Graphics Agent for Windows Administrators' Guide
This content has been translated by a Machine Translation (MT) service without human intervention. HP Inc. is not liable for any inaccuracies.
Accurate translation requires detailed understanding and knowledge of both languages which cannot today be achieved automatically, therefore MT translations are likely to be imperfect. This MT service is provided by Microsoft®️ Translator. HP Inc. is not liable for any inaccuracies. The automated translation results are approximation of the original, and therefore should not be used with customer-facing materials. Translation quality and accuracy will vary, depending on the quality of the original text and on the choice of target language. Any reliance you place on the results is at your own risk.

カスタム証明書の作成とインストール

このセクションでは、HPのデフォルトの証明書を独自のカスタム証明書に置き換える方法について説明します。

注: これらの手順では OpenSSL を使用します

このセクションの手順では、OpenSSL を使用して、秘密キー、証明書署名要求、および証明書を作成します。OpenSSL を使用するには、Visual C++ 2008 Restributables と Win32 OpenSSL Light v1.0.2g+ をインストールします。

OpenSSL の詳細については、 OpenSSL のマニュアルを参照してください。

HPのデフォルトの証明書をカスタム証明書に置き換えるには:

  1. 必要な OpenSSL コンポーネントをシステムにインストール します。

  2. 内部ルート CA 証明書を作成します

  3. Anyware エージェントの秘密キーと証明書のペアを作成します

  4. 各デスクトップの証明書モードを構成します

  5. 内部ルート CA を Anyware クライアントにインストールします。

OpenSSL のインストール要件

Windows マシンに次のコンポーネントをインストールします。

  • Visual C++ 2008 再頒布可能パッケージ

  • Win32 OpenSSL v1.0.2g Light (またはそれ以降)。

    OpenSSL のインストール中にプロンプトが表示されたら、OpenSSL DLL を OpenSSL バイナリ ディレクトリにコピーします。たとえば、「 C:\OpenSSL-Win32\bin 」のように入力します。

注: 例では、デフォルトのインストール・ディレクトリーを使用しています

次の例では、デフォルトの OpenSSL インストールディレクトリ C:\OpenSSL-Win32.

内部ルート CA 証明書の作成

このセクションでは、ルート CA 秘密キーを作成する方法、このキーを使用して内部ルート CA 証明書に自己署名および生成する方法、および証明書の使用方法を制限する X.509 v3 拡張機能を証明書に追加する方法について説明します。

ルート CA 秘密キーの作成

ルート CA 秘密キーを RSA 形式で作成するには、次のようにします。

  1. コマンドプロンプトを開き、OpenSSLバイナリディレクトリ()c:\OpenSSL-Win32\binに移動します。

  2. 入力openssl して押し Enter 、OpenSSLを起動します。

    注: OpenSSL で .cfg ファイルを見つけるのにヘルプが必要な場合があります

    次のエラーが表示された場合は、続行する前に OPENSSL_CONF 変数を設定する 必要があります。

    WARNING: can’t open config file: /usr/local/ssl/openssl.cnf

  3. rootCA.key という名前の 3072 ビットのルート RSA キーを作成するには、次のいずれかのコマンドを使用します。

    • セキュリティで保護されていないキーの場合は、次のように入力します。

      genrsa -out rootCA.key 3072

    • パスワードで保護されたキーの場合は、-des3 引数を追加します。

      genrsa -out rootCA.key -des3 3072

    パスワードで保護されたキーでは、使用するたびにパスワードを入力する必要があります。

注意: 秘密ルート鍵は安全な場所に保管してください

秘密ルート キーにアクセスできるユーザーは、それを使用して、PCoIP クライアントが受け入れる証明書を生成できます。

OPENSSL_CONF変数の設定

OpenSSL が構成ファイルを見つけられない場合は、OPENSSL_CONF 変数を設定する必要があります。

OPENSSL_CONF 変数を設定するには、次のようにします。

  1. OpenSSL を終了します。

  2. 次のコマンドを入力します。

    set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg

  3. と入力し ssl て押し Enter 、エラーが表示されたときに実行していた手順を続行します。

自己署名と内部ルート CA 証明書の作成

秘密キーを取得したので、それを使用して、1095 日間有効な rootCA.pem という自己署名 X.509 ルート CA 証明書を生成します(1095 日はうるう日を無視して 3 年です)。

