Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Parallels RAS を使用して Let's Encrypt 証明書を新規に作成する場合、以下の処理が実行されます。
ライセンスロールをホストする Parallels RAS プライマリ Connection Broker が、Let's Encrypt サーバーにアカウントを作成するための最初のリクエストを行います。
アカウント作成の確認を受け取ります。Parallels RAS は CSR を作成し、Let's Encrypt サーバーに送信します。
チャレンジのリストを受信して、Connection Broker で Let's Encrypt サーバーから送信された HTTP トークンの読み取りが行われます。
Secure Gateway または HALB は、Connection Broker からトークンを取得します。
準備が整うと、Connection Broker から Let's Encrypt Server に通知が行われます。
Let's Encrypt から、Secure Gateway または HALB へのアクセスが行われ、トークンの有無の確認により検証プロセスが開始されます。
Secure Gateway または HALB が指定されたドメインに返信できることが確認され、チャレンジが完了します。
チャレンジが正常に完了したとの仮定に基づき、Parallels RAS は証明書を要求します。
有効な証明書が Let's Encrypt サーバーから Connection Broker にダウンロードされます。
Connection Broker から、Secure Gateways または HALB に証明書が配信されます。
証明書をファイルにエクスポートするには、[証明書] タブで、[タスク] > [証明書のエクスポート] をクリックし、ファイル名を指定してから [保存] をクリックします。その後、[タスク] > [証明書のインポート] をクリックして、[プライベートキーファイル] フィールドで証明書ファイルを指定すれば、エクスポートした証明書を別のファームやサイトにインポートできます。
証明書をサイトに追加した後、作成時に指定した使用方法のタイプに応じて、証明書を RAS Secure Gateway と HALB のどちらか、あるいはその両方に割り当てることができます(この章の始めで説明しています)。証明書の [使用方法] オプションについては、以下に詳しく説明します。
証明書の使用方法
証明書の [使用方法] は、証明書の作成時に指定するオプションです。証明書を RAS Secure Gateway と HALB のどちらで利用するか、あるいはその両方で利用できるようにするかを指定します。このオプションを設定するとき、以下から選択できます。
Secure Gateway: このオプションを選択すると、RAS Secure Gateway で証明書が利用できるようになります。
HALB: このオプションを選択すると、HALB で証明書が利用できるようになります。
ゲートウェイと HALB のどちらか、あるいはその両方を選択できます。両方を選択すると、ゲートウェイと HALB の両方で証明書が利用できるようになります。証明書を作成する方法やオプションを選択する方法について詳しくは、「自己署名証明書の作成」および「証明書署名要求(CSR)の作成」を参照してください。
後で RAS Secure Gateway や HALB の SSL を構成する場合は、SSL 証明書を指定する必要があります。その手順の詳細については、「SSL/TLS 暗号化」および「RAS コンソールでの HALB の構成」を参照してください。証明書を選択する際は、[使用方法] オプションが特定の証明書にどのように構成されているかに応じて、次のオプションを利用できます。
一致する使用方法すべて: これはデフォルトオプションで、いつでも利用できます。このオプションは、[使用方法] の選択内容がオブジェクトのタイプ(ゲートウェイや HALB)に一致する証明書が使用されるというものです。たとえば、ゲートウェイを構成していて、[使用方法] が「ゲートウェイ」に設定されている証明書がある場合、その証明書が使用されます。証明書の使用方法オプションでゲートウェイと HALB が両方とも選択されている場合も、その証明書は該当のゲートウェイで使用できます。これは、LB SSL ペイロードを構成する際の HALB でも同様です。なお、このオプションがゲートウェイや HALB で選択されているものの、一致する証明書が存在しない場合は、警告メッセージが表示されます。この場合、まず証明書を作成する必要があります。
