このガイドでは、Wickr Enterprise のドキュメントを提供します。AWS Wickr を使用している場合は、「AWS Wickr 管理ガイド」または「AWS Wickr ユーザーガイド」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
TLS 証明書の設定
TLS を終了するための PEM 証明書とプライベートキーをアップロードします。証明書のサブジェクト代替名は、Wickr Enterprise デプロイの設定で設定されたホスト名と一致する必要があります。
証明書チェーンフィールドでは、アップロード前に中間証明書 (必要な場合) をルート CA 証明書と連結します。
Let's Encrypt
Let's Encrypt
HTTP-01 チャレンジでは、目的の DNS 名がクラスターのイングレスポイント (通常はLoad Balancer) に解決され、TCP ポート 80 へのトラフィックが一般公開されている必要があります。これらの証明書は有効期間が短く、定期的に更新されます。証明書を自動的に更新するには、ポート 80 を開いたままにする必要があります。
注記
このセクションでは、Wickr Enterprise アプリケーション自体で使用される証明書を明示的に参照します。
ピン留めされた証明書
Wickr Enterprise では、自己署名証明書またはクライアントデバイスで信頼されていない証明書を使用する場合、証明書のピン留めが必要です。Load Balancer によって提示された証明書が自己署名であるか、Wickr Enterprise のインストールとは異なる CA によって署名されている場合は、ここで CA 証明書をアップロードして、代わりにクライアントにピン留めさせます。
ほとんどの場合、この設定は必要ありません。
証明書プロバイダー
Wickr Enterprise で使用する証明書を購入する予定の場合、証明書がデフォルトで正しく機能することがわかっているプロバイダーのリストについては、以下を参照してください。プロバイダーが以下にリストされている場合、証明書はソフトウェアで明示的に検証されています。
-
Digicert
-
RapidSSL
自己署名証明書の生成
Wickr Enterprise で使用する独自の自己署名証明書を作成する場合、以下のコマンド例には、生成に必要なすべてのフラグが含まれています。
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=DNS:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
IP ベースの自己署名証明書を作成する場合は、代わりに次のコマンドを使用します。IP ベースの証明書を使用するには、入力設定でワイルドカードホスト名フィールドが有効になっていることを確認します。詳細については、「イングレス設定」を参照してください。
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=IP:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
注記
例の $YOUR_DOMAIN を、使用するドメイン名または IP アドレスに置き換えます。