ルート CA 証明書を作成するには、次の手順を実行します。

  1. 次のコマンドを入力します。この例では、3 年間 (1095 日) 有効な証明書を作成します。パラメーターを変更して -days 、証明書の有効期間をカスタマイズします。

    req -x509 -new -nodes -key rootCA.key -days 1095 -out rootCA.pem

    対話型スクリプトが実行され、いくつかのフィールドに値を入力するように求められます。

  2. プロンプトに従って、フィールド値を入力します。

    フィールド ノート
    国名 オプション。ISO 3166-1 alpha-2 国コードのいずれかを使用します。
    都道府県名 オプション
    地域名 オプション
    組織名 オプション
    共通名 必須です。ルート CA の名前を入力します (例: certificates.mycompany.com)
    メールアドレス オプション。このフィールドを使用する場合は、管理者エイリアスの電子メールを入力します。

注: フィールド値はテンプレート化できます

多数の証明書を作成する場合は、グローバル フィールド値を含む構成ファイルの使用を検討してください。詳細については 、「http://www.openssl.org/docs 」を参照してください。

Anyware Agent の秘密キーと証明書の作成

Anyware Agent インスタンスごとに、次の 3 つの項目を作成します。

  • 秘密鍵ファイル

  • 証明書署名要求 (CSR)

  • 証明書

また、ワークステーション証明書を生成するときに入力として使用される X.509 v3 拡張ファイルも必要です。

注: 秘密鍵は 2 種類あります

ここで作成した秘密キーは、Anyware Agent がデータを復号化するために使用されます。これは、内部ルート CA 秘密キーとは異なります。

X.509 Version 3 拡張ファイルの作成

X.509 Version 3 拡張機能は、証明書の使用方法を制限します。

X.509 v3 拡張ファイルを作成するには、次のようにします。

  1. テキストエディタを使用して、新しいファイルを開き、次のテキストを貼り付けます。

    authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:TRUE
keyUsage=digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName=email:test@mycompany.com

  2. ファイルを拡張子 .ext v3.ext(例: ) で保存します。

  3. ファイルを C:\OpenSSL-Win32\bin directory.

注: X.509 v3 拡張機能の詳細

X.509 v3 証明書拡張機能の詳細については、「 https://www.openssl.org/docs/apps/x509v3_config.html」を参照してください。

秘密キーと証明書の作成

Anyware Agent の秘密鍵、証明書署名要求、および証明書を作成するには:

  1. ディレクトリから C:\OpenSSL-Win32\bin openssl を起動します

  2. 3072 ビットの秘密鍵を RSA 形式で作成します。

    genrsa -out pcoipprivate.pem 3072

    このコマンドは、現在のディレクトリに pcoipprivate.pem ファイルを作成します。

  3. 証明書署名要求を作成します。

    req -new -key pcoipprivate.pem -out pcoip_req.csr

    このコマンドは、証明書メタデータの入力を求める対話型スクリプトを開始します。

    チャレンジパスワードと会社名の入力を求められる場合があります。

    [共通名] フィールドには、Anyware Agent がインストールされているmypcname.mydomain.localデスクトップの完全修飾ドメイン名 (FQDN) を指定する必要があります。同じドメイン内の複数のマシンで同じ証明書を使用する場合は、FQDN の最後の 2 つのセグメントを除くすべてのセグメントにワイルドカードを使用します。 *.mydomain.local

    終了すると、このコマンドは pcoip_req.csr 現在のディレクトリにファイルを作成します。

  4. X.509 v3 証明書に署名して作成します。この例では、1 年間 (365 日) 有効な証明書を作成します。証明書の有効期間をカスタマイズするには、パラメータを変更します-days

    x509 -req -outform PEM -in pcoip_req.csr -extfile v3.ext -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -sha256 -out pcoipcert.pem -days 365

    このコマンドは、現在のディレクトリに poipcert.pem ファイルを作成します。

    注意: セキュア ハッシュ アルゴリズムを使用する

    Windows 証明書マネージャーでは、MD4、MD5、SHA1 などの一部の古いハッシュ アルゴリズムの使用が廃止されました。証明書を作成するときは、SHA-384 または SHA-256 を使用します。

  5. PKCS#12 ファイルを作成して、Windows 証明書ストアにインポートします。パスワードに置き換え<password>てください。

    pkcs12 -export -in pcoipcert.pem -inkey pcoipprivate.pem -name PCoIP -out pcoipagent.p12 -password pass:<password>

    このコマンドは、 pcoipagent.p12 現在のディレクトリにファイルを作成します。

    注: -name パラメータは 'PCoIP' でなければなりません

    パラメーター値として-name指定PCoIPする必要があります。この値は、証明書のフレンドリ名を設定します。

  6. pcoipagent.p12rootCA.pem は、ネットワーク ストレージや USB キーなど、Anyware エージェントの管理ユーザーがアクセスできる場所に配置します。

Last updated: Thursday, September 5, 2024