暗号化証明書このページ上暗号化キーは証明書を使用することで適切に管理できます。エンジン サービスを実行しているユーザーについては、証明書を証明書ストアに保存する必要があります。[User accounts] (ユーザー アカウント) をご確認ください。 Show
暗号化証明書は、暗号化キーを囲むシェルとして機能します。証明書の有効期限が切れていてもキーを取得できるため、有効期限が切れた暗号化証明書を更新する必要はありません。 暗号化キー暗号化ソリューションで使用されるキーの種類は 2 つあります。
データの暗号化キーデータ暗号化キー (DEK) は、データを AES-256 で暗号化するために自動生成されるキーです。暗号化するオブジェクトごとに新しいキーが生成されます。 キーの暗号化キーキーの暗号化キー (KEK) は、データの暗号化キーのセキュアな非対称暗号化に使用する秘密鍵と公開鍵のペアです。公開鍵はデータの暗号化に使用され、秘密鍵は公開鍵で暗号化されたデータの復号に使用されます。 情報メモ対応しているのは、RSA アルゴリズムを使用したキーのみです。 キーの暗号化に使用されるキーは、Qlik Management Console (QMC) の [Service cluster] (サービス クラスター) リソース内の [Data encryption] (データの暗号化) セクションで指定されています。サービス クラスター をご確認ください。 暗号化証明書の要件:
データの暗号化の使用これは、Qlik Sense においてデータの暗号化機能を使用する際の一般的なワークフローです。
警告メモ証明書を必ずバックアップしてください。証明書を紛失すると、暗号化されたアプリを開けなくなる可能性があります。必要な間、証明書のバックアップを安全に保管するのはお客様の責任です。 QlikView と共有する、QVD ファイルの暗号化QlikView と Qlik Sense Enterprise on Windows の両方で使用する QVD ファイルがある場合は、両製品で同じサムプリントが定義されていることを確認します。 暗号化の有効化とキーの指定Qlik associative engine は、QMC の暗号化キーのサムプリントを定義することで構成されます。証明書の [Thumbprint] (サムプリント) フィールドの値をコピーして、QMC の [Encryption key] (暗号化キー) フィールドに貼り付けます。 情報メモエンジン サービスを実行しているユーザーについては、証明書を証明書ストアに保存する必要があります。 次の手順を実行します。
Qlik Sense Enterprise on Windows は、スペースなしの 40 桁の 16 進文字列形式のSecure Hash Algorithm 1 (SHA-1) サムプリントを受け入れます。 証明書のサムプリントに 56 38 88 bb 6a ea 55 eb 0d 33 d9 d8 b9 09 e0 d2 ef 26 ff bd のようにスペースが含まれている場合は、次のように [暗号化キー] 項目に入力します: 563888bb6aea55eb0d33d9d8b909e0d2ef26ffbd 情報メモ組織にキー ローテーション ポリシーがある場合は、キーが変更されたときに サムプリントの定義を更新する必要があります。 すべての QVF および QVD が新しい鍵で保存されるまで、古い鍵を含む証明書をサーバーに保管してください。 暗号化証明書の管理証明書を管理するためのツールは数多くありますが、このドキュメントでは、Windows PowerShell と Microsoft 管理コンソールを使用した証明書の作成と配布に焦点を当てます。 他のツールを使用する場合は、次の要件を満たす必要があります。
Windows PowerShell を使用した暗号化証明書の作成認証局 (CA) によって発行された証明書を使用する必要はありません。独自の自己署名証明書を発行して署名することもできます。作成する暗号化証明書は、エンジン サービスを実行しているユーザーの証明書ストアに保存する必要があります。 新しい暗号化証明書を作成するには、New-SelfSignedCertificate コマンドレットを使用して自己署名証明書を作成します。 構文: Windows Server 2016 以降 PS C:\Users\johndoe.ACME> New-SelfSignedCertificate -Subject <Certifcate name> -KeyAlgorithm RSA -KeyLength <Key length, e.g.4096> -Provider "Microsoft Software Key Storage Provider" -KeyExportPolicy ExportableEncrypted -CertStoreLocation "cert:\CurrentUser\My" 構文: Windows Server 2012 R2 PS C:\Users\johndoe.ACME> New-SelfSignedCertificate -DnsName <Certifcate name> -CertStoreLocation "cert:\CurrentUser\My" New-SelfSignedCertificate コマンドレット パラメーター Windows Server 2016 以降PowerShell for Windows Server 2016 以降を使用して証明書を作成する際には、少なくとも次のパラメータを定義する必要があります。 -Subject新しい証明書のサブジェクトに表示される文字列を指定します。このコマンドレットは、等号を含まない値の前に CN= を付けます。複数のサブジェクト相対識別名 (RDN としても知られる) の場合は、各サブジェクト相対識別名をコンマ (,) で区切ります。相対識別名の値にコンマが含まれる場合は、各サブジェクト相対識別名をセミコロン (;) で区切ります。 -Subject <証明書名> -KeyAlgorithm新しい証明書に関連付けられた非対称キーを作成するアルゴリズムの名前を指定します。RSA でなければなりません。 -KeyAlgorithm RSA -KeyLength新しい証明書に関連付けられたキーの長さをビット単位で指定します。 -KeyLength <キーの長さ、たとえば 4096> -Providerこのコマンドレットが証明書の作成に使用する KSP または CSP の名前を指定します。Microsoft Software Key Storage Provider である必要があります。 -Provider "Microsoft Software Key Storage Provider" -KeyExportPolicy証明書に関連付けられている秘密キーのエクスポートを管理するポリシーを指定します。このパラメータに指定できる値は次のとおりです:
-KeyExportPolicy ExportableEncrypted -CertStoreLocation新しい証明書を格納する証明書ストアを指定します。現在のパスが Cert:\CurrentUser または Cert:\CurrentUser\My の場合、既定のストアは Cert:\CurrentUser\My です。それ以外の場合は、このパラメータに Cert:\CurrentUser\My を指定する必要があります。 -CertStoreLocation "cert:\CurrentUser\My" New-SelfSignedCertificate コマンドレット パラメーター Windows Server 2012 R2PowerShell for Windows Server 2012 R2 を使用して証明書を作成する際には、少なくとも次のパラメータを定義する必要があります。 -DnsName証明書の件名代替名の拡張に 1 つ以上の文字列を入力するように指定します。最初の DNS 名も、件名と発行者名として保存されます。 -DnsName <証明書名> -CertStoreLocation新しい証明書を格納する証明書ストアを指定します。現在のパスが Cert:\CurrentUser または Cert:\CurrentUser\My の場合、既定のストアは Cert:\CurrentUser\My です。それ以外の場合は、このパラメータに Cert:\CurrentUser\My を指定する必要があります。 -CertStoreLocation "cert:\CurrentUser\My" New-SelfSignedCertificate の既定 Windows Server 2012 R2次の既定は、Windows Server 2012 R2 の New-SelfSignedCertificate コマンドレットに適用されます。
例: PowerShell for Windows Server 2016 以降を使用したデータ暗号化の証明書の作成この例では、test というユーザーが、サブジェクトが MyTestCert で、キーの長さが 4096 ビットの、自己署名付きのエクスポート可能な暗号化証明書を作成しています。証明書は Cert:\CurrentUser\My に保存されます。 Microsoft PowerShell で次のコマンドを入力します。
既定では、[NotAfter] パラメータが定義されていない場合、証明書は 1 年後に失効します。この例では、証明書は 3 年後に失効します:
結果: 証明書が作成されると、Microsoft PowerShell に次のように表示されます: PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\My Thumbprint Subject ---------- ------- 563888BB6AEA55EB0D33D9D8B909E0D2EF26FFBD CN=MyTestCert Windows PowerShell を使用した暗号化証明書のエクスポート暗号化証明書をエクスポートするには、Export-PfxCertificate コマンドレットを使用します。 構文: PS C:\Users\johndoe.ACME> Export-PfxCertificate -cert cert:\currentuser\My\<certificate thumbprint> -FilePath <FileName>.pfx -Password <Password or variable> Export-PfxCertificate コマンドレット パラメータ証明書をエクスポートする際には、少なくとも次のパラメータを定義する必要があります。 -certエクスポートする証明書へのパスを指定します。 -cert cert:\currentuser\My\<証明書のサムプリント> -FilePathエクスポートする PFX ファイルのパスを指定します。 -FilePath <ファイル名>.pfx -Passwordエクスポートした PFX ファイルを保護するために使用するパスワードを指定します。パスワードは安全な文字列の形式にする必要があります。このパラメータを指定しないと、エラーが表示されます。 -Password <パスワードまたは変数> 例: データ暗号化証明書のエクスポートこの例では、test という名前のユーザーが、以前に作成した暗号化証明書を PFX ファイルにエクスポートします。