[証明書] ドロップダウンリストのその他の項目は個別の証明書ごとに扱われ、証明書の [使用方法] の設定に応じて、リストに表示されたり表示されなかったりします。たとえば、HALB の LB SSL ペイロードを構成していて、[使用方法] オプションが「HALB」に設定されている証明書がある場合、その証明書はドロップダウンリストに表示されます。一方、[使用方法] が「ゲートウェイ」に設定されている証明書はリストに含まれません。
また、1 つの証明書だけですべてのゲートウェイを使用したい場合は、証明書を作成し、その [使用方法] オプションを「ゲートウェイ」に設定する必要があります。その後、各ゲートウェイにこの証明書を使用するように構成するか、[一致する使用方法すべて] の選択内容をデフォルト値のままにすれば、証明書はゲートウェイによって自動的に取得されます。これは HALB についても同様です。
ゲートウェイ
証明書を RAS Secure Gateway に割り当てるには、次の操作を実行します。
[ファーム] > [サイト] > [Secure Gateway] に移動します。
ゲートウェイを右クリックし、[プロパティ] を選択します。
[SSL/TLS] タブを選択します。
[証明書] ドロップダウンリストで、作成した証明書を選択します。
[OK] をクリックします。
[一致する使用方法すべて] オプションを選択することもできます。そうすると、使用方法がゲートウェイあるいはゲートウェイと HALB の両方に設定されている証明書が使用されることになります。
HALB
証明書を HALB に割り当てるには、[ファーム] > [サイト] > [HALB] に移動します。HALB が有効かつ構成済みで、[LB SSL ペイロード] オプションを選択されていると仮定して、以下の手順に従ってください。
[LB SSL ペイロード] オプションの横の [構成] をクリックします。
[モード] オプションが [SSL オフローディング] に設定されている場合は、証明書を使用する必要があります。上記と同様、こちらも選択されていると仮定して、次の手順に進んでください。
[構成] をクリックします。
[SSL] ダイアログで、[証明書] ドロップダウンリストから証明書を選択します。
ゲートウェイの場合と同様、[一致する使用方法すべて] オプションを選択することもできます。そうすると、使用方法が HALB あるいは HALB とゲートウェイの両方に設定されている証明書が使用されることになります。
Let's Encrypt は、グローバルな認証局(CA)です。この組織は非営利団体であり、証明書の発行に費用は一切発生しません。各証明書の有効期限は 90 日間です。RAS Console では、Let's Encrypt の証明書の発行、自動更新、取り消しを行うことができます。
Let's Encrypt 証明書の発行
新しい Let's Encrypt 証明書を発行するには、次の手順を実行します。
RAS Console で、[ファーム] > [証明書] に移動します。
[タスク] ドロップダウンメニューの左側にある [+] ボタンをクリックし、[Let's Encrypt 証明書を発行] を選択します。
[Let's Encrypt EULA を読んで同意しました] オプションを選択します。
Lets Encrypt から通知を受領するメールアドレスを、[期限切れのメール] フィールドのリストで指定します。
オプションとして、[期限切れの前に自動的に証明書を更新] フィールドで、証明書が自動的に更新される時間を変更できます。
[OK] をクリックします。
[Let's Encrypt 証明書を発行] ダイアログで、以下を指定します。
名称: 証明書の名前です。
説明: 証明書の説明です。
使用方法: HALB または Secure Gateway を指定できます。
キーサイズ: キーサイズです。
国コード: お住まいの国のコードです。
都道府県: お住まいの都道府県です。
市: お住まいの市区町村です。
組織: 所属している組織の名前です。
部門: 所属している組織の部署です。
メールアドレス: 所属組織のメールアドレスです。
コモンネーム: 一般にアクセス可能な HALB または Secure Gateway の有効なドメイン名です。
代替名: 一般にアクセス可能な HALB または Secure Gateway 有効なドメイン名です。
[保存] をクリックします。
Lets Encrypt 証明書を手動で更新する
Lets Encrypt 証明書を手動で更新するには、次の手順を実行します。
RAS Console で、[ファーム] > [証明書] に移動します。
更新する Let's Encrypt 証明書を右クリックします。
コンテキストメニューで、[制御] > [更新] の順に選択します。
Let's Encrypt 証明書を取り消す
Let's Encrypt 証明書を取り消すには、次の手順を実行します。
RAS Console で、[ファーム] > [証明書] に移動します。
取り消す Let's Encrypt 証明書を右クリックします。
コンテキストメニューで、[制御] > [取り消し] の順に選択します。
