Microsoftキーストアの既存の証明書を使用してDell Encryptionサービスの証明書を更新する方法

1. ［スタート］＞［ファイル名を指定して実行］の順に選択して「MMC」と入力します。

図56：（英語のみ）［ファイル名を指定して実行］で「MMC」と入力

2. ［ファイル］＞［スナップインの追加と削除］の順にクリックします。

図57：（英語のみ）［スナップインの追加と削除］をクリックする

3. ［スナップインの追加と削除］ウィンドウで、［証明書］を選択し、［追加］をクリックします。

図58：（英語のみ）証明書の追加

4. プロンプトが表示されたら［コンピューター アカウント］ラジオ ボタンを選択し、［次へ］をクリックします。

図59：（英語のみ）［コンピューター アカウント］

5. ［ローカル コンピューター］（デフォルトで選択済み）を選択し、［完了］をクリックします。

図60：（英語のみ）［ローカル コンピューター(このコンソールを実行しているコンピューター)］

6. ［スナップインの追加と削除］ウィンドウで、［OK］をクリックします。

図61：（英語のみ）［OK］をクリック

7. MMCメイン コンソールでプラス(+)記号をクリックして、［証明書］スナップインを展開します。

図62：（英語のみ）［インポート］

8. [Personal] | に移動します 。証明書 ペイン。
9. ［証明書］パネル内を右クリックし、［すべてのタスク］＞［インポート］の順にクリックして、［証明書のインポート ウィザード］を開始します。

図63：（英語のみ）［証明書のインポート ウィザード］

10. ウィザードに従って、秘密キーとともに署名済み証明書をインポートします。証明書ファイルは、エンド ユーザー証明書とその秘密キーの両方を含むコンテナ形式である必要があります。

図64：(英語のみ)[ 次へ ]をクリックし、ウィザードに従って署名済み証明書をインポートします。

11. 「参照」をクリックします。

図65：（英語のみ）［参照］をクリックする

12. [開く]ダイアログ ボックスで、次の手順を実行します。
    1. ファイルを Personal Information Exchange (*.pfx, *.p12)に変更します。
    2. インポートする証明書を参照して選択します（ddpe.pfxがこの例で使用されている証明書です）。
    3. 「OK」をクリックします。

図66：（英語のみ）［Personal Information Exchange (*.pfx, *.p12)］

13. ［秘密キーの保護］画面で、次の手順を実行します。
    1. 必要に応じて、パスワードを入力します。
    2. ［このキーをエクスポート可能にする。キーのバックアップやトランスポートを可能にします。］チェックボックスを選択します。
    3. ［すべての拡張プロパティを含める］チェックボックスを選択します。
    4. ［次へ］をクリックします

図67：（英語のみ）［秘密キーの保護］

14. ［証明書をすべて次のストアに配置する］を選択します。［個人］を選択し、［次へ］をクリックします。

図68：（英語のみ）［証明書ストア］

15. [Finish](完了)をクリックします。

図69：（英語のみ）［Finish］をクリックする

MMCから秘密キーと証明書パスと一緒に証明書をエクスポートするには、次の手順を実行します。

1. スタート メニューを開き、［ファイル名を指定して実行］を選択します

図70：（英語のみ）［ファイル名を指定して実行］を開く 

2. 「MMC」と入力し、［OK］を押します。

図71：（英語のみ）「MMC」と入力

3. MMCの上部メニューにある［ファイル］をクリックし、［スナップインの追加と削除］を選択します。

図72：（英語のみ）［スナップインの追加と削除］を選択

4. ［スナップインの追加と削除］ウィンドウの［利用できるスナップイン］から、［証明書］を選択してから［追加］ボタンをクリックして、［証明書スナップイン］ウィンドウを開きます。

