ポッドの Unified Access Gateway 機能には、クライアント接続のための SSL が必要です。ポッドに対して Unified Access Gateway 構成を作成する場合、ポッド デプロイ ウィザードには、SSL サーバ証明書チェーンをそのポッドの Unified Access Gateway 構成に提供するための PEM フォーマット ファイルが必要になります。1 つの PEM ファイルに、SSL サーバ証明書、必要な中間 CA 証明書、ルート CA 証明書、プライベート キーを含む、完全な証明書チェーンが含まれている必要があります。

Unified Access Gateway で使用される証明書タイプについて詳しくは、Unified Access Gateway 製品ドキュメントの「正しい証明書タイプの選択」トピックを参照してください。

ゲートウェイ設定に関するポッド デプロイ ウィザードの手順で、証明書ファイルをアップロードします。デプロイ中、このファイルはデプロイされた Unified Access Gateway インスタンスの構成に送信されます。ウィザード インターフェイスでアップロード手順を実行すると、ウィザードはアップロードしたファイルが次の要件を満たしているかを検証します。

  • ファイルを PEM 形式として解析できる。
  • 有効な証明書チェーンとプライベート キーが含まれている。
  • そのプライベート キーはサーバ証明書のパブリック キーと一致する。

証明書情報に対する PEM 形式のファイルがない場合は、証明書情報を上記の要件を満たすファイルに変換する必要があります。PEM 形式でないファイルを PEM 形式のファイルに変換し、完全な証明書チェーンとプライベート キーを含む単一の PEM ファイルを作成する必要があります。不要な情報が表示される場合は、ファイルの解析中にウィザードで問題が発生しないように、ファイルを編集してその情報を削除する必要があります。手順の概要は次のとおりです。

  1. 証明書情報を PEM 形式に変換し、証明書チェーンとプライベート キーを含む単一の PEM ファイルを作成します。
  2. ファイルを編集し、----BEGIN CERTIFICATE---------END CERTIFICATE----- のマーカー間の証明書情報の外部に余分な証明書情報があれば削除します。

次の手順のコード例では、ルート CA 証明書、中間 CA 証明書情報、およびプライベート キーを含む mycaservercert.pfx という名前のファイルを使用することを想定します。

前提条件

  • 証明書ファイルがあることを確認します。このファイルは PKCS#12(.p12 または .pfx)形式や、Java JKS または JCEKS 形式になることができます。
    重要: 証明書チェーン内のすべての証明書が有効期限内である必要があります。 Unified Access Gateway 仮想マシンでは、任意の中間証明書を含む、チェーン内のすべての証明書が有効期限内である必要があります。チェーン内のいずれかの証明書が期限切れの場合、後で Unified Access Gateway 構成に証明書がアップロードされる際に予期しない障害が発生する可能性があります。
  • 証明書を変換するために使用できる openssl コマンドライン ツールについて理解しておきます。https://www.openssl.org/docs/apps/openssl.htmlを参照してください。
  • 証明書が Java JKS または JCEKS 形式の場合、.pem ファイルに変換する前に、最初に証明書を .p12 または .pks 形式に変換するための Java keytool コマンドライン ツールについて理解しておきます。

手順

  1. 証明書が Java JKS または JCEKS 形式の場合、keytool を使用して証明書を .p12 または .pks 形式に変換します。
    重要: この変換中、変換元と変換先で同じパスワードを使用します。
  2. 証明書が PKCS#12(.p12 または .pfx)形式の場合、または証明書を PKCS#12 形式に変換した後には、openssl を使用して証明書を .pem ファイルに変換します。
    たとえば、証明書の名前が mycaservercert.pfx の場合、次のコマンドを使用して証明書を変換できます。
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    
    上記の最初の行は mycaservercert.pfx の証明書を取得し、 mycaservercertchain.pem に PEM 形式で書き込みます。上記の 2 番目の行は mycaservercert.pfx からプライベート キーを取得し、 mycaservercertkey.pem に PEM 形式で書き込みます。
  3. (オプション) プライベート キーが RSA 形式でない場合は、プライベート キーを RSA プライベート キー形式に変換します。
    Unified Access Gateway インスタンスには、RSA プライベート キー形式が必要です。この手順を実行する必要があるかどうかを確認するには、PEM ファイルのプライベート キー情報が次の行で始まるかどうかを確認します。
    -----BEGIN PRIVATE KEY-----
    プライベート キーがこの行で始まる場合は、プライベート キーを RSA 形式に変換する必要があります。プライベート キーが -----BEGIN RSA PRIVATE KEY----- で始まる場合は、この手順を実行してプライベート キーを変換する必要はありません。
    プライベート キーを RSA 形式に変換するには、次のコマンドを実行します。
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
    これで PEM ファイルのプライベート キーは RSA 形式( -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY-----)になります。
  4. 証明書チェーン PEM ファイルとプライベート キー PEM ファイルの情報を組み合わせて、1 つの PEM ファイルを作成します。
    次の例では、 mycaservercertkeyrsa.pem の内容(RSA 形式のプライベート キー)が最初にあり、その後にプライマリ SSL 証明書である mycaservercertchain.pem の内容が続きます。さらに 1 つの中間証明書、ルート証明書が続きます。
    -----BEGIN CERTIFICATE-----
    .... (your primary SSL certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the intermediate CA certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the trusted root certificate)
    -----END CERTIFICATE-----
    -----BEGIN RSA PRIVATE KEY-----
    .... (your server key from mycaservercertkeyrsa.pem)
    ----- END RSA PRIVATE KEY-----
    注: サーバ証明書が最初で、次に中間証明書、その次に信頼されるルート証明書の順番にする必要があります。
  5. BEGINEND マーカーの間に不要な証明書エントリまたは無関係な情報がある場合は、ファイルを編集して削除します。

結果

これで PEM ファイルは、ポッド デプロイ ウィザードの要件を満たすようになります。