手順1: 独自の CA を使用した新しい証明書の発行方法
新しい下位認証局証明書を発行するために実行する特定の処理は環境によって異なります。
オプション A:ネットワーク経由で CA にアクセスできる場合
- Security Controls を閉じます。
- ローカルのシステム設備を使用して、ご使用の CA から新しい証明書を発行します。
証明書がすべての要件を満たしていることを確認します。 - 新しい証明書をコンソール コンピュータの中間認証局ストアに保存します。
- コンソールで、管理者コマンド プロンプト ウィンドウを開き、Security Controls のインストール ディレクトリに変更します。
既定のインストール ディレクトリ: C:\Program Files\Ivanti\Security Controls - STMgmt コマンドライン ツールを使用して、select_subauthority -thumbprint <thumbprint> コマンドを発行し、新しい証明書が下位認証局証明書として機能することを指定します。
- 新しい証明書のサムプリントを、メモ帳などのアプリケーションにコピーします。
- スペースと特殊文字を削除します。
- ANSI エンコード形式でファイルを保存します。
- メモ帳ファイル内のサムプリント文字を select_subauthority コマンドに貼り付けます。
- 30日間待機してから新しい証明書を確定するかどうかについては、「システム経由で証明書を有効にする」をご参照ください。
例: stmgmt.exe -select_subauthority -thumbprint 3e656d7ca744c131c2daba3e4fb4e8731784824e
必ず -thumbprint 引数を含めます。これは Security Controls に対して、下位認証局証明書として証明書を使用することを指示します。 サムプリントを取得する方法:
STMgmt の使用については、コンソール コンピュータの管理者コマンドプロンプトで次のコマンドを入力してください。
C:\Program Files\Ivanti\Security Controls>stmgmt
オプション B:CA がネットワーク経由でアクセスできない場合 (CA がオフラインかオフライン ネットワークにある場合)
- コンソールで、管理者コマンド プロンプト ウィンドウを開き、Security Controls のインストール ディレクトリに移動します。
既定のインストール ディレクトリは C:\Program Files\Ivanti\Security Controls です。 - STMgmt コマンドライン ツールを使用して、request_subauthority -of <requestfile> コマンドを発行し、下位認証局証明書要求を作成します。
- ファイルを CA に転送します。
- CA に新しい下位認証局証明書を発行してもらい、ファイルに保存します。
証明書がすべての要件を満たしていることを確認します。 - ファイルをコンソール コンピュータに転送し、ローカル ディレクトリに保存します。
- STMgmt コマンドライン ツールを使用して、accept_subauthority -if <issuedcert> コマンドを発行します。
- 信頼できる CA から生成された新しい証明書を受け入れます
- これをコンソールの秘密鍵にバインドします
- Security Controls が証明書をサブ機関証明書として使用することを指定します
- 新しい証明書のインストールを管理します
- 30日間待機してから新しい証明書を確定するかどうかについては、「システム経由で証明書を有効にする」をご参照ください。
例: stmgmt.exe -request_subauthority -of samplerequestfilename.req
これは、新しい Security Controls 下位認証局証明書を発行する要求です。 CA が証明書を発行し、ファイルに保存するために必要なすべての情報を作成します。 このファイルは、バイナリ形式の PKCS10証明書要求であり、CA で証明書を生成するために使用されます。 お使いの CA によっては、このファイルを Base64エンコードに変換することが必要になる場合があります。
例: stmgmt.exe -accept_subauthority -if sampleresponsefilename.cer
このコマンドは複数の処理を実行します。 次の処理を実行します。