MIRACLE ZBX Virtual Appliance V6.0でのSSL証明書の更新について
MIRACLE ZBX Virtual Appliance V6.0でのSSL証明書の更新について
概要
MIRACLE ZBX Virtual Appliance V6.0(以下ZBX VA60)には初期状態でウェブサーバーのSSL証明書が含まれています。このSSL証明書は、OSのmod_sslパッケージで提供されるhttpd-initサービスによって作成される自己署名の証明書となっており、ブラウザでアクセスすると証明書が信頼できないという警告メッセージが表示されます。また、ZBX VA60に初期状態で含まれている証明書は2023年5月現在で有効期限が切れています。
本記事では、ZBX VA60でのSSL証明書の問題への対応について説明します。
対象となる製品
- MIRACLE ZBX Virtual Appliance V6.0
- MIRACLE ZBX Virtual Appliance V6.0 Suite
対策
本記事では、ZBX VA60の初期状態のSSL証明書についての問題への対応として3つ紹介します。
- 正式なSSL証明書に入れ替える
- 自己署名の証明書を再作成する
- SSL証明書の使用をやめる
以下の節でそれぞれの手順を説明します。
正式なSSL証明書に入れ替える方法
初期状態で使われている自己署名の証明書を正式なSSL証明書に入れ替える方法について説明します。前提条件として、ユーザー自身が証明書と秘密鍵を用意しておく必要があります。ZBX VA60として証明書の発行はしていません。
SSL証明書を入れ替えるには以下の手順を実施します。
- 用意した証明書と秘密鍵のファイルをZBX VA60のホストに配置し、所定のディレクトリにコピーします。ファイル名は適宜読み替えてください。
# cp zabbix.crt /etc/pki/tls/certs # cp zabbix.key /etc/pki/tls/private
- httpdのSSL設定ファイル
/etc/httpd/conf.d/ssl.conf
を編集します。以下2つのパラメーターを設定してください。SSLCertificateFile /etc/pki/tls/certs/zabbix.crt SSLCertificateKeyFile /etc/pki/tls/private/zabbix.key
- httpdサービスを再起動します。
# clprsc -t exec-Apache; clprsc -s exec-Apache
変更が完了したら、ブラウザでMIRACLE ZBXフロントエンドにアクセスして証明書が更新されていることを確認してください。
自己署名の証明書を再作成する方法
ZBX VA60に初期状態で含まれている自己署名の証明書を更新する方法について説明します。注意点として、この方法は期限切れになった自己署名証明書を再作成するだけで、ブラウザでアクセスしたときの証明書の検証エラーが解消するわけではありません。
自己署名の証明書を再作成するには以下の手順を実施します。
- 既存の証明書と秘密鍵を削除します。
# rm /etc/pki/tls/certs/localhost.crt # rm /etc/pki/tls/private/localhost.key
- 以下のコマンドを実行して証明書と秘密鍵を再作成します。
# /usr/libexec/httpd-ssl-gencerts
- 証明書が更新されたことを確認します。
有効期限の項目を確認してください。# openssl x509 -noout -text -in /etc/pki/tls/certs/localhost.crt
Validity Not Before: May 31 05:46:12 2023 GMT Not After : Jun 4 07:26:12 2024 GMT
- httpdサービスを再起動します。
# clprsc -t exec-Apache; clprsc -s exec-Apache
変更が完了したら、ブラウザでMIRACLE ZBXフロントエンドにアクセスして証明書が更新されていることを確認してください。
SSL証明書の使用をやめる方法
SSL証明書を使用せず、HTTPSの代わりにHTTPでMIRACLE ZBXフロントエンドを使用する方法について説明します。注意点として、この方法では通信内容が暗号化されなくなるため、ログインパスワード等を含む通信内容が平文のままネットワークを流れることになります。
SSL証明書の使用をやめるには以下の手順を実施します。
- httpdのssl設定ファイル
/etc/httpd/conf.d/ssl.conf
を変更してHTTPSで待ち受けないように修正します。以下の行をコメントアウトしてください。変更前: Listen 443 https 変更後: #Listen 443 https
- httpdの設定ファイル
/etc/httpd/conf/httpd.conf
を変更してHTTPで待ち受けるように修正します。以下の行のコメントアウトを外してください。変更前: #Listen 80 変更後: Listen 80
- ファイアウォールの設定でHTTPSの許可を削除してHTTPを許可するように変更します。
# firewall-cmd --permanent --zone=public --remove-port=443/tcp # firewall-cmd --permanent --zone=public --add-port=80/tcp # firewall-cmd --reload
- httpdサービスを再起動します。
# clprsc -t exec-Apache; clprsc -s exec-Apache
変更が完了したら、ブラウザでHTTPでMIRACLE ZBXフロントエンドにアクセスできることを確認してください。変更後、ログインに失敗する場合は、Cookieを削除してから再度アクセスしてください。
注意事項
- 本ドキュメントの内容は、予告なしに変更される場合があります。
- 本ドキュメントは限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
- 本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
更新履歴
- 2023年06月12日 新規作成