App Gatewayシステムは、デフォルトで、(Safous ZTNA ライセンスではない)SSL 証明書を人手を介さずに自動的に更新することができます。
これは、Safous ZTNA サービスが要求するすべての前提条件が満たされている場合に可能です。お客様によってインターネットへの接続を制限する会社のポリシーがある場合は、App Gateway がシステムで発生する SSL を更新できないことがあります。
この記事では、ローカルマシンでLinuxOS を使用していることを前提として、SSL 証明書を手動で更新する方法について説明します。ローカルマシンにWindows OS を使用している場合は、使用している各SSH/SCP サードパーティクライアントを参照してください。
- リモートからApp Gatewayホストにアクセスできることを確認します。
- App Gateway から /etc/safous/config ファイルをローカルマシンに取得します。以下は、SCP コマンドを使用して取得する場合のコマンド例です。
scp -P <port_number> -l <username> <app_gw_ip_addr>:/etc/safous/.config . - ローカルマシンですでに取得したファイルがあるかどうかを確認します。
- 正しいファイルであることを確認したら、ローカルマシンから以下のコマンドを実行してください:
bash < <(. ./.config && curl -s -u "${CERT_AUTH}" https://cert-gen.ztna.safous.com/cert.cgi)
- 前のコマンドは、現在の作業ディレクトリに新しいフォルダ名「certs」を作成します。
その中にcerts.pemとkey.pemが含まれているかどうか確認してください。
- これら2つのファイルが存在したら、これらのファイルをApp Gatewayホストにアップロードし直すことができます。以下は、SCP コマンドを使用してアップロードするコマンドの例です:
scp -P <port_number> certs.pem -l <username> <app_gw_ip_addr>:/tmp/
scp -P <port_number> key.pem -l <username> <app_gw_ip_addr>:/tmp/ - App Gatewayホストにログインし、/tmp/Directoryにファイルが存在することを確認してください。
- SSL証明書を置き換えるには、次のコマンドを実行します:
sudo cp /tmp/certs.pem /etc/cyolo/certs/
sudo cp /tmp/key.pem /etc/cyolo/certs/ - Safousシステムで証明書を更新するには、次のコマンドを実行します:
sudo docker-compose -f /etc/cyolo/config/docker-compose.yml restart idac - ブラウザでテナントユーザポータル証明書を確認します。
