IPCOM環境下のWEBサーバでセキュリティを強化するためには、IPCOMの証明書更新が不可欠です。しかし、証明書の更新プロセスは複雑で分かりにくいですよね。
この記事では、
- 今のIPCOMで証明書を使えるか確認したい
- IPCOMの証明書登録手順を知りたい
- IPCOMの証明書確認コマンドを知りたい
こんな方へ、IPCOMの証明書登録・更新のプロセスを説明します。
ウェブサイトのセキュリティを向上させましょう。
なぜIPCOMで証明書を使うのか?
クライアントとIPCOMの通信を暗号化するためです。
証明書はクライアントからのWEBアクセスを暗号化するときに使います。
httpではなくhttps通信というやつです。
IPCOMが無い環境の場合は、サーバに証明書を登録してクライアントとサーバの通信を暗号化します。
IPCOMが有る環境でも、サーバに証明書を登録してクライアントとサーバの通信を暗号化することはできます。
ではなぜ、IPCOMに証明書を登録するかというと、3つメリットがあります。
- サーバの負荷を軽減 ・・暗号化処理をIPCOMが肩代わりできる
- 証明書の節約 ・・IPCOMに1つ証明書を登録すれば、サーバが2台以上あっても暗号化できる
- 管理をIPCOMに一元化 ・・複数の証明書を扱う場合、IPCOMで暗号化していれば全ての証明書をIPCOMで管理できる
IPCOMで証明書を使えるか確認する方法
IPCOMで証明書を使うためには2つ必要です。
- 暗号カードが有る
- ライセンスが有る
暗号化カードが有るか確認するコマンド
show system status
ipcom# show system status
System status
Current-time: 2024/05/04(Sat)15:39:00
〜中略〜
HDD: PRESENT
Slot0: GT4
Slot1: GT4
Slot2: CPA
Slot3: CPA
Slot4: NO_PRESENT
この場合Slot2、Slot3に暗号カードAが刺さっている事が分かります。
暗号カードBの場合は「CPB」と表示されます。
暗号カードによって処理能力が異なるので覚えておきましょう。
- 暗号カードA1枚 ・・2000アクセス
- 暗号カードB1枚 ・・14000アクセス
アクティブスタンバイ構成の場合、必要な証明書は1つ?
IPCOMが冗長構成でも登録する証明書は1つ
IPCOMを冗長構成にした場合、アクティブスタンバイの2台になります。
証明書の設定自体は片方に設定しますが、同期のタイミングで両系に登録されます。
なので、IPCOMが2台の冗長構成でも必要な証明書は1つです。
IPCOMへ証明書を登録する方法
IPCOMへ証明書を登録するための3ステップはこちら
- 証明書申請データ(CSR)作成
- 認証局へ証明書申請データ(CSR)を送り、証明書を受け取る
- 証明書をIPCOMへ登録する
既に証明書がある場合は3から行ってください。
証明書申請データ(CSR)作成
証明書申請データ(CSR)作成コマンド
ipcom> admin
Password:ipcompass ←IPCOMのパスワードを入力する
ipcom# cert create csr 5 key-size 2048 subject C=JP/ST=Tokyo/L=Minato/O=Mizusibuki/OU=Blog/CN=mizusibuki.com/Email=mizusibuki@email.com
cert createコマンドには3つ指定を行います。
csrの内容
cert create csr 5 key-size 2048 subject C=JP/ST=Tokyo/L=Minato/O=Mizusibuki/OU=Blog/CN=mizusibuki.com/Email=mizusibuki@email.com
未使用の証明書番号を1〜256の番号で指定します。
では、未使用の証明書番号はどうやって確認すればいいのか。こちらのコマンドで確認ができます。
証明書一覧の確認コマンド
show cert certificate
証明書一覧の確認コマンド結果
ipcom# show cert certificate
[No 001]
Issuer: C=JP, O=Mizusibuki, CN=mizusibuki.com
Subject: C=JP, O=Mizusibuki, CN=mizusibuki.com
Validity: May 04 12:34:00 2020 GMT -> May 04 12:34:00 2024 GMT
[No 002]
Issuer: C=JP, O=Mizusibuki, CN=mizusibuki.com
Subject: C=JP, O=Mizusibuki, CN=mizusibuki.com
Validity: May 04 12:34:00 2020 GMT -> May 04 12:34:00 2024 GMT
[No 003]
Issuer: C=JP, O=Mizusibuki, CN=mizusibuki.com
Subject: C=JP, O=Mizusibuki, CN=mizusibuki.com
Validity: May 04 12:34:00 2020 GMT -> May 04 12:34:00 2024 GMT
NoXXXは既に設定済みの証明書番号です。
未使用の証明書番号はNo004になります。
なので証明書申請データ(CSR)作成コマンドでは「cert create csr 4〜」とするのが正しいです。
key-sizeの内容