[証明書を取り消し] ダイアログで、証明書を取り消す理由を選択します。
[取り消し] をクリックします。
自己署名証明書を生成するには、[ファーム] > [サイト] > [証明書] に移動します。[タスク] > [自己署名証明書の生成] をクリックします。ダイアログが開いたら、次のオプションを指定します。
名称: 証明書の名前を入力します。このフィールドは入力必須です。
説明: オプションの説明。
使用方法: 証明書に RAS Secure Gateway と HALB のどちらを使用するか、あるいはその両方を使用するかを指定します。この選択は必須です。
キーサイズ: 証明書のキーサイズのビット数。ここでは、定義済みの値から選択できます。デフォルト値は、現在の業界標準で必要最小の長さとされる 2048 ビットです。
国コード: 国を選択します。
有効期限: 証明書の有効期限。
都道府県: 都道府県名。
市: 市の名前。
組織: 組織の名前。
部門: 部門名。
メール: メールアドレス: このフィールドは入力必須です。
コモンネーム: コモンネーム(CN)、または完全修飾ドメイン名(FQDN)とも呼ばれるもの。このフィールドは入力必須です。
代替名: 1 つまたは複数のサブジェクト代替名(SAN)を指定します。[...] アイコンをクリックして、1 つまたは複数の DNS または IP アドレスを追加します。なお、モバイル機器用の Parallels Client は SAN フィールドをサポートしていないので、共通の名前には大部分のモバイルデバイスで使用される一般的なものを設定するのが安全です。
[保存] をクリックして、証明書を作成します。完了すると、作成した証明書は RAS Console の [証明書] リストに表示され、[ステータス] 列には [自己署名] であることが示されます。
証明書情報を表示するには、証明書情報を右クリックして [プロパティ] を選択します。表示されるダイアログでプロパティを調べてから、[証明書情報の表示] ボタンをクリックして、証明書の信頼性に関する情報、詳細、認定パス、証明書の状態を表示してください。証明書情報は、項目を右クリックして [証明書情報の表示] を選択することによっても表示できます。
CSR を生成するには、[ファーム] > [サイト] > [証明書] に移動します。[タスク] > [証明書要求の生成] をクリックします。ダイアログが開いたら、必要な情報を指定してください。CSR の作成に必要な情報は、前述の自己署名証明書で必要な項目とまったく同じです。詳細は、該当のセクションで説明したオプションリストを参照してください。
情報を入力したら、[作成] をクリックしてください。別のダイアログが開いて、作成した証明書署名要求が表示されます。証明書署名要求をコピーしてテキストエディターに貼り付け、記録用にファイルを保存します。このダイアログの時点で、ダイアログからパブリックキーをインポートできるようになります。ここでダイアログを開いたまま、証明書署名要求を証明書認証局に送信して、パブリックキーを取得しインポートしておくことも、または後で行うこともできます。ダイアログを閉じると、証明書は RAS コンソールに表示され、[ステータス] 列に [リクエスト済み] であることが示されます。
証明書署名要求を証明書認証局に送信し、パブリックキーをインポートするには、次の操作を実行します。
証明書署名要求の [プロパティ] ダイアログが閉じている場合は、証明書を右クリックして [プロパティ] を選択し、ダイアログを開きます。ダイアログで、[リクエスト] タブを選択します。
証明書署名要求をコピーして認証局のウェブページに貼り付けるか、電子メールで送信(その場合は、後でこのダイアログに戻る必要があります)します。
証明書認証局から証明書ファイルを取得します。
[パブリックキーのインポート] ボタンをクリックし、キーファイルと証明書ファイルを指定して、証明書の登録を完了します。
証明書をファイルからインポートするには、[証明書] タブで、[タスク] > [証明書のインポート] をクリックします。ダイアログが開いたら、以下を指定します。
名称: 証明書の名前を入力します。
説明: オプションの説明。
プライベートキーファイル: プライベートキーを含むファイルを指定します。ファイルを参照するには、[...] ボタンをクリックします。
証明書ファイル: プライベートキーファイル(上述)を指定し、それに一致する証明書ファイルがある場合、そのファイルがこのフィールドに自動的に挿入されます。そうでない場合は、証明書ファイルを指定してください。
使用方法: 証明書に RAS Secure Gateway と HALB のどちらを使用するか、あるいはその両方を使用するかを指定します。
完了したら [OK] をクリックします。インポートした証明書は RAS Console のリストに表示され、[ステータス] 列には [インポート済み] であることが示されます。
