SSL-VPN用証明書登録

注意: K5クライアント証明書を利用する場合、本作業は不要です。

APIを利用して、SSL-VPN用証明書を登録します。今回はIaaSサービスポータルのAPI実行機能を使用します。

  1. IaaS サービスポータルのサイドバーから「API実行」をクリックします。
  2. [API実行]画面が表示されます。
    1. CA証明書を登録します。
      1. [リクエスト]欄 で以下を指定します。

        図: [API実行]画面 上部

        表 1.
        No 項目 説明 本書での設定値
        1 リージョン API実行先を選択します(必須)。 jp-west-2
        2 HTTPメソッド 「POST/GET」が選択可能です(必須)。ここでは「POST」を選択します(固定)。 POST
        3 エンドポイント API実行先のコンポーネントを選択します(必須)。ここでは「keymanagement」を選択します。(固定) keymanagement
        4 URI エンドポイントに続くURIを入力します(必須)。ここでは「 /v1/{プロジェクトID}/secrets」を入力します。(固定) /v1/{プロジェクトID}/secrets
        参考:

        プロジェクトIDはテナントIDです。[リクエスト]欄のテナントIDを入力してください。
      2. [リクエストボディ]欄で以下を指定します。

        図: [API実行]画面 下部

        {
  "name":"ca", "expiration": "{CA証明書の有効期限(YYYY-MM-DDThh:mm:ss形式)}",
  "payload": "{CA証明書の内容}", "payload_content_type": "text/plain" 
}
        • CA証明書の有効期限(任意)

          「YYYY-MM-DDThh:mm:ss」形式で指定します。例:2020-01-01T00:00:00

        • CA証明書の内容

          以下の手順で指定します。

          1. CA証明書をテキストエディタで開き、改行コードをLF (\n) に置換します。
          2. 「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」までコピーします。
          3. コピーした情報を「CA証明書の内容」として該当箇所にペーストします。
          詳しくは IaaS API ユーザーズガイド 「SSL-VPN用証明書登録(V2サービス/自己署名証明書利用)」 を参照してください。
      3. [API実行パラメータ]欄に自動的に作成されたAPIが表示されます。
      4. [API実行]ボタンをクリックします。
      5. [レスポンス]欄に以下のようなレスポンスコード201が出力された場合、登録完了です。 
        {
  "Response": 201,
  "Header": {
    "x-return": "Endpoint",
    "date": "Fri, 18 Aug 2017 01:12:26 GMT",
    "content-type": "application/json;charset=UTF-8",
    "x-fcx-endpoint-request": "EXECUTED_REQ001757620_201"
  },
  "Body": {
    "secret_ref": "https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/{プロジェクトID}/secrets/{CA証明書ID}"
  }
}
    2. サーバ証明書を登録します。[リクエスト]欄はCA証明書の登録の際と同じ内容にしておきます。
      表 2.
      No 項目 説明 本書での設定値
      1 リージョン API実行先を選択します(必須)。 jp-west-2
      2 HTTPメソッド 「POST/GET」が選択可能です(必須)。ここでは「POST」を選択します(固定)。 POST
      3 エンドポイント API実行先のコンポーネントを選択します(必須)。ここでは「keymanagement」を選択します。(固定) keymanagement
      4 URI エンドポイントに続くURIを入力します(必須)。ここでは「 /v1/{プロジェクトID}/secrets」を入力します。(固定) /v1/{プロジェクトID}/secrets
      参考:

      プロジェクトIDはテナントIDです。[リクエスト]欄のテナントIDを入力してください。
      1. [リクエストボディ]欄([API実行]画面 下部赤(4)部分)を以下のように変更します。 
        {
  "name": "server_certificate",
  "expiration": "{サーバ証明書の有効期限(YYYY-MM-DDThh:mm:ss形式)}", 
  "payload": "{サーバ証明書の内容}", 
  "payload_content_type": "text/plain"
}
        • サーバ証明書の有効期限 (任意)

          「YYYY-MM-DDThh:mm:ss」形式で指定します。

          参考: サーバ証明書の有効期限はデフォルトで証明書作成時の10年後の日付が設定されています。有効期限は証明書作成時から10年以内の日付を指定してください。 例:2020-01-01T00:00:00
        • サーバ証明書の内容

