構成ハブのサーバ証明書
サーバ側の証明書は、実行中の REST サービスと Configuration Hub Web サーバとの間の安全な接続を可能にします。Configuration Hub の SSL 証明書の有効期限は 2 年間で、期限が切れたら再生成する必要があります。証明書を再生成する必要がある場合は、以下のステップで行います。
自己署名証明書: Configuration Hub
以下のステップで、Configuration Hub の自己署名証明書を更新します。- C:\Program Files (x86)\GE\ConfigurationHub\ConfigHubPki フォルダ内の証明書ファイルを削除するかバックアップします。
- C:\Program Files (x86)\GE\ConfigurationHub ディレクトリで、管理者としてコマンド プロンプトを開きます。
- 次のコマンドを入力して、自己署名証明書を新規作成します。
restart_confighub.bat "C:\Program Files (x86)\GE\ConfigurationHub" "C:\Program Files (x86)\GE\ConfigurationHub\Web" 5678 4890 htclab.ge.com
ここでは、C:\Program Files (x86)\GE\ConfigurationHub は Configuration Hub インストール ディレクトリ、C:\Program Files (x86)\GE\ConfigurationHub\Web は Configuration Hub niginx サーバのあるディレクトリ、5678 は Configuration Hub 認証サービス ポート(現在は使用されていません)、4890 は Configuration Hub サーバ ポートです。
- C:\Program Files (x86)\GE\ConfigurationHub\ConfigHubPki フォルダから C:\Program Files (x86)\GE\ConfigurationHub\Web\conf フォルダに、server_cert.crt と server_cert.key ファイルをコピーします。
- コンピュータを再起動します。
構成ハブと iFIX の自己署名証明書
以下のステップで、iFIX の自己署名証明書を更新します。- iFixConfigServiceCertTool.exe を管理者として開きます。このツールは、C:\Program Files (x86)\GE\iFIX\ フォルダにあります。iFIX 構成設定サービス証明書ツールが表示されます。
- [証明書を削除]をクリックし、[証明書バインディングを削除]をクリックします。
- Windows のファイル エクスプローラから、C:\Program Files (x86)\GE\iFIX\LOCAL\iFIX_OpcuaConfigService\pki ディレクトリにある証明書ファイルを削除またはバックアップします。
- iFIX 構成設定サービス証明書ツールで[証明書を作成]ボタンをクリックして、証明書を新規作成します。
- 新しい証明書のセットが作成されたら、iFIX 構成設定サービス証明書ツールで証明書のサムプリントが異なることを確認します。同じである場合、新しい証明書は作成されていません。
- iFIX_OpcuaConfigServer.crt と iFIX_OpcuaConfigServer.key を、C:\Program Files (x86)\GE\iFIX\LOCAL\iFIX_OpcuaConfigService\pki から C:\Program Files (x86)\GE\iFIX\web\conf にコピーします。
- コンピュータを再起動します。
構成ハブおよび iFIX の外部証明書
以下のステップで、外部で発行されたサーバ証明書を Configuration Hub と iFIX に設定します。
- 秘密鍵、サーバ証明書、発行者の証明書を含む CA バンドルを取得します。一般的に、秘密鍵はユーザまたは同じ組織内の他のユーザが生成し、サーバ証明書と CA バンドルは証明書ベンダが提供します。
- 証明書と秘密鍵を他の形式(PFX など)で受け取った場合は、入手方法または PEM ファイルに変換する方法をベンダに相談してください。Configuration Hub、nginx で使用されている Web サーバは、証明書と鍵に base-64 にエンコードした PEM ファイルを使用しています。詳しくは、次のリンクを参照してください。
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate_key
- テキスト エディタで PEM ファイルを開き、複数の証明書で記載されている箇所を探します。各証明書は次の開始行:
と次の終了行で囲まれています:-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
- この証明書 PEM ファイルで、サーバ証明書が最初に表示され、その後に CA バンドルの CA 証明書が表示されることを確認します。
- Configuration Hub の場合は、ルート証明書、サーバ証明書、鍵ファイルを C:\Program Files (x86)\GE\ConfigurationHub\ConfigHubPki フォルダに、サーバ証明書と鍵ファイルを C:\Program Files (x86)\GE\ConfigurationHub\Web\conf にコピーしてください。(Configuration Hub では、nginx サーバの証明書ファイルの名前は、server.crt と server.key です)。注: 名前が変更された場合、C:\Program Files (x86)\GE\ConfigurationHub\Web\conf\nginx.conf フォルダ内のファイルも正しいファイル名に更新する必要があります。
- iFIX を Configuration Hub で使用する場合は、ルート証明書、サーバ証明書、鍵ファイルを C:\Program Files (x86)\GE\iFIX\LOCAL\iFX_OpcuaConfigService\pki フォルダに、サーバ証明書と鍵ファイルを C:\Program Files (x86)\GE\iFIX\web\conf フォルダにコピーします。(iFIXでは、nginx サーバの証明書ファイルは、iFIX_OpcuaConfigServer.crt と iFIX_OpcuaConfigServer.key という名前になっています)。注: 名前が変更された場合、nginx.conf ファイルはC:\Program Files (x86)\GE\ConfigurationHub\Web\conf\nginx.conf フォルダも正しいファイル名に更新する必要があります。
- iFIX の場合も、C:\Program Files (x86)\GE\iFIX\LOCAL フォルダ内の ifix_config_service.json ファイルを編集して正しい証明書ファイル名にします。このファイルでは、以下のフィールドを更新する必要があります。
"rootCertificateName": "iFIX_OpcuaConfigRoot",
"serverCertificateName": "iFIX_OpcuaConfigServer",
"serverCertificatePassPhrase": "75D43CAAC1E440F08080D7E4A58AE941",
"generateSSLCerts": true
重要: 外部証明書を使用する場合、「generateSSLCerts」フィールドを false に設定する必要があります。