証明書情報を表示するには、証明書情報を右クリックして [プロパティ] を選択します。表示されるダイアログでプロパティを調べてから、[証明書情報の表示] ボタンをクリックして、証明書の信頼性に関する情報、詳細、認定パス、証明書の状態を表示してください。証明書情報は、項目を右クリックして [証明書情報の表示] を選択することによっても表示できます。
インポート済みの証明書には、[プロパティ] ダイアログに [中間] という追加のタブがあります。オリジナル証明書に(ルート証明書に加えて)中間証明書が含まれている場合は、そのタブに中間証明書が表示されます。希望する場合は、別の中間証明書をタブに貼り付けることもできます。
Parallels RAS を RAS 17.1 より前のバージョンから RAS 17.1(以降)にアップグレードすると、RAS Secure Gateway や HALB で使用していた証明書はすべて列挙され、一意の証明書のみが [証明書] のサブカテゴリーに追加されます。その後、ゲートウェイや HALB は、アップグレード前に使用していた各証明書に 1 対 1 でリンクされます。
アップグレードに関連したその他のアクションには、以下が含まれます。
ゲートウェイの [デフォルト値を継承] オプションが、アップグレード後はオフになる。
アップグレード中にゲートウェイを無効化すると、ゲートウェイが使用する証明書の情報が Connection Broker に残るので、オンラインに復帰した際、ゲートウェイに正しく構成される。
サイトのデフォルト設定が、デフォルトの自己署名証明書を使用するように構成される。
サイトのデフォルト値をアップグレード後に変更していない限り、新しいゲートウェイが追加されたときに、デフォルトの自己署名証明書を使用するように構成される。
証明書に関して実行されるすべてのアクションは監査されており、後で閲覧することができます。証明書に加えた変更を元に戻すことはできませんので注意してください。以前の状態に戻したい場合は、証明書を削除し、新しい証明書を作成する必要があります。
証明書を監査するには、次の操作を実行します。
RAS Console で、[ファーム] > [サイト] > [証明書] に移動します。
[タスク] > [設定監査] をクリックします。
証明書に関して実行されたアクションの履歴を確認できるダイアログが開きます。[元に戻す] ボタンは無効になっていますので注意してください。本セクションの始めで説明したように、証明書に関して実行したアクションについて、元に戻すことはできません。
特定の監査エントリの詳細を確認するには、エントリをダブルクリックします。
root 管理者や上級管理者には常に、証明書を管理する権限があります。デフォルトでは、カスタム管理者に証明書を管理する権限はありません。上級管理者に証明書管理の権限を付与する際には、[証明書] のグローバルアクセスを許可する権限タイプが使用されます。
root 管理者や上級管理者は、次のように証明書の権限を設定できます。
RAS Console で [管理] > [アカウント] に移動します。
カスタム管理者アカウントを選択し、[タスク] > [プロパティ] をクリックします。
[アカウントのプロパティ] ダイアログで **[権限の変更]**をクリックします。
[アカウントの権限] ダイアログで、左側のペインでサイトを選択してから [権限の変更] をクリック(または右側のペインの [編集] リンクをクリック)します。
左側のペイン(権限タイプ)で [証明書] を選択します。
右側のペイン(グローバル権限)で 1 つまたは複数の権限を選択します。
完了したら、すべてのダイアログを閉じます。
RAS 管理者も、権限をカスタム管理者に委任することができます。そのためには、[ファーム] > [サイト] > [証明書] に移動し、[タスク] > [権限を委任] をクリックします。表示されるダイアログで、権限を任意のカスタム管理者に委任できます。
Parallels RAS Console には、お使いのすべての SSL 証明書を 1 か所で管理できる、証明書管理インターフェイスが含まれています。
証明書はサイトレベルで管理されます。証明書がサイトに追加されると、その証明書は同じサイト上の RAS Secure Gateway や HALB で使用できるようになります。
証明書を管理するには、RAS Console で [ファーム] > [サイト] > [証明書] に移動します。右ペインの [証明書] タブには、既存の証明書が表示されます。Parallels RAS をインストールすると、<デフォルト> の自己署名証明書が自動的に作成されるので、証明書のリストには少なくともデフォルトの証明書が表示されます。デフォルトの証明書も、自動的にすべての新しい RAS Secure Gateway や HALB に割り当てられます。
後続のセクションでは、証明書管理タスクについて詳しく説明し、証明書に関するその他の情報や指示を取り上げます。