SSL 証明書の構成

Secure Sockets Layer (SSL) 証明書により、BigFix WebUI サーバーと、サーバーにアクセスするすべてのユーザーの間のセキュア通信が可能になります。BigFix WebUI 用の SSL 証明書を構成するには、この手順を使用します。

自己署名 SSL 証明書の使用

WebUI は、BigFix Platform によって生成された自己署名証明書を使用します。これらの自己署名証明書は、(対応する CA 証明書がエンドポイントのトラステッド証明書ストアに追加されない限り) Web ブラウザーにより信頼されません。この設定で実行しているユーザーはこの画面が表示されても、次のメッセージを無視して安全にクリックして移動できます:

Verisign、Entrust、ZeroSSL などの認証局 (CA) によって正式に署名された SSL 証明書を購入することを検討してください。外部の CA を使用する場合、既知の公開 CA のルート証明書は、最新の Web ブラウザーにデフォルトでインポートされているという利点があります。

信頼された認証局からの SSL 証明書の使用

信頼された認証局 (CA) からの証明書をBigFix WebUIデプロイメントで使用するよう設定します。CA 署名済み証明書のプライベート・キーおよび証明書署名要求 (CSR) を生成するとき、プライベート・キーおよび証明書ファイルが以下の形式および構造を持っていることを確認します。

プライベート・キーのフォーマット

PEM エンコード形式で、パスワード保護機能なし。pvk フォーマットはサポートされていません。プライベート・キー (private.key) が以下の文で囲まれていることを確認します。

-----BEGIN PRIVATE KEY-----
<<base64 string from private.key>>
-----END PRIVATE KEY-----

X509 証明書のフォーマット

PEM エンコード形式。中間証明書とルート証明書を別々のファイルとして受け取った場合、これらすべてを 1 つのファイルに結合する必要があります。例えば、プライマリー証明書ファイル (certificate.crt) および中間証明書ファイル (ca_intermediate.crt) がある場合、以下に示すように最初にプライマリー証明書、次に中間証明書という順序でこれらを結合する必要があります。

中間証明書のほかにルート証明書 (ca_root.crt) も受け取った場合は、これらを以下のように結合します。

SSL 証明書のデプロイ

SSL 証明書を BigFix WebUI サーバーにデプロイする方法:

SSL プライベート・キーの名前を ssl.pvk に変更します。
SSL 証明書の名前を ssl.crt に変更します。

両方のファイルを WebUI サーバーの以下の場所にコピーします。

表 1. 証明書およびプライベート・キーを保管するための WebUI サーバー・ディレクトリー
オペレーティング・システム	WebUI サーバー	WebUI サーバー・ディレクトリー
Windows	BigFix ルート・サーバー	C:\Program Files (x86)\BigFix Enterprise\BES Server\WebUI
Windows	リモート・サーバー	C:\Program Files (x86)\BigFix Enterprise\BES WebUI\WebUI
Linux	BigFix ルート・サーバー	/var/opt/BES Server/WebUI
Linux	リモート・サーバー	/var/opt/BESWebUI/WebUI

WebUI マシンで、次のクライアント設定が追加されていることと、それらの値が手順 3 で指定したパスになっていることを確認します。
- _WebUIAppEnv_WEB_CERT_FILE
- _WebUIAppEnv_WEB_KEY_FILE
例: WebUI ディレクトリーが C:\Program Files (x86)\BigFix Enterprise\BES WebUI の場合:
- WEB_CERT_FILE の値は C:\Program Files (x86)\BigFix Enterprise\BES WebUI\ssl.crt。
- WEB_KEY_FILE の値は C:\Program Files (x86)\BigFix Enterprise\BES WebUI\ssl.pvk。
BES FillDB サービスを再起動します。