日本語フォーラム

お世話になっております。
1月上旬に冗長化したClearPassのサーバ証明書を更新しなければならず、
手順を色々と調べております。
ユーザガイドを参照した結果、単体で証明書更新を実施した時の記憶など
から、数点お聞きしたい点が発生いたしました。

以下の点をご教示いただきたいのですがよろしくお願いいたします。

1. サーバの再起動の発生について

ClearPassのサーバ証明書には、

・RADIUS/EAPサーバ証明書
・HTTPS サーバ証明書
・RadSec サーバ証明書
・Database サーバ証明書

の4種類あり、期限がくると、上記すべてを更新する必要があるかと存じます。

単体の証明書更新を実施した時の記憶ですが、Database Server Certificateを更新
しようとすると再起動が必要だというメッセージが表示され、再起動を実施した記憶
があります。
これはClearPassのバージョンによる差により、要不要があるのでしょうか。
それともやはり、再起動が必要となるのでしょうか。

2. 証明書の更新について
(1) 更新方法の流れについて
自己署名証明書の場合、更新方法は、証明書ストア右上の、「Create Self-Signed
Certificate」ボタンをクリックし、各タイプの証明書を新規作成することにより行うと
いう認識でよろしいでしょうか。

(2) 証明書作成対象について
Create Self-Signed Certificateをクリックする際に、証明書ストアの左上に表示される
「Select Server」で選択されているサーバのサーバ証明書が作成されるという認識で
よろしいでしょうか。

(3) 適用方法について
証明書の作成が終了した際に、「インストール」画面が表示され、インストールすると、
該当するClearPass(上記と同様、「Select Server」で選択されたサーバ)の証明書更新
が完了する認識でよろしいでしょうか。

3. 証明書更新時のクラスタ構成について
上記操作を実施した際に、HTTPSサーバ証明書の更新が完了すると、その時点で
クラスタ間の信頼性がくずれてしまい、再度互いの証明書を信頼するように構成するまで
冗長動作が一時的に停止するように思うのですが、そこは回避する手段があるのでしょうか。

それとも、すでにクラスタ構成ができた状態での更新作業となるため、自動的に新規証明書
が、各サーバ信頼された証明書リストの中に登録され、冗長動作が停止することはないのでしょうか。


以上、お手数おかけしますが、よろしくお願いいたします。

------------------------------
Hiroki Murata
------------------------------

1. サーバの再起動の発生について
DB証明書の更新時は再起動が必要になります。以下のマニュアルもご参照下さい。
https://www.arubanetworks.com/techdocs/ClearPass/6.10/PolicyManager/Content/CPPM_UserGuide/Admin/ServerCertificateHelp.html

2. 証明書の更新について
３点ともご認識の通りです。
Public CAによる証明書発行を推奨とはしている点はご留意頂ければと思います。（特にHTTPSサーバ証明書）

3. 証明書更新時のクラスタ構成について
まず、クラスタ構成と冗長化は別機能になります。
RADIUSサーバとしてClearPassを指定している場合、HTTPS証明書の更新はRADIUSサービスには影響がありません。
また、HTTPSサーバ証明書の更新による既存クラスタ構成には影響が無いかと思います。
DB更新は影響がありますが、上述の通りサーバの再起動が必要となります。
念の為、仮想の検証環境などでも事前にご確認頂ければ幸いです。

------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------

Original Message:
Sent: Dec 24, 2021 06:04 AM
From: Hiroki Murata
Subject: ClearPassを冗長化した時のサーバ証明書更新手順について

お世話になっております。
1月上旬に冗長化したClearPassのサーバ証明書を更新しなければならず、
手順を色々と調べております。
ユーザガイドを参照した結果、単体で証明書更新を実施した時の記憶など
から、数点お聞きしたい点が発生いたしました。

以下の点をご教示いただきたいのですがよろしくお願いいたします。

1. サーバの再起動の発生について

ClearPassのサーバ証明書には、

・RADIUS/EAPサーバ証明書
・HTTPS サーバ証明書
・RadSec サーバ証明書
・Database サーバ証明書

の4種類あり、期限がくると、上記すべてを更新する必要があるかと存じます。

単体の証明書更新を実施した時の記憶ですが、Database Server Certificateを更新
しようとすると再起動が必要だというメッセージが表示され、再起動を実施した記憶
があります。
これはClearPassのバージョンによる差により、要不要があるのでしょうか。
それともやはり、再起動が必要となるのでしょうか。

