PFX 形式から PEM 形式への証明書の変換
SSL証明書は、SSL負荷分散仮想サーバーおよびNetScaler Gateway 仮想サーバーに使用されます。PEM 証明書は Base64 でエンコードされた ASCII ファイルです。PEM 証明書はテキストエディタ/メモ帳で開くことができ、「—BEGIN CERTIFICATE—」および「—END CERTIFICATE—」ステートメントが含まれていることがわかります。
安全で信頼できるアクセスを行うには、NetScaler Gateway サーバーにSSLサーバー証明書をインストールする必要があります。アップロードされた証明書ファイルには、次の特性が必要です。
-
エンドユーザーによって信頼される証明機関 (CA) は、サーバー証明書を発行する必要があります。最良の結果を得るには、ベリサイン、Thawte、GeoTrust などの商用 CA を使用してください。
-
証明書は、プライバシー拡張メール (PEM) 形式である必要があります。PEM は、バイナリ識別符号化規則 (DER) 形式の Base64 エンコーディングであるテキストベースの形式です。
-
証明書ファイルには秘密キーが含まれている必要があり、秘密キーは暗号化してはいけません。PEM ファイルを使用するためにパスワードは必要ありません。
-
必要な中間証明書は、PEM ファイルの最後に追加する必要があります。
NetScaler Gateway ウィザードを使用してPFX証明書をPEM形式に変換するには、次の手順を実行します。
-
[ トラフィック管理] に移動し、[ SSL ] ノードを選択します。
-
[ PKCS #12 のインポート ] リンクをクリックします。
-
[ 出力ファイル名(Output File Name)] フィールドに、PEM 証明書のファイル名を指定します 。
-
[ 参照(Browse )] をクリックし、PEM 形式に変換する PFX 証明書を選択します。一部のユーザーは、証明書を /ncsonfig/SSL ディレクトリにアップロードし、そこからそれを使用することを好みます。PFX証明書がNetScaler Gateway に保存されている場合は 、[アプライアンス ]オプションを選択し、ワークステーションに保存されている場合はローカルを使用します。
-
インポートパスワードを指定します。
-
ファイルがエンコードされている場合は、エンコード形式として DES または 3DES を選択します。
-
[OK] をクリックします。
-
PEM パスフレーズと PEM パスフレーズの検証を指定します。
-
[ 証明書]/[キー]/[CSR の管理] リンクをクリックして 、変換された PEM 証明書ファイルを表示します。
-
アップロードされた PFX ファイルは、変換された PEM ファイルとともに表示できます。
-
SSL ノードを展開します。
-
[証明書] ノードを選択します。
-
[Install]をクリックします。
-
証明書のインストールウィザードで、証明書とキーのペア名を指定します 。
-
[証明書ファイル名] と [秘密キーファイル名] の両方の PEM ファイルを参照します。
-
パスワードを指定します。
-
[Install]をクリックします。
OpenSSL Utility
インターネットインフォメーションサービス (IIS) 証明書ウィザードを使用して Windows サーバーに証明書を要求してインストールした場合は、その証明書とその秘密キーを個人情報交換 (PFX) ファイルにエクスポートできます。この証明書をNetScaler Gateway にインポートするには、PFXファイルを暗号化されていないPEM形式に変換する必要があります。
オープンソースユーティリティOpenSSL
を使用して、PFX から PEM への変換を実行できます。Win32OpenSSL
からOpenSSL
のWin32ディストリビューションをダウンロードします。
また、OpenSSL
を使用したい場合は C++ の再配布可能ファイルが必要になる場合があります。Microsoft Visual C++ 2008 再頒布可能パッケージ (x86) からダウンロードしてください。
PFX ファイルを PEM ファイルに変換するには、Windows マシンで次の手順を実行します。
-
Win32
OpenSSL
からWin32OpenSSL
パッケージをダウンロードしてインストールします。 -
フォルダ c:\certs を作成し、ファイル yourcert.pfx を c:\certs フォルダにコピーします。
-
コマンドプロンプトを開き、
OpenSSL
\ bin ディレクトリに移動します。cd %homedrive%\OpenSSL\bin
-
次のコマンドを実行して、PFX ファイルを暗号化されていない PEM ファイルに変換します(すべて一行で)。
OpenSSL
pkcs12-in c:\certs\yourcert.pfx-out c:\certs\cag.pem —nodes -
インポートパスワードの入力を求められたら、証明書を PFX ファイルにエクスポートするときに使用したパスワードを入力します。MAC 検証済み OK というメッセージを受信する必要があります。
-
ブラウザーでNetScaler Gateway 管理ポータルまたはHTTPSポート9001:
https://netscaler-gateway-server:9001
を参照します。 -
root としてログオンします。デフォルトのパスワードは
rootadmin
です。 -
ページの上部にある [ メンテナンス ] リンクをクリックします。
-
「 秘密キー+証明書のアップロード (.pem) 」フィールドの横にある「 参照 」ボタンをクリックします。c:\certs\cag.pem ファイルを参照し、[ アップロード] をクリックします。
-
NetScaler Gateway を再起動して、新しいSSL証明書を適用します。