Unified Access Gateway REST API を使用して証明書設定を構成したり、PowerShell スクリプトを使用したりするには、証明書を証明書チェーンおよびプライベート キーの PEM 形式のファイルに変換し、.pem ファイルを埋め込み改行文字を含む 1 行形式に変換する必要があります。

Unified Access Gateway を構成する場合、変換の必要が生じる可能性がある証明書のタイプは 3 つ考えられます。

  • 必ず Unified Access Gateway アプライアンス用に TLS/SSL サーバ証明書をインストールして構成する必要があります。
  • スマート カード認証を使用する予定の場合、スマート カードに配置する証明書用に信頼された CA が発行する証明書をインストールして構成する必要があります。
  • スマート カード認証を使用する予定の場合、Unified Access Gateway アプライアンスにインストールされる SAML サーバ証明書用に CA が署名したルート証明書をインストールして構成することを推奨します。

これらすべての証明書のタイプで、証明書を証明書チェーンが含まれる PEM 形式に変換するために同じ手順を実行します。TLS/SSL サーバ証明書とルート証明書の場合、各ファイルをプライベート キーが含まれる PEM ファイルにも変換します。次に、各 .pem ファイルを JSON 文字列でUnified Access Gateway REST API に渡すことのできる 1 行形式に変換する必要があります。

前提条件

  • 証明書ファイルがあることを確認します。このファイルは PKCS#12(.p12 または .pfx)形式、あるいは Java JKS または JCEKS 形式にできます。
  • 証明書を変換するために使用する openssl コマンドライン ツールについて理解しておきます。暗号リストの形式を表示するには、Web ブラウザで「openssl cipher string」を検索します。
  • 証明書が Java JKS または JCEKS 形式の場合、.pem ファイルに変換する前に、最初に証明書を .p12 または .pks 形式に変換するための Java keytool コマンドライン ツールについて理解しておきます。

手順

  1. 証明書が Java JKS または JCEKS 形式の場合、keytool を使用して証明書を .p12 または .pks 形式に変換します。
    重要: この変換中、変換元と変換先で同じパスワードを使用します。
  2. 証明書が PKCS#12(.p12 または .pfx)形式の場合、または証明書を PKCS#12 形式に変換した後には、openssl を使用して証明書を .pem ファイルに変換します。
    たとえば、証明書の名前が mycaservercert.pfx の場合、次のコマンドを使用して証明書を変換します。
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
  3. mycaservercert.pem を編集し、不要な証明書エントリをすべて削除します。このファイルには、1 つの SSL サーバ証明書の後に、必要なすべての中間 CA 証明書とルート CA 証明書を含めてください。
  4. 次の UNIX コマンドを使用して各 .pem(証明書およびキー)ファイルを JSON 文字列で Unified Access Gateway REST API に渡すことのできる値に変換します。
    awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

    この例で、cert-name.pem は証明書ファイルの名前です。証明書はこの例のようになります。

    図 1. 単一行の証明書ファイル
    証明書ファイルのサンプル
    この新しい形式では、埋め込み改行文字を含む 1 行に証明書のすべての情報が置かれます。中間証明書がある場合は、中間証明書も 1 行形式に変換し、最初の証明書に追加して両方の証明書が同じ行に存在するようにしてください。

結果

これで、https://communities.vmware.com/docs/DOC-30835のブログ記事「Using PowerShell to Deploy VMware Unified Access Gateway」に添付されている PowerShell スクリプトをこれらの .pem ファイルとともに使用して、Unified Access Gateway の証明書を構成できるようになりました。または、JSON 要求を作成し、これを使用して証明書を構成することもできます。

次のタスク

CA 署名の証明書で、デフォルトの自己署名証明書を更新できます。TLS サーバの署名入り証明書の更新を参照してください。スマート カード認証については、Unified Access Gateway アプライアンスでの証明書またはスマート カード認証の構成を参照してください。