2. 証明書の更新について
(1) 更新方法の流れについて
自己署名証明書の場合、更新方法は、証明書ストア右上の、「Create Self-Signed
Certificate」ボタンをクリックし、各タイプの証明書を新規作成することにより行うと
いう認識でよろしいでしょうか。

(2) 証明書作成対象について
Create Self-Signed Certificateをクリックする際に、証明書ストアの左上に表示される
「Select Server」で選択されているサーバのサーバ証明書が作成されるという認識で
よろしいでしょうか。

(3) 適用方法について
証明書の作成が終了した際に、「インストール」画面が表示され、インストールすると、
該当するClearPass(上記と同様、「Select Server」で選択されたサーバ)の証明書更新
が完了する認識でよろしいでしょうか。

3. 証明書更新時のクラスタ構成について
上記操作を実施した際に、HTTPSサーバ証明書の更新が完了すると、その時点で
クラスタ間の信頼性がくずれてしまい、再度互いの証明書を信頼するように構成するまで
冗長動作が一時的に停止するように思うのですが、そこは回避する手段があるのでしょうか。

それとも、すでにクラスタ構成ができた状態での更新作業となるため、自動的に新規証明書
が、各サーバ信頼された証明書リストの中に登録され、冗長動作が停止することはないのでしょうか。


以上、お手数おかけしますが、よろしくお願いいたします。

------------------------------
Hiroki Murata
------------------------------

ご教示いただき、誠に有難うございます。
おかげさまで、かなりイメージをつかむことができ、大分前進したように思います。

ただ、3.については、手元にクラスタ構成の検証環境がないためやはり不安な部分が
ございます。
  
パブリッシャー側のHTTPS証明書を作成-->インストールをした時点で、サブスクライバー側
で証明書の信頼性がなくなってしまうような気がしており、自動的にそれを回避できるのか、
手動でサブスクライバー側の信頼リストに後で追加する必要があるのかについて、かなり気
になっております。

もしご存じでしたら、お手数おかけしてしまい、大変申し訳ございませんが、ご教示いただ
けると幸いとなります。

以上、よろしくお願いいたします。

------------------------------
Hiroki Murata
------------------------------

Original Message:
Sent: Dec 24, 2021 06:04 AM
From: Hiroki Murata
Subject: ClearPassを冗長化した時のサーバ証明書更新手順について

お世話になっております。
1月上旬に冗長化したClearPassのサーバ証明書を更新しなければならず、
手順を色々と調べております。
ユーザガイドを参照した結果、単体で証明書更新を実施した時の記憶など
から、数点お聞きしたい点が発生いたしました。

以下の点をご教示いただきたいのですがよろしくお願いいたします。

1. サーバの再起動の発生について

ClearPassのサーバ証明書には、

・RADIUS/EAPサーバ証明書
・HTTPS サーバ証明書
・RadSec サーバ証明書
・Database サーバ証明書

の4種類あり、期限がくると、上記すべてを更新する必要があるかと存じます。

単体の証明書更新を実施した時の記憶ですが、Database Server Certificateを更新
しようとすると再起動が必要だというメッセージが表示され、再起動を実施した記憶
があります。
これはClearPassのバージョンによる差により、要不要があるのでしょうか。
それともやはり、再起動が必要となるのでしょうか。

2. 証明書の更新について
(1) 更新方法の流れについて
自己署名証明書の場合、更新方法は、証明書ストア右上の、「Create Self-Signed
Certificate」ボタンをクリックし、各タイプの証明書を新規作成することにより行うと
いう認識でよろしいでしょうか。

(2) 証明書作成対象について
Create Self-Signed Certificateをクリックする際に、証明書ストアの左上に表示される
「Select Server」で選択されているサーバのサーバ証明書が作成されるという認識で
よろしいでしょうか。

(3) 適用方法について
証明書の作成が終了した際に、「インストール」画面が表示され、インストールすると、
該当するClearPass(上記と同様、「Select Server」で選択されたサーバ)の証明書更新
が完了する認識でよろしいでしょうか。

3. 証明書更新時のクラスタ構成について
上記操作を実施した際に、HTTPSサーバ証明書の更新が完了すると、その時点で
クラスタ間の信頼性がくずれてしまい、再度互いの証明書を信頼するように構成するまで
冗長動作が一時的に停止するように思うのですが、そこは回避する手段があるのでしょうか。

