マルチドメイン (SAN) SSL 証明書署名要求の作成
手順
- SSH を使用して QRadar® コンソールにログインします。
-
以下の情報を含む sancert.conf 構成ファイルを作成して保存します。
[ req ] default_bits = 2048 # RSA key size encrypt_key = no # Protect private key default_md = sha256 # MD to use utf8 = yes # Input is UTF-8 string_mask = utf8only # Emit UTF-8 strings prompt = no # Prompt for DN distinguished_name = server_dn # DN template req_extensions = server_reqext # Desired extensions [ server_dn ] countryName = <country_or_region_code> # ISO 3166 stateOrProvinceName = <state_or_province> localityName = <city_or_locality> organizationName = <organization_name> organizationalUnitName = <organizational_unit_name> commonName = <common_name> # Should match a SAN under alt_names [ server_reqext ] basicConstraints = CA:FALSE keyUsage = critical,digitalSignature,keyEncipherment extendedKeyUsage = serverAuth subjectKeyIdentifier = hash subjectAltName = @alt_names [alt_names] DNS.1 = qradar.example.com #Example DNS.2 = console.example.com #Example IP.3 = 192.0.2.0 #Example
-
以下のコマンドを使用して、秘密鍵と公開証明書署名要求 (CSR) のペアを生成します。
openssl req -new -nodes -sha256 -out <csr_filename>.csr -config sancert.conf -keyout <privatekey_filename>.key
この CSR ファイルは、内部の CA または商用の認証局を使用して SSL 証明書を作成するために使用されます。鍵ファイルは現行ディレクトリーに作成されます。 このファイルは、証明書をインストールするときに使用するので、保持しておいてください。
-
CSR 内の情報を送信前に検証する場合は、以下のコマンドを入力します。
openssl req -noout -text -in <csr_filename>.csr
正しくない情報が入力された場合は、 sancert.conf 構成ファイルを更新し、前のステップを繰り返します。
- セキュア・ファイル転送プロトコルまたは他のプログラムを使用して、CSR ファイルをご使用のコンピューターに安全にコピーします。
-
署名のために、CSR を内部または商用の認証局に、それぞれの認証局の手順に従って送信します。
注: この CSR は Apache 形式の証明書として識別されます。