Sophos SafeGuard Enterprise 管理通信用SSL証明書の更新¶

管理型クライアントの構成パッケージを「SSL」にしている場合、IISで設定したSSL証明書の有効期限に
気を配る必要があります。

オフィシャルマニュアルの設定ガイド通りにIIS環境を作成した場合、Sophos Certificate Managerで
作成した証明書はデフォルトでは5年間で有効期限が切れます。この有効期限が切れてしまった場合、
Management Centerとの管理通信に支障が出る可能性が考えられます。

1. 証明書の更新¶

• 実行環境
  • SafeGuard Management Centerがインストールされている環境
• 必要なもの
  • IISに使用しているcer証明書ファイル
  • IISに使用している証明書のp12秘密鍵ファイル

• 以下はSGN付属ツールのみで証明書を更新する手順です。別途OpenSSLなどを使って更新してもかまいません。
1. スタートメニューから「Sophos」→「Sophos SafeGuard Enterprise」→「SafeGuard Certificate Manager」を起動します。
2. 左側のツリーから「MY」を選択します。
3. 「証明書のインポート」ボタンを押して、cerファイルをインポートします。
4. 「鍵ファイルのインポート」ボタンを押して、p12鍵ファイルをインポートします。
5. 「証明書ファイルを更新する」ボタンを押して証明書の期限を更新します。デフォルトでは5年先が設定されています。
   複数のクライアントバージョンが混在している場合、「SHA-256」は使用出来ないため「SHA-1」にする必要があります。
6. これをMCで「マスタセキュリティ担当者(MSO)」の証明書として登録し、「設定」からエクスポートすることで出力可能です。
7. エクスポートした後はMSO証明書を元のものに戻し、「SafeGuard Certificate Manager」上から削除します。

2. 証明書ファイルの展開¶

更新したcer証明書ファイルはSGNサーバおよびクライアント側にインポートする必要があります。
グループポリシーやMMCコンソールで下記パスに対してインポートを行います。

• 証明書
  • ローカルコンピュータの証明書
    • 信頼されたルート証明機関

3. IISでの証明書の切替¶

• 更新した証明書の登録
1. スタートメニューから「管理ツール」→「IISマネージャ」を選択します。
2. ツリーの先頭のコンピュータ名を選択します。
3. メニューから「証明書」を選択します。
4. 右側のメニューから「インポート」を実行します。
5. 拡張子を「*.pfx」から「*.*」に変更し、上記で更新したp12秘密鍵ファイルを選択します。
6. パスワードを入力してOKボタンを押します。

• サイトの証明書の切替
1. 左側のツリーから「Default Web Site」を選択します。
2. 右側のメニューから「バインド」を選択します。
3. 「HTTPS」の行を選択し、「編集」ボタンを押します。
4. 証明書のプルダウンから、先ほど登録した証明書を設定します。
5. 右側のメニューから「Webサイトの管理」以下の「再起動」でサイトを再起動します。

以上で管理通信用SSL証明書の更新作業は完了です。