cert create csr 5 key-size 2048 subject C=JP/ST=Tokyo/L=Minato/O=Mizusibuki/OU=Blog/CN=mizusibuki.com/Email=mizusibuki@email.com
key-sizeでは秘密鍵の長さをビット数で指定します。
指定できる値は5種類
- 512
- 768
- 1024
- 2048 ※推奨
- 4096
セキュリティに直結する値なので、特に決まりがない場合は2048以上にしましょう。
鍵長が長ければ長いほど、暗号文は解読しにくくなり安全になりますが、計算手順は増えるため暗号化・復号に時間がかかるようになります。 また、極端に短い鍵長の鍵を使用することはセキュリティ上好ましくなく、第三者に解読されてしまう恐れもあります。
GMOグローバルサインで用いているRSAは、公開鍵暗号の1つで、セキュリティ上の脆弱性の観点から、現在では基本的に鍵長2048bit以上のRSA鍵を使用するよう推奨されています。
GMOグローバルサインカレッジ
subjectの内容
cert create csr 5 key-size 2048 subject C=JP/ST=Tokyo/L=Minato/O=Mizusibuki/OU=Blog/CN=mizusibuki.com/Email=mizusibuki@email.com
申請者の情報を512 文字以内で記載します。
- C(国) ・・JP(日本)
- ST(都道府県)・・Tokyo(東京)
- L(市区町村) ・・Minato(港区)
- O(会社) ・・Mizusibuki(みずしぶき)
- OU(部署) ・・Blog(ブログ部)
- CN(ドメイン)・・mizusibuki.com
- Email(メール)・・mizusibuki@email.com
作成した証明書申請データ(CSR)※データはIPCOMのHDDへ作成されます。
req005.pem
リクエスト状態になったことを確認する
ipcom# show cert certificate all
〜略〜
[No 005]
Certificate Request:←RequestであればOK
Data:
〜略〜
証明書申請データ(CSR)をFTPでダウンロードする
ipcom#ftp 192.168.10.1 ←使用している環境のFTPサーバや直接接続しているPCのIPアドレスに変更してください。
Name (ipcom): ftpuser ←使用している環境のFTPサービスのユーザ名
331 Password required for ftpuser. Password:ftppassword ←使用している環境のFTPサービスのパスワード
ftp> put req005.pem ←作成した証明書申請データ(CSR)
ftp> quit
操作を保存する。※この操作を忘れると証明書の登録ができません。
ipcom# configure terminal
ipcom(config) # load running-config
ipcom(edit) # commit
認証局へ証明書申請データ(CSR)を送り、証明書を受け取る
自身で決めた認証局へ証明書申請データ(CSR)を送ります。
認証局選びは信頼性の高さや金額を基準に選びましょう。
外部サイト:SSLサーバー証明書の比較9選。おすすめや選び方を紹介
証明書をIPCOMへ登録する
認証局から受け取った証明書のファイル名を「cert.incom.pem」へ変更します。
証明書をFTPでアップロードする
ipcom#ftp 192.168.10.1 ←使用している環境のFTPサーバや直接接続しているPCのIPアドレスに変更してください。
Name (ipcom): ftpuser ←使用している環境のFTPサービスのユーザ名
331 Password required for ftpuser. Password:ftppassword ←使用している環境のFTPサービスのパスワード
ftp> get cert.incom.pem ←作成した証明書申請データ(CSR)
ftp> quit
証明書を登録。最後の数字は証明書申請データ(CSR)取得時の番号と合わせてください。
ipcom> admin
Password:ipcompass ←IPCOMのパスワードを入力する
ipcom# cert entry certificate 5
登録結果を確認する
ipcom# show cert certificate all
〜略〜
[No 005]
Certificate:←Requestが無ければOK
Data:
〜略〜
IPCOMの証明書を確認する方法
IPCOMの証明書確認コマンドは「show cert certificate all」です。
未登録
ipcom# show cert certificate all
〜略〜
[No 005]
Certificate Request:←CSR取得済みだが、証明書の登録は終わっていない
Data:
〜略〜
登録済み
ipcom# show cert certificate all
〜略〜
[No 005]
Certificate:←証明書登録済み
Data:
〜略〜
証明書の有効期限が切れたらどうなる?
証明書の期限が切れると、HTTPS接続自体は可能ですがブラウザで下記のような警告メッセージが表示されます。
https://www.waseda.jp/navi/security/2018/1026.html
まとめ
いかがでしたか、この記事では
- 今のIPCOMで証明書を使えるか確認したい
- IPCOMの証明書登録手順を知りたい
- IPCOMの証明書確認コマンドを知りたい
について説明しました。通常の設定コマンドより一癖ある証明書ですが1度覚えてしまえば怖くありません。SSLアクセラレーター機能を活用していきましょう。