          以下の手順で指定します。

          1. サーバ証明書秘密鍵をテキストエディタで開き、改行コードをLF (\n) に置換します。
          2. 「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」までコピーします。
          3. コピーした情報を「サーバ証明書の内容」として該当箇所にペーストします。
          詳しくは IaaS API ユーザーズガイド 「SSL-VPN用証明書登録(V2サービス/自己署名証明書利用)」 を参照してください。
      2. [API実行パラメータ]欄に自動的に作成されたAPIが表示されます。
      3. [API実行]ボタンをクリックします。
      4. [レスポンス]欄に以下のようなレスポンスコード201が出力された場合、登録完了です。 
        {
  "Response": 201,
  "Header": {
    "x-return": "Endpoint",
    "date": "Fri, 18 Aug 2017 01:47:36 GMT",
    "content-type": "application/json;charset=UTF-8",
    "x-fcx-endpoint-request": "EXECUTED_REQ001841666_201"
  },
  "Body": {
    "secret_ref": "https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/{プロジェクトID}/secrets/{サーバ証明書ID}"
  }
}
    3. サーバ証明書用秘密鍵を登録します。[リクエスト]欄はCA証明書の登録の際と同じ内容にしておきます。
      表 3.
      No 項目 説明 本書での設定値
      1 リージョン API実行先を選択します(必須)。 jp-west-2
      2 HTTPメソッド 「POST/GET」が選択可能です(必須)。ここでは「POST」を選択します(固定)。 POST
      3 エンドポイント API実行先のコンポーネントを選択します(必須)。ここでは「keymanagement」を選択します。(固定) keymanagement
      4 URI エンドポイントに続くURIを入力します(必須)。ここでは「 /v1/{プロジェクトID}/secrets」を入力します。(固定) /v1/{プロジェクトID}/secrets
      参考:

      プロジェクトIDはテナントIDです。[リクエスト]欄のテナントIDを入力してください。
      1. [リクエストボディ]欄([API実行]画面 下部赤(4)部分)を以下のように変更します。 
        {
  "name":"server_key",
  "expiration": "{サーバ証明書用秘密鍵の有効期限(YYYY-MM-DDThh:mm:ss形式)}", 
  "payload": "{サーバ証明書用秘密鍵の内容}",
  "payload_content_type":
  "text/plain"
}
        • サーバ証明書秘密鍵の有効期限 (任意)

          「YYYY-MM-DDThh:mm:ss」形式で指定します。

          参考: サーバ証明書の有効期限はデフォルトで秘密鍵作成時の10年後の日付が設定されています。有効期限は秘密鍵作成時から10年以内の日付を指定してください。 例:2020-01-01T00:00:00
        • サーバ証明書秘密鍵の内容

          以下の手順で指定します。

          1. サーバ証明書秘密鍵をテキストエディタで開き、改行コードをLF (\n) に置換します。
          2. 「-----BEGIN PRIVATE KEY-----」から「-----END PRIVATE KEY-----」までコピーします。
          3. コピーした情報を「サーバ証明書秘密鍵の内容」として該当箇所にペーストします。
          詳しくは IaaS API ユーザーズガイド 「SSL-VPN用証明書作成(V2サービス/自己署名証明書利用)」 を参照してください。
      2. [API実行パラメータ]欄に自動的に作成されたAPIが表示されます。
      3. [API実行]ボタンをクリックします。
      4. [レスポンス]欄に以下のようなレスポンスコード201が出力された場合、登録完了です。 
        {
  "Response": 201,
  "Header": {
    "x-return": "Endpoint",
    "date": "Fri, 18 Aug 2017 02:17:09 GMT",
    "content-type": "application/json;charset=UTF-8",
    "x-fcx-endpoint-request": "EXECUTED_REQ001842250_201"
  },
  "Body": {
    "secret_ref": "https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ証明書用秘密鍵ID}"
  }
}
    4. DH鍵の登録を行います。 [リクエスト]欄はそのままにしておきます。
      表 4.
      No 項目 説明 本書での設定値
      1 リージョン API実行先を選択します(必須)。 jp-west-2
      2 HTTPメソッド 「POST/GET」が選択可能です(必須)。ここでは「POST」を選択します(固定)。 POST
      3 エンドポイント API実行先のコンポーネントを選択します(必須)。ここでは「keymanagement」を選択します。(固定) keymanagement
      4 URI エンドポイントに続くURIを入力します(必須)。ここでは「 /v1/{プロジェクトID}/secrets」を入力します。(固定) /v1/{プロジェクトID}/secrets
      参考:

      プロジェクトIDはテナントIDです。[リクエスト]欄のテナントIDを入力してください。
      1. [リクエストボディ]欄([API実行]画面 下部赤(4)部分)を以下のように変更します。 
        {
  "name": "dh",
  "expiration": "{DH鍵の有効期限(YYYY-MM-DDThh:mm:ss形式)}",
  "payload": "{DH鍵の内容}",
  "payload_content_type": "text/plain"
}
        • DH鍵の有効期限 (任意)