図73：（英語のみ）［証明書スナップイン］を開く

5. ［コンピューター アカウント］ラジオ ボタンを選択し、［次へ］ボタンをクリックします。

図74：（英語のみ）［コンピューター アカウント］

6. ［完了］ボタンをクリックして、［証明書スナップイン］ウィンドウを閉じます。

図75：（英語のみ）［ローカル コンピューター（このコンソールを実行しているコンピューター）］

7. ［スナップインの追加と削除］ウィンドウで、［OK］をクリックして、スナップインの追加を完了します。

図76：（英語のみ）［OK］をクリック

8. MMCウィンドウで、［証明書（ローカル コンピューター）］と［個人］フォルダーを展開します。次に、［証明書］フォルダーを選択します。

図77：（英語のみ）［証明書］を選択

9. エクスポートする証明書を決定します。その証明書を右クリックして、［すべてのタスク］を選択し、［エクスポート］を選択します。

図78：（英語のみ）［エクスポート］

10. ［証明書のエクスポート ウィザード］で、［次へ］ボタンをクリックします。

図79：（英語のみ）［証明書のエクスポート ウィザード］

11. ［秘密キーのエクスポート］画面で、［はい、秘密キーをエクスポートします］ラジオ ボタンを選択し、［次へ］ボタンをクリックします。

図80：（英語のみ）［秘密キーのエクスポート］

12. ［エクスポート ファイルの形式］画面で、［Personal Information Exchange - PKCS #12 (.PFX)］ラジオ ボタンを選択し、［証明のパスにある証明書を可能であればすべて含む］と［すべての拡張プロパティをエクスポートする］チェックボックスをオンにして、［次へ］をクリックします。

図81：（英語のみ）［Personal Information Exchange - PKCS#12(.PFX)］

13. ファイルにパスワードを割り当て、［次へ］ボタンをクリックします。

図82：（英語のみ）パスワードの作成

14. エクスポート ファイルの場所と名前を選択し、［次へ］をクリックします。

図83：(英語のみ)エクスポート ファイルの場所と名前を選択します。

15. [Finish](完了)ボタンをクリックします。

図84：（英語のみ）［Finish］をクリックする

• Cのルートに「cert」という名前のフォルダーを作成し、「MMCから秘密キーと証明書パスと一緒に証明書をエクスポートする」手順でエクスポートしたPFXをこのフォルダーに移動します。
• cacerts ファイルのコピーを C:\Program Files\Dell\Enterprise Edition\Security Server\Conf ディレクトリから取得し、C:\Cert フォルダにコピーします。
• エクスポートされた証明書からエイリアス名を取得します。
  • 管理コマンドプロンプトを開きます。
  • コマンド プロンプトから、Java binディレクトリーをパスに追加します。次のコマンド例では、Java binフォルダーにデフォルトのインストール フォルダーを使用しており、更新する必要がある場合があります。
  • 「set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin」と入力します。

図85：（英語のみ）「set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin」と入力

• コマンド プロンプトから、ディレクトリーのC:\Certフォルダーに移動します。
• key toolユーティリティーを実行して、エクスポートされた証明書の情報を一覧表示します。次のコマンドは、証明書(PFX)のエクスポート時に使用される値でアップデートする必要があります。コマンドを実行した後、情報にアクセスするには、エクスポートされた証明書のパスワードを入力する必要があります。
  • コマンド：
    • keytool -list -v -keystore -storetype PKCS12
  • パラメーター:
    • - エクスポートされた証明書ファイルの名前。