それとも、すでにクラスタ構成ができた状態での更新作業となるため、自動的に新規証明書
が、各サーバ信頼された証明書リストの中に登録され、冗長動作が停止することはないのでしょうか。


以上、お手数おかけしますが、よろしくお願いいたします。

------------------------------
Hiroki Murata
------------------------------

HTTPSサーバ証明書の更新は既存クラスタ環境には影響が出ません。
クラスタ構成が一度崩れて、再度クラスタ構成を組む場合には、改めてPublisherのHTTPSサーバ証明書をSubscriberの信頼リストに登録する必要があるので、
更新後、速やかに信頼リストに登録頂く方が良いかとは思います。

また、パートナー様はASP（https://asp.arubanetworks.com/）でEvalライセンスを発行することもできるかと思いますので、
仮想環境があれば事前にご確認頂けるかと思います。
ASPのアカウントが無い場合は、購入元の代理店様かArubaの担当者にご相談下さい。


------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------

Original Message:
Sent: Dec 27, 2021 09:06 AM
From: Hiroki Murata
Subject: ClearPassを冗長化した時のサーバ証明書更新手順について

ご教示いただき、誠に有難うございます。
おかげさまで、かなりイメージをつかむことができ、大分前進したように思います。

ただ、3.については、手元にクラスタ構成の検証環境がないためやはり不安な部分が
ございます。
  
パブリッシャー側のHTTPS証明書を作成-->インストールをした時点で、サブスクライバー側
で証明書の信頼性がなくなってしまうような気がしており、自動的にそれを回避できるのか、
手動でサブスクライバー側の信頼リストに後で追加する必要があるのかについて、かなり気
になっております。

もしご存じでしたら、お手数おかけしてしまい、大変申し訳ございませんが、ご教示いただ
けると幸いとなります。

以上、よろしくお願いいたします。

------------------------------
Hiroki Murata

Original Message:
Sent: Dec 24, 2021 06:04 AM
From: Hiroki Murata
Subject: ClearPassを冗長化した時のサーバ証明書更新手順について

お世話になっております。
1月上旬に冗長化したClearPassのサーバ証明書を更新しなければならず、
手順を色々と調べております。
ユーザガイドを参照した結果、単体で証明書更新を実施した時の記憶など
から、数点お聞きしたい点が発生いたしました。

以下の点をご教示いただきたいのですがよろしくお願いいたします。

1. サーバの再起動の発生について

ClearPassのサーバ証明書には、

・RADIUS/EAPサーバ証明書
・HTTPS サーバ証明書
・RadSec サーバ証明書
・Database サーバ証明書

の4種類あり、期限がくると、上記すべてを更新する必要があるかと存じます。

単体の証明書更新を実施した時の記憶ですが、Database Server Certificateを更新
しようとすると再起動が必要だというメッセージが表示され、再起動を実施した記憶
があります。
これはClearPassのバージョンによる差により、要不要があるのでしょうか。
それともやはり、再起動が必要となるのでしょうか。

2. 証明書の更新について
(1) 更新方法の流れについて
自己署名証明書の場合、更新方法は、証明書ストア右上の、「Create Self-Signed
Certificate」ボタンをクリックし、各タイプの証明書を新規作成することにより行うと
いう認識でよろしいでしょうか。

(2) 証明書作成対象について
Create Self-Signed Certificateをクリックする際に、証明書ストアの左上に表示される
「Select Server」で選択されているサーバのサーバ証明書が作成されるという認識で
よろしいでしょうか。

(3) 適用方法について
証明書の作成が終了した際に、「インストール」画面が表示され、インストールすると、
該当するClearPass(上記と同様、「Select Server」で選択されたサーバ)の証明書更新
が完了する認識でよろしいでしょうか。

3. 証明書更新時のクラスタ構成について
上記操作を実施した際に、HTTPSサーバ証明書の更新が完了すると、その時点で
クラスタ間の信頼性がくずれてしまい、再度互いの証明書を信頼するように構成するまで
冗長動作が一時的に停止するように思うのですが、そこは回避する手段があるのでしょうか。

それとも、すでにクラスタ構成ができた状態での更新作業となるため、自動的に新規証明書
が、各サーバ信頼された証明書リストの中に登録され、冗長動作が停止することはないのでしょうか。


以上、お手数おかけしますが、よろしくお願いいたします。

------------------------------
Hiroki Murata
------------------------------