IBM Endpoint Manager バージョン 9.0

新規証明書への移行

既存の証明書の有効期限が近づいた場合、新規証明書を作成し、関連するエンドポイントに配布できます。これにより、それらのエンドポイントは引き続きブローカーを使用してリモート・コントロール・セッションを正常に確立できます。

新規証明書への移行は、主に、ユーザーが自己署名証明書を使用していて、trc.properties ファイルで broker.trusted.certs.required プロパティーを有効にしている場合に必要になります。署名証明書について詳しくは、自己署名証明書による厳密な確認の使用を参照してください。

CA が署名した証明書を使用している場合には、サーバー・トラストストアにはルート証明書のみが必要です。ルート証明書は一般的に非常に有効期間が長く、本書執筆時点で一般的な現行 CA 証明書は 10 年または 20 年経過するまで有効期限は切れません。これらの CA によって署名された SSL 証明書は、通常 1 年で有効期限が切れます。ただし、更新する必要があるのはブローカーにある SSL 証明書のみです。ブローカー用の新規 SSL 証明書が、同一の CA、またはルート証明書が既にサーバー上のトラストストアにあって、すべてのエンドポイントに渡されている CA によって発行されている限り、どのエンドポイントのトラストストアも更新する必要がありません。

新規自己署名証明書を作成し、ブローカーにインストールする前にすべてのエンドポイントに配布してください。新規証明書に移行するには、以下のステップを実行します。

古い証明書が失効する前に新規証明書を生成します。詳細については、自己署名証明書の作成を参照してください。これを行う時期は、エンドポイントを新規証明書で更新するためにどの程度の期間が必要と判断されるかによって異なります。満了日付の直前まで、古い証明書でブローカーを実行させてください。
サーバー上のトラストストアに新規証明書を追加します。詳細については、トラストストアへの証明書の追加を参照してください。
- イントラネットの内部からホームを呼び出す対象は、自動的にサーバーから新規証明書を受信して、トラストストアを更新します。
- ブローカーを介して正常にセッションを開始する対象でも、自動的にトラストストアが更新されます。古い証明書でブローカーの実行を続ける必要があるのは、このためです。対象はまだ新規証明書を信頼していないため、ブローカーを介してセッションを開始することはできません。
古い証明書が有効期限切れになる直前に新規証明書をブローカーにインストールします。ブローカーでの鍵ストアの構成を参照してください。
古い証明書が有効期限切れになった後で、それをトラストストアから削除します。

トラストストアの更新が行われたすべての対象は、古い証明書が有効期限切れになっても、引き続きブローカーを使用してリモート・コントロール・セッションを確立することができます。

フィードバック