結果: 証明書がエクスポートされると、Microsoft PowerShell に次のように表示されます: Directory: C:\Users\test Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 11/20/2019 11:21 4294 MyTestCert.pfx Microsoft 管理コンソールを使用した暗号化証明書のバックアップ証明書のバックアップは常に作成しておく必要があります。証明書がサーバーから失われた場合、またはハードディスクに障害が発生した場合は、暗号化されたアプリを開くことができない場合があります。必要な間、証明書のバックアップを安全に保持するのは、ユーザーの責任です。 証明書のバックアップ時のエクスポートと同じ手順を使用できます。Windows PowerShell を使用した暗号化証明書のエクスポート を参照してください。 暗号化証明書のバックアップには、Microsoft 管理コンソールを使用する方法もあります。次の例は、Microsoft 管理コンソールを使用して、SSL 証明書を秘密キーでエクスポートまたはバックアップする方法を示しています。 次の手順を実行します。
Windows PowerShell を使用した暗号化証明書のインポート他のコンピューターなどに暗号化証明書をインポートするには、Import-PfxCertificate コマンドレットを使用します。 情報メモインポートする暗号化証明書は、エンジン サービスを実行しているユーザーの証明書ストアに保存する必要があります。 構文: PS C:\Users\johndoe.ACME> Import-PfxCertificate -CertStoreLocation cert:\currentuser\My -FilePath <FileName>.pfx [-Exportable] -Password $mypwd Import-PfxCertificate コマンドレット パラメータ証明書をインポートする際には、少なくとも次のパラメータを定義する必要があります。 -CertStoreLocation証明書のインポート先となるストアのパスを指定します。このパラメータを指定しない場合、現在のパスが保存先ストアとして使用されます。 -CertStoreLocation cert:\currentuser\My -FilePathPFX ファイルのパスを指定します。 -FilePath <ファイル名>.pfx -Exportableオプション。 インポートした秘密キーをエクスポートできるかどうかを指定します。このパラメータを指定しない場合、秘密キーはエクスポートできません。 -Exportable -Passwordインポートされた PFX ファイルのパスワードを安全な文字列の形式で指定します。 -Password $mypwd 例: データ暗号化証明書のインポートこの例では、test2 という名前のユーザーが、以前に PFX ファイルにエクスポートされたサムプリント 563888BB6AEA55EB0D33D9D8B909E0D2EF26FFBD を使用して暗号化証明書をインポートします。
結果: 証明書がエクスポートされると、Microsoft PowerShell に次のように表示されます: PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\My Thumbprint Subject ---------- ------- 563888BB6AEA55EB0D33D9D8B909E0D2EF26FFBD CN=MyTestCert Microsoft 管理コンソールを使用した暗号化証明書の復元証明書を復元するときにインポートと同じ手順を使用できます。Windows PowerShell を使用した暗号化証明書のインポート を参照してください。 Microsoft 管理コンソールを使用した暗号化証明書のバックアップ の説明に従って Microsoft 管理コンソールを使用して証明書をバックアップした場合は、次の例に従って SSL 証明書を復元します。 情報メモ復元する暗号化証明書は、エンジン サービスを実行しているユーザーの証明書ストアに保存する必要があります。 次の手順を実行します。
New証明書は 1 年間のみ有効です。
IIS証明書の作成有効期限は?なお、IISマネージャー画面で作成した自己署名証明書の有効期限は1年です。
オレオレ証明書の作り方は?オレオレ(自己署名)証明書を発行する
1. サーバー用の秘密鍵作成サーバー用に秘密鍵を生成する。 秘密鍵に設定するパスワードを聞かれるので入力する。 (後ほど、パスワードは解除するので適当で大丈夫。) 2. パスワード解除した秘密鍵作成生成した秘密鍵から、パスワードを解除した秘密鍵を作成しておく。
|