HTTPの証明書ベースの認証の設定

HTTPを使用する際には、認証局(CA)が発行した証明書を使用する必要があります。 CA によって検証される必要があるため、自己署名証明書にすることはできません。

このタスクについて

重要: ターゲット・コレクターがコンソールまたはイベント・プロセッサーである場合は、 QRadar on Cloud (QRoC) ユーザーである場合は、 IBM サポートに連絡して、この証明書ベースの認証を構成するためのサポート Case をオープンしてください。

始める前に

PKCS12 HTTP で使用するためにインポートする前に、証明書の秘密鍵、エンドポイント証明書、および必要な中間証明書を含む PKCS12が必要です。 ルート CA はチェーンに含めることができますが、必須ではありません。

PKCS12 証明書ではなく秘密鍵と証明書がある場合は、以下のステップを実行して、それらを PKCS12 証明書に変換する必要があります。

  1. エンドポイント証明書の秘密鍵を見つけます。これは、PEM 形式の PKCS1 エンコードです。 このファイルの名前は certificate.keyです。 秘密鍵は、 BEGIN RSA PRIVATE KEY で始まり、 END RSA PRIVATE KEYで終わる必要があります。
    ヒント: 鍵が PEM 形式であるが、 BEGIN RSA PRIVATE KEYではなく BEGIN PRIVATE KEY ヘッダーで始まる場合は、 PKCS8 エンコードであるため、続行する前に PKCS1 エンコードに変換する必要があります。
  2. PEM 形式の証明書チェーンを見つけます。各証明書は以下の順序で chain.crt ファイルに追加されます。 エンドポイント証明書を最初に指定してから、必要に応じて 1 つ以上の中間証明書を指定する必要があります。
    重要: 証明書がルート CA によって直接発行される場合は、エンドポイント証明書のみを指定する必要があります。
  3. 以下のコマンドを実行して、 certificate.key ファイルと chain.crt ファイルを使用して PKCS12 証明書を作成します。
    openssl pkcs12 -export -out myserver.mycompany.net.p12 -inkey certificate.key -in chain.crt
  4. PKCS12 コンテナー内の秘密鍵を保護するためのエクスポート・パスワードを作成します。 パスワードは、証明書を QRadar 鍵ストアにインポートするために使用されます。
  5. 以下のコマンドを実行して、証明書の詳細を確認します。
    keytool -list -v -keystore myserver.mycompany.net.p12 -storetype PKCS12
これで PKCS12をインポートして HTTP で使用できるようになりました。