図86：（英語のみ）keytool -list -v -keystore -storetype PKCS12と入力する

• 前のコマンドの出力から、エイリアス名の後にある値を記録します。
• 証明書をcacertsファイルにインポートします。
  • 最初の手順で開いたコマンド プロンプトから、key toolユーティリティーを実行して、エクスポートされたPFXファイルをcacertsファイルにインポートします。次のコマンドは、これまでのプロセス全体で収集された情報でアップデートする必要があります。コマンドを実行した後、インポートする情報にアクセスするには、エクスポートされた証明書のパスワードを入力する必要があります。
  • コマンド プロンプトを閉じます。
    • コマンド：
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • パラメーター:
      • - エクスポートされた証明書ファイルの名前。
      • - 以前に記録されたエイリアス名。
      • - アップデートされたcacertsファイルのファイル名。
      • - cacertsファイルに格納されているすべての情報を保護するパスワード。これは、cacertsエイリアス パスワードの値と一致する必要があります。
      • - 証明書情報がcacertsファイルに格納されているエイリアス。これをddpeにすることが推奨されますが、必須ではありません。
      • - cacertsファイル内の指定されたエイリアスに格納されている情報を保護するパスワード。これは、の値と一致する必要があります。

図87：（英語のみ）keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass と入力する

• Javaサービスの既存のcacertsファイルをバックアップします。
  • 以下のリストから各サービスを停止します。環境のアーキテクチャとインストールされているサーバー のバージョンによっては、リスト内のすべてのサービスが存在しない場合があります。
  • 既存のcacertsファイルの名前を「cacerts」に変更します。DDMMYYは、2桁の日、月、年の形式です。cacertsファイルは、サービス インストール フォルダー内のconfフォルダーにあります。
    • Compliance Reporter - Compliance Reporterサービスのデフォルトの場所は、C:\Program Files\Dell\Enterprise Edition\Compliance Reporterです。
    • Device Server - Device Serverサービスのデフォルトの場所は、C:\Program Files\Dell\Enterprise Edition\Device Serverです。
    • Identity Server - Identity Serverサービスのデフォルトの場所は、C:\Program Files\Dell\Enterprise Edition\Identity Serverです。
    • Security Server - Security Serverサービスのデフォルトの場所は、C:\Program Files\Dell\Enterprise Edition\Security Serverです。
    • Console Webサービス - Console Webサービスのデフォルトの場所は、C:\Program Files\Dell\Enterprise Edition\Consoleです。
    注：Console Webサービスは、Dell Security Management Server（旧Dell Data Protection | Enterprise Edition v9.2）で廃止されました。
• 生成されたcacertsファイルを、バックアップされた各サービスのconfフォルダーにコピーします。

• application.propertiesファイルとeserver.propertiesファイルを新しいcacerts値でアップデートします。

  
  図88：（英語のみ）application.preperthanとeserver.propertiesをアップデート

  • application.properties/eserver.propertiesファイルを開き、次の値をアップデートします。各サービスの1つまたは複数の構成ファイルには、一部の値が含まれていない場合があります。値が含まれていない場合はこれらの値をスキップし、ファイルに含まれている残りの値をアップデートします。
  • eserver.keystore.password - これは、Javaキーストア ファイル、cacerts、割り当てられたパスワードでアップデートする必要があります。この値は、次の例のようにフォーマットする必要があります。
    • eserver.keystore.password=password
  • keystore.password - これは、Javaキーストアのパスワード、cacerts、エイリアス パスワードでアップデートする必要があります。この値は、次の例のようにフォーマットする必要があります。
    • keystore.password = CLR（パスワード）
  • サービスが開始すると、値が暗号化され、設定は次のようになります。
    • keystore.password = ENC（暗号化されたパスワード）
  • keystore.alias.ssl - この値は大文字と小文字が区別され、cacertsエイリアスと正確に一致するようにアップデートする必要があります。
  • keystore.alias.signing - この値は大文字と小文字が区別され、cacertsエイリアスと正確に一致するようにアップデートする必要があります。
  • ファイルの場所と構成設定の例
  • セキュリティ サーバー：
    • application.propertiesファイルの場所
    • application.propertiesの設定
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter：

    
    図89：（英語のみ）eserver.properties

    • eserver.propertiesファイルの場所
    • eserver.propertiesの設定
    • eserver.keystore.password=changeit
  • デバイス サーバー：
    • application.propertiesファイルの場所

