Access Manager 3.2/4.0 の証明書の有効期限の確認と更新手順について 1. Access Manager 証明書の有効期限について Access Manager 3.2 および 4.0 ( 以下 Access Manager) のサーバ証明書については下記の期限があり 製品仕様に基づき定期的に更新 (2 年間延長 ) する必要がございます 新規環境構築時 10 年 ただし Admin Console(Secondery) の SSL CertificateDNS 証明書については 2 年 移行環境構築時移行前環境と同じ ( 証明書が引き継がれるため ) Access Manager サーバ証明書が有効期限切れとなった場合 Access Manager が正常に 動作しなくなる事象が確認されていますので 以下 Access Manager 証明書の更新手順 に従い証明書を更新してください 1.1. 証明書の有効期限切れにより発生する主な事象 Access Manager のサービスが停止する Identity Server や Access Gateway の Status が Pending となり Health が Server is not reporting となる Admin Console との接続が不可となる 1.2. Access Manager サーバ証明書の種類 Access Manager サーバ証明書には 以下の3 種類があります SSL CertificateDNS 証明書 Admin Console が設定情報格納先となるコンフィグストア (edirectory) との LDAPS 通信を行う際に用いられる証明書です Admin Console 固有であり 個々の Admin Console で管理します コンフィグストア上のオブジェクト名は SSL CertificateDNS - < サーバ名 > です JCC 証明書 Access Manager 各デバイスから Admin Console への SSL 通信に用いられる証明書です 各 Admin Console の間で共通の証明書を使用します コンフィグストア上のオブジェクト名は devman - < サーバ名 > です 内部 SSL 証明書主に Access Manager 各デバイス間のフェデレーション通信用にデフォルトとして用いられる証明書です test-connector test-signing test-encryption test-consumer test-provider test-stunnel の 6 種類があります Admin Console (Primary) で管理します コンフィグストア上のオブジェクト名は < 内部 SSL 証明書名 > - < サーバ名 > です
2. Access Manager 証明書の有効期限確認手順 2.1. imanager による確認方法 Access Manager 証明書情報は Admin Console のコンフィグストアに保存されています 期限の確認は imanager(web ブラウザ ) によって Admin Console にログインし コンフィグストア内容を参照することで行います このときログイン先となる Admin Console の SSL CertificateDNS 証明書が期限切れとなっていないことが必要です (SSL CertificateDNS 証明書が期限切れであると Admin Console にログイン画面において ID パスワードを繰り返し入力が求められ ログインができない状態となります ) その場合には SSL CertificateDNS 証明書が期限切れとなっていない別の Admin Console にログインして確認するか もしくは 4. SSL CertificateDNS 証明書の更新 の手順に基づき SSL CertificateDNS 証明書の更新を行ってください 1 imanager から確認対象の Admin Console に管理者ユーザでログインします https://<admin Console DNS ホスト名 >:8443/nps 2 役割及びタスク Novell 証明書アクセス (Access Manager 4.0 以降の表 記は NetIQ 証明書アクセス ) サーバ証明書 と順に進みます 2
3 右側ペインにサーバ証明書一覧が表示されますので そこで確認対象となる証明書 に相当するニックネーム ( SSL CertificateDNS devman test-connector な ど ) を選択します 4 証明書の詳細 が開きますので そこで 有効期限 を確認します 2 の画面では 画面上の虫眼鏡アイコンをクリックすると 確認対象の Admin Console を切り替えることが可能です Admin Console が複数台ある場合にはこち らを利用して 他の Admin Console についても確認してください 3
2.2. コマンドによる確認方法 Access Manager 証明書の期限は ターミナルでのコマンド実行により確認することが可能です JCC 証明書 Admin Console 上のターミナルで実行します # cd /opt/novell/java/bin #./keytool -v -list -keystore /var/opt/novell/novlwww/devman.keystore 上記コマンドを実行するとパスワードの入力を求められますが 単に Enter を入力します ( 実行例 ) 4
内部 SSL 証明書 IDS サーバ上または Access Gateway 上のターミナルで実行します # cd /opt/novell/java/bin #./keytool -v -list -keystore <keystore ファイル名 > 内部 SSL 証明書 keystore ファイル名 (IDS サーバ ) test-connector /opt/novell/devman/jcc/certs/idp/connector.keystore test-signing /opt/novell/devman/jcc/certs/idp/signing.keystore test-encryption /opt/novell/devman/jcc/certs/idp/encryption.keystore test-consumer /opt/novell/devman/jcc/certs/idp/consumer.keystore test-provider /opt/novell/devman/jcc/certs/idp/provider.keystore Access Gateway サーバの場合はパスが異なります /opt/novell/devman/jcc/certs/esp/< 英数字 16 桁 ( デバイス ID)>/connector.keystore SSL CertificateDNS 証明書 Admin Console 上のターミナルで実行します # openssl x509 -in /var/opt/novell/edirectory/data/dib/certserv/kmocache/ <32 桁の文字列 >.pem -noout -text grep Not ( 実行例 ) 5
