SEDR アプライアンスの証明書の作成とインストール

book

Article ID: 242412

calendar_today

Updated On:

Products

Endpoint Detection and Response

Issue/Introduction

Symantec Endpoint Detection and Response (SEDR) アプライアンスは、デフォルトでは管理コンソールの IP を使用して自己署名証明書を作成します。SEDR アプライアンスで使用するためのカスタム SSL 証明書が必要な場合は、以下の手順に従ってください。SEP クライアントおよび管理クライアントがアプライアンスの DNS 名への接続を信頼するためには、信頼できる機関によって署名された証明書をアプライアンスにインストールする必要があります。

Resolution

前提条件:

  • SEP 専用クラウド用の証明書を作成する場合、証明書は SHA2 を利用する必要があります。
  • 暗号化された秘密鍵は受け付けません。

注: SEDR 4.6 では Subject Alternative Name (サブジェクト代替名) の値が必要です。

CSR (Certificate Signing Request) を作成するための手順

注: 下記の CSR リクエストの作成手順は、どのような証明書タイプやリクエストにも対応するものであり、製品に依存するものではありません。

1. Linux 端末か Linux エミュレータ (Cygwin64 Terminalなど) のコマンドラインにログインします。SEDR アプライアンスを使用しないでください。 

2. "vi" コマンドを使用して CSR 用の設定ファイルを作成します。

vi sedr.conf

sedr.confの内容の例:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = US
ST = CA
L = City
O = YourOrganization
OU = YourOrganizationUnit
CN = sedr.example.com
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = sedr-5.example.test
DNS.2 = 10.10.10.101
DNS.3 = 55.55.55.155
DNS.4 = sedr2.example.net

<esc> :wq! を押してファイルを保存します。

注: CN フィールド (Common Name) は SEDR アプライアンスの完全修飾ドメイン名です。
注: ワイルドカード証明書の場合、Common Name は次のような形式である必要があります: *.mydomain.com
: 追加する必要のある DNS または IP 情報があれば追加します。

3. プロンプトで次のように入力します:

openssl req -newkey rsa:4096 -sha256 -nodes -keyout sedr.privkey.key -config sedr.conf -out sedr.csr

注: CSR の sedr.csr と 4096 ビットの秘密鍵の sedr.privkey.key の 2 つのファイルが生成されます。

4. CSR が生成されました。sedr.csr ファイルをテキストエディタで開き、認証局からの要求に応じて、その内容を登録フォームにコピー&ペーストしてください。
5. 証明書とすべての中間/ルート認証局を PEM 形式で受け取ったら [証明のパス] タブを確認し、チェーン内の各証明書を開く必要があります。


6. [詳細] タブで [ファイルにコピー] をクリックし Base-64 を選択します。


7. Notepad.exe などのテキストエディタで .CER ファイルを開き、次の順序で証明書を貼り付けて、BASE64 エンコード証明書チェーンを作成します。


-----BEGIN CERTIFICATE-----

(Primary SSL certificate: sedr.crt)

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

(Intermediate certificate: Intermediate CA.crt)

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

(Root certificate: ca.crt)

-----END CERTIFICATE-----

8.ファイルを sedr.crt として保存し、SEDR の Web インターフェイスから証明書をインストールします。


SEDR の自己署名証明書を作成する手順

1. Linux 端末か Linux エミュレータ (Cygwin64 Terminalなど) のコマンドラインにログインします。SEDR アプライアンスを使用しないでください。 

2. 上記の手順で sedr.csr ファイルを作成します。
3. サブジェクト代替名を指定するための拡張ファイルを作成します。

vi sedr.ext

subjectAltName = DNS:exmple.corp.net, IP:10.2.2.1

4. コマンドラインで次のように入力します:

openssl x509 -req -in sedr.csr -signkey sedr.privkey.key -days 3650 -sha256 -out sedr.crt -extfile sedr.ext

5. 必要な情報をすべて入力したら sedr.crt と sedr.private.key が作成されます。

SEDR の Web インターフェースに証明書と秘密鍵を追加する手順

1. SEDR Web コンソールににログインします。

2. [Settings] - [Global] をクリックし [SSL Certificate] までスクロールします。

3. [Edit Certificate] をクリックします。

4. [Browse] をクリックして sedr.crt をロードします。

5. [Browse] をクリックして、暗号化されていない秘密鍵の sedr.private.key をロードします。

6. [Upload] をクリックします。

7. これで証明書の FQDN が表示されるはずです。

8. 新しい証明書を Symantec Endpoint Protection Manager (SEPM) に配布するには、スクリーンショットに表示されている 3 つの点をクリックしてメニューを表示し [SEP Policies] を選択します。

9. アプライアンスの FQDN を入力します。

10. [Save] をクリックすると、新しい証明書が専用インサイトポリシーとして SEPM にプッシュされます。

注: SEP クライアントは SEPM にチェックインする際に新しい証明書を取得します。クライアントにより早く証明書を取得させるには、タスクトレイの SEP アイコンを右クリックして [ポリシーの更新] をクリックします。

Additional Information

サブジェクト代替名 (SAN) 値を追加する場合、DNS フィールドに IP アドレスを使用することはできません。[IP Address] フィールドを使用する必要があります。

正しい:

正しくない:

 

[英語文書] Create and install a certificate to the SEDR Management appliance