 -keyout labmid/rsa-labmidkey.pem -sha512 -nodes -out labmid/mid.csr -subj "/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<hostname>";
openssl x509 -req -days 365 -in labmid/mid.csr -CA labca/labcacert.pem -CAkey labca/ec-labcakey.pem -CAcreateserial -extensions SAN -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:<hostname>")) -out labmid/mid.crt;

        前のコマンドで <hostname> 値として FQDN を入力します。コマンドによって複数の fqdn 値が返された場合は、「hostname.domain.domain.com」という形式の値を使用します。

        生成される出力は、「Signature ok subject=/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<mid server host fqdn>: Getting CA Private Key」です。

    4. ルートディレクトリで、キーファイルと証明書ファイルを「mid.pem」という名前の 1 つのファイルにまとめます。 
      cat labmid/rsa-labmidkey.pem labmid/mid.crt > labmid/mid.pem;

    次のタスク

    MID 統一キーストアに .pem ファイルをインストールして MID Web サーバーを設定する