3. Access Manager 証明書の更新手順 3.1. Admin Console (Primary) サーバ SSL CertificateDNS 証明書 JCC 証明書 内部 SSL 証明書の更新を行います この手 順による証明書の更新は 証明書の期限切れの 30 日前から実施可能となります 1 imanager より Admin Console (Primary) に管理者ユーザでログインします https://<admin Console(Primary) DNS ホスト名 >:8443/nps Admin Console (Primary) の SSL CertificateDNS 証明書 JCC 証明書 内部 SSL 証明書は imanager から管理者ユーザで Admin Console にログインすることで更新されます しかし すでに証明書の期限切れとなった後に更新する場合には SSL CertificateDNS 証明書が期限切れであることで imanager からのログインができません (ID およびパスワードの入力が繰り返し求められます ) その場合にはコマンド入力による SSL CertificateDNS 証明書の更新を先に行ってから再度ログインしてください 手順は 4. SSL CertificateDNS 証明書の更新手順 をご参照ください 2 imanager より Access Manager 各デバイスを選択 Update を実施し 内部 SSL 証 明書内容を各デバイスに反映させます 3 edirectory サービスを再起動し 更新した SSL CertificateDNS 証明書内容をサービスに反映させます ( 4. SSL CertificateDNS 証明書の更新手順 で再起動を実施した場合は不要 ) 以下のコマンドを実施してください # /etc/init.d/ndsd restart 4 Admin Console サービスを再起動し 更新した JCC 証明書内容をサービスに反映さ せます 以下のコマンドを実施してください # /etc/init.d/novell-ac restart 3.2. Admin Console (Secondery) サーバ SSL CertificateDNS 証明書 JCC 証明書の更新を行います 1 コマンド入力による SSL CertificateDNS 証明書の更新を行います Admin Console (Secondery) の JCC 証明書は imanager から管理者ユーザにてログインすることで更新されますが SSL CertificateDNS 証明書は更新されないため コマンド入力による更新が必要です 手順は 4. SSL CertificateDNS 証明書の更新手順 6
をご参照ください 2 imanager より Admin Console (Secondery) に管理者ユーザでログインします https://<admin Console(Secondery) DNS ホスト名 >:8443/nps 3 Admin Console サービスを再起動し 更新した JCC 証明書内容をサービスに反映さ せます 以下のコマンドを実施してください # /etc/init.d/novell-ac restart 3.3. IDS サーバ サービスを再起動し 配布された内部 SSL 証明書内容を反映させます すべての IDS サ ーバにおいて以下のコマンドを実施してください # /etc/init.d/novell-idp restart # /etc/init.d/novell-jcc restart 3.4. Access Gateway サーバ サービスを再起動し 配布された内部 SSL 証明書内容を反映させます すべての Access Gateway サーバにおいて以下のコマンドを実施してください # /etc/init.d/novell-appliance restart 7
4. SSL CertificateDNS 証明書の更新手順 下記手順で実施します ただし 期限まで 60 日以上ある場合は更新されません 1 Admin Console サーバのターミナルを開きます 2 以下のコマンドを実行します # /opt/novell/edirectory/bin/ndsconfig add -m sas 3 Enter admin name with context[admin.org]: というメッセージが表示されます admin.novell と入力し Enter を押します [1] Instance at /etc/opt/novell/edirectory/conf/nds.conf: ids2.o=novell.ids1_tree Enter admin name with context [admin.org]:admin.novell 4 Enter the password for admin.novell: というメッセージが表示されます ご使用のパスワードを入力し Enter を押します 5 Enter server context[org]: というメッセージが表示されます novell と入力し Enter を押します 6 以下のようなメッセージが表示され SSL CertificateDNS 証明書の有効期限が更新されます Configuring Novell edirectory server with following parameters Admin name = admin.novell Tree name = IDS1_TREE Server Context = novell Module name = sas DIB location = /var/opt/novell/edirectory/data/dib Searching for the Tree "IDS1_TREE" in the network. Please wait... Configuring SAS service... Done Associating certificate with the NCP server object... INFO: Server is already associated with a certificate. 7 edirectory サービスを再起動し 更新した SSL CertificateDNS 証明書内容をサービ スに反映させます # /etc/init.d/ndsd restart 以上 8