      
      図90：（英語のみ）appliation.properties

      • application.propertiesの設定
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• サービスの再起動は、前のステップで停止しました。
• https://server:8443/xapi/、https://server:8084/reporter、https://server:8081/xapiを参照し、URLごとに次の手順を実行して、サムプリントを検証します。
  • 鍵アイコンをクリックします。

    
    図91：（英語のみ）サーバーURLに移動

  • ［View certificates］をクリックします。

    
    図92：（英語のみ）［View certificates］

  • [Details](詳細)タブをクリックします。

    
    図93：(英語のみ)[Details]タブをクリックします。

  • 下にスクロールし、［Thumbprint］をクリックしてサムプリントを表示し、各サービスが適切な証明書を使用していることを確認します。

    
    図94：（英語のみ）［Thumbprint］をクリック

注：SQLへのWindows認証を使用している場合、DM証明書のインポートが使用できない場合があります。［Actions］で［Test Database Configuration］を実行して、オプションを有効にします。

• Server Configuration Toolを使用して、.netサービス証明書をアップデートします。
  • Core ServerサービスおよびCompatibility Serverサービスを停止します。
  • Server Configuration Toolを起動し、［Actions］メニュー アイテムから［Configure Certificates］を選択し、［Certificate Wizard］を開きます。

    
    図95：（英語のみ）［Configure Certificates］

  • ［Certificate Wizard Mode］画面で、［Advanced］ラジオ ボタンを選択してから、［Next］をクリックします。

    
    図96：（英語のみ）［Advanced］

  • ［Core Server SSL Certificate］画面で、［Select Certificate］ラジオ ボタンを選択し、［Next］をクリックします。

    
    図97：（英語のみ）［Select Certificate］

  • ［Select Core Server SSL Certificate］画面で、［Browse...］ボタンをクリックします。
  • 次に、［Browse For Certificate］画面で使用する証明書を選択し、［OK］をクリックします。
  • ［Select Core Server SSL Certificate］画面に戻ったら、［Next］をクリックします。

    
    図98：（英語のみ）証明書を選択して［Next］をクリック

  • メッセージ セキュリティ証明書の手順を繰り返します。
  • [Finish](完了)をクリックします。
• Dell Manager証明書をアップデートします。
  • ［Actions］メニュー アイテムから［Import DM Certificate］を選択します。

    
    図99：（英語のみ）［Import DM Certificate］

  • エクスポートされたPFXファイルを探し、［Open］ボタンをクリックします。

    
    図100：（英語のみ）エクスポートされたPFXファイルを開く

  • エクスポートしたPFXファイルにパスワードを入力し、［OK］ボタンをクリックします。

    
    図101：（英語のみ）パスワードの入力

  • Server Configuration Toolを閉じて、Core ServerサービスとCompatibility Serverサービスを開始します。

Dell Data Protection | Encryption 8.xの新規インストールまたはアップグレード中に、マスター インストーラーが原因で、Security Server用に生成された証明書で情報が不足する場合があります。不足する可能性のある情報には、署名サーバーのエイリアスがデフォルトの完全修飾ドメイン名(FQDN)を提供していない場合や、Security Serverにサーバー証明書がまったくない場合などが含まれますが、これらに限定されません。この記事では、この問題を回避する方法について説明します。

エラーメッセージ

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

対策

この問題を回避する際に、keytoolのみを使用しても、交換用証明書は正しく生成されません。交換用証明書を生成するには、次の手順を実行します。

1. 現在のSecurity Server cacertsファイルをDevice Serverからコピーされたcacertsファイルに置き換えます。
2. Security Serverサービスが実行されている場合は停止します。
3. \Program Files\...\Security Server\confフォルダーにあるcacertsファイルの名前をバックアップとして変更します。
4. cacertsファイルをDS\confフォルダーからSecurity Server\confフォルダーにコピーします。
5. コマンド プロンプトからkeytoolを実行し、cacertsファイルのエイリアスを見つけます。

6. キーストアのパスワードを入力します