          「YYYY-MM-DDThh:mm:ss」形式で指定します。例:2020-01-01T00:00:00

        • DH鍵の内容

          以下の手順で指定します。

          1. DH鍵をテキストエディタで開き、改行コードをLF (\n) に置換します。
          2. 「-----BEGIN DH PARAMETERS-----」から「-----END DHPARAMETERS-----」までコピーします。
          3. コピーした情報を「DH鍵の内容」として該当箇所にペーストします。
          詳しくは IaaS API ユーザーズガイド 「SSL-VPN用証明書登録(V2サービス/自己署名証明書利用)」 を参照してください。
      2. [API実行パラメータ]欄に自動的に作成されたAPIが表示されます。
      3. [API実行]ボタンをクリックします。
      4. [レスポンス]欄に以下のようなレスポンスコード201が出力された場合、登録完了です。 
        {
  "Response": 201,
  "Header": {
    "x-return": "Endpoint",
    "date": "Fri, 18 Aug 2017 02:38:52 GMT",
    "content-type": "application/json;charset=UTF-8",
    "x-fcx-endpoint-request": "EXECUTED_REQ001842631_201"
  },
  "Body": {
    "secret_ref": "https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{DH鍵ID}"
  }
}
  3. SSL-VPN用証明書を登録しました。登録した証明書を確認します。
    1. [リクエスト]欄を指定します。

      図: [API実行]画面 確認 [リクエスト]欄

      表 5.
      No 項目 説明 本書での設定値
      1 リージョン API実行先を選択します(必須)。 jp-west-2
      2 HTTPメソッド 「POST/GET」が選択可能です(必須)。ここでは「GET」を選択します(固定)。 GET
      3 エンドポイント API実行先のコンポーネントを選択します(必須)。ここでは「keymanagement」を選択します。(固定) keymanagement
      4 URI エンドポイントに続くURIを入力します(必須)。ここでは「 /v1/{プロジェクトID}/secrets」を入力します。(固定) /v1/{プロジェクトID}/secrets
      参考:

      プロジェクトIDはテナントIDです。[リクエスト]欄のテナントIDを入力してください。
    2. [API実行パラメータ]欄に自動的に作成されたAPIが表示されます。
      参考:

      [リクエストボディ]欄は入力する必要はありません。

      図: [API実行]画面 確認 [API実行]ボタン

    3. [API実行]ボタンをクリックします。
    4. [レスポンス]欄に以下のようなレスポンスが表示されていることを確認してください。 表示されていれば登録できています。 
      {
  "Response": 200,
  "Header": {
    "x-return": "Endpoint",
    "date": "Fri, 18 Aug 2017 04:12:23 GMT",
    "content-type": "application/json;charset=UTF-8",
    "x-fcx-endpoint-request": "EXECUTED_REQ001750119_200"
  },
  "Body": {
    "secrets": [
      {
        "status": "ACTIVE",
        "secret_ref": "https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{CA証明書ID}",
        "updated": "YYYY-MM-DDThh:mm:ss.SSS",
        "name": "ca",
        "algorithm": null,
        "created": "YYYY-MM-DDThh:mm:ss.SSS",
        "content_types": {
          "default": "text/plain"
        },
        "mode": null,
        "bit_length": null,
        "expiration": "CA証明書の有効期限"
      },
      {
        "status": "ACTIVE",
        "secret_ref": "https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ証明書ID}",
        "updated": "YYYY-MM-DDThh:mm:ss.SSS",
        "name": "server_certificate",
        "algorithm": null,
        "created": "YYYY-MM-DDThh:mm:ss.SSS",
        "content_types": {
          "default": "text/plain"
        },
        "mode": null,
        "bit_length": null,
        "expiration": "サーバ証明書の有効期限"
      }
      {
        "status": "ACTIVE",
        "secret_ref": "https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ証明書用秘密鍵ID}",
        "updated": "YYYY-MM-DDThh:mm:ss.SSS",
        "name": "server_key",
        "algorithm": null,
        "created": "YYYY-MM-DDThh:mm:ss.SSS",
        "content_types": {
          "default": "text/plain"
        },
        "mode": null,
        "bit_length": null,
        "expiration": "{サーバ証明書用秘密鍵の有効期限}"
      },
      {
        "status": "ACTIVE",
        "secret_ref": "https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{DH鍵ID}",
        "updated": "YYYY-MM-DDThh:mm:ss.SSS",
        "name": "dh",
        "algorithm": null,
        "created": "YYYY-MM-DDThh:mm:ss.SSS",
        "content_types": {
          "default": "text/plain"
        },
        "mode": null,
        "bit_length": null,
        "expiration": "DH鍵の有効期限"
      },
    ],
    "total": 4
  }
}
    5. 以上の手順で登録した各証明書の「secret_ref」の値を控えてください。「SSL-VPN用鍵コンテナ作成」および「SSL-VPN 接続 (SSL-VPN コネクション) の作成」時に使用します。
      表 6.
      証明書等 secret_refの値
      CA証明書 https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{CA証明書ID}
      サーバ証明書 https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ証明書ID}
      サーバ証明書用秘密鍵 https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ証明書用秘密鍵ID}
      DH鍵 https://keymanagement.{リージョン識別子}.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{DH鍵ID}

    ここで実行した自己署名証明書を登録する手順の詳細は、 IaaS API ユーザーズガイド 「SSL-VPN用証明書登録(V2サービス/自己署名証明書利用)」 を参照してください。