Product Documentation

Usage Collectorで使用する証明書の手動インストール

Sep 02, 2014

証明書の作成

証明書は、以下の3つの手順を行ってインストールします。

  1. 証明書および秘密キーを含んでいるPFXファイルを入手します。後述する2つのいずれかの方法でこれを行います。
  2. PFXファイルから証明書および秘密キーを抽出します。
  3. 証明書および秘密キーをUsage Collector上にインストールします。

手順1:方法1 — ドメイン証明書によるPFXファイルの入手

サーバーにログオンしてMMCを開き、次の手順に従います。

  1. エクスポートしたPFXファイルを格納するためのc:\uc_certディレクトリを作成します。
  2. [ファイル]、[スナップインの追加と削除]、[証明書]、[コンピューターアカウント]、[ローカルコンピューター]の順に選択して、証明書スナップインを追加します。
  3. 左ペインの[証明書]の下の[個人]を右クリックし、[すべてのタスク]、[新しい証明書の要求]の順に選択して[次へ]をクリックします。
  4. 証明書の登録ポリシーウィザード[Active Directory登録ポリシー]を選択して[次へ]をクリックし、[コンピューター]の隣のチェックボックスをオンにして右側の[詳細]をクリックします。
  5. [プロパティ]を選択して、[全般]タブにフレンドリ名と説明を入力します。
  6. [サブジェクト]タブの[サブジェクト名]の下の[種類]ボックスの一覧から[共通名]を選択し、ボックスにフレンドリ名を入力して[追加][適用]の順にクリックします。
  7. [拡張機能]タブで[キー使用法]のドロップダウンメニューを開き、[選択されたオプション]ボックスに[デジタル署名]および[キーの暗号化]を追加します。
  8. [拡張キー使用法]のドロップダウンメニューを開き、[選択されたオプション]ボックスに[サーバー認証]および[クライアント認証]を追加します。 .
  9. [秘密キー]タブをクリックし、[キーのオプション]の[キーのサイズ]が2048で[秘密キーをエクスポート可能にする]チェックボックスがオンになっていることを確認して、[適用]をクリックします。
  10. [証明機関]タブをクリックし、証明機関のチェックボックスがオンになっていることを確認して、[OK]、[登録]、[完了]の順にクリックします。
  11. [証明書]コンソールで[個人]、[証明書]の順に選択し、作成した証明書を右クリックして[すべてのタスク]、[エクスポート]、[次へ]の順に選択します。[はい、秘密キーをエクスポートします]をクリックして[次へ]をクリックします。
  12. [Personal Information Exchange – PKCS #12(.PFX)]の下の[証明のパスにある証明書を可能であればすべて含む]チェックボックスをオンにして[次へ]をクリックし、パスワードを作成して[次へ]をクリックします。
  13. [参照]をクリックしてC:\uc_certを開き、「server.PFX」と入力します。後は、ウィザードの指示に従って完了します。

手順1:方法2 — 証明機関(CA)への要求によるPFXファイルの入手

以下の手順は、使用する証明機関により異なる場合があります。

  1. Usage CollectorにログオンしてMMCを開き、次の手順に従います。
    1. [ファイル]、[スナップインの追加と削除]、[証明書]、[コンピューターアカウント]、[ローカルコンピューター]の順に選択して、証明書スナップインを追加します。
    2. 左ペインの[証明書]の下の[個人]を右クリックし、[すべてのタスク]、[詳細設定操作]、[カスタム要求の作成]の順に選択して[次へ]をクリックします。
    3. [カスタム要求]ページでボックスの一覧から[(テンプレートなし)CNGキー]を選択し、要求の形式として[PKCS #10]を選択して[次へ]をクリックします。
    4. [証明書情報]ページで[詳細]のドロップダウンメニューを開き、[プロパティ]をクリックします。
    5. [全般]タブにフレンドリ名と説明を入力します。
    6. [サブジェクト]タブの[サブジェクト名]の下で[共通名]を選択して、ボックスに値を入力します。
    7. [拡張機能]タブで[キー使用法]のドロップダウンメニューを開き、[デジタル署名]および[キーの暗号化]を追加します。
    8. [拡張機能]タブで[拡張キー使用法]のドロップダウンメニューを開き、[サーバー認証]および[クライアント認証]を追加します。
    9. [秘密キー]タブで[暗号化サービスプロバイダー]のドロップダウンメニューを開き、[RSA, Microsoft Software Key Storage Provider](デフォルト)を選択します。また、[キーのオプション]でキーのサイズとして[2048]を選択し、[秘密キーをエクスポート可能にする]チェックボックスをオンにします。
    10. 要求をREQファイル(*.req)として保存して、それを証明機関(CA)に送信し、CERファイルを保存します。
  2. MMCで[証明書]、[個人]、[証明書]の順に選択し、右クリックして[すべてのタスク]、[インポート]の順に選択します。 インポートウィザードでCERファイルを選択します。
  3. エクスポートしたPFXファイルを格納するためのc:\uc_certディレクトリを作成します。
  4. [証明書]コンソールで[個人]、[証明書]の順に選択し、インポートした証明書を右クリックして[すべてのタスク]、[エクスポート]、[次へ]の順に選択します。[はい、秘密キーをエクスポートします]をクリックして[次へ]をクリックします。
  5. [Personal Information Exchange – PKCS #12(.PFX)]の下の[証明のパスにある証明書を可能であればすべて含む]チェックボックスをオンにして[次へ]をクリックし、パスワードを作成して[次へ]をクリックします。
  6. [参照]をクリックしてC:\uc_certを開き、「server.PFX」と入力します。後は、ウィザードの指示に従って完了します。

手順2 — 証明書および秘密キーの抽出

この手順を行うには、OpenSSLなど、PFXファイルから証明書や秘密キーを抽出するためのツールが必要です。

重要:Usage Collectorに付属のバージョンのOpenSSLでは、証明書や秘密キーを抽出できません。OpenSSL for Windowsは、https://www.openssl.org/related/binaries.htmlからダウンロードできます。ダウンロードしたOpenSSLをほかのワークステーション上にインストールして以下の手順を行うことをお勧めします。
  1. <openssl directory>\binフォルダーを開きます。
  2. 次のコマンドを実行します。openssl pkcs12 -in C:\uc_cert\server.pfx -out server.crt -nokeys
    注:Usage Collectorで使用できる証明書の形式は、CRTのみです。
  3. エクスポート処理で作成したパスワードを入力します。
  4. 次のコマンドを実行します。openssl pkcs12 -in C:\uc_cert\server.pfx -out server.key -nocerts –nodes
  5. エクスポート処理で作成したパスワードを入力します。

手順3 — Usage CollectorへのCRTファイルとKEYファイルのインストール

  1. 上記の手順で作成したserver.crtとserver.keyを以下のフォルダーにコピーします。cd \program files (x86)\citrix\licensing\UsageCollector\Apache\conf\
  2. Usage Collectorを再起動します。