証明書を取得する
このタスクでは、Access Gatewayアプリケーションで使用する証明書を作成または取得します。Access Gatewayで使用するアプリケーションで使われる証明書タイプの詳細については、「アプリケーション証明書の使用」を参照してください。
トピック
認証局提供の証明書
Oktaでは、可能な限り企業認証証明書または拡張認証証明書を使用することを推奨しています。
一般的な認証局には以下が含まれます:ComodoSSL、Digicert、GoDaddy、Thawteなど。Oktaが、特定の認証局を推薦または支持することはありません。
CAベースの証明書を取得するには、認証局によって詳細に説明されている手順に従います。
自己署名付き証明書
Oktaでは、自己署名付き証明書の使用は、開発およびテスト環境のみに留め、本番環境では使用しないことを推奨しています。
自己署名付き証明書を生成するには:
自己署名付き証明書を生成([Generate self-signed certificate)]をクリックします。たとえば、opensslを使用する場合:
$ openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
Generating a RSA private key
...................................
writing new private key to 'key.pem'
-----
You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
. . .
-----
Country Name (2 letter code) [XX]: <country code>
State or Province Name (full name) []: <state>
Locality Name (eg, city) [Default City]: <city>
Organization Name (eg, company) [Default Company Ltd]: <company name>
Organizational Unit Name (eg, section) []: <org unit>
Common Name (eg, your name or your server's hostname) []: *.gateway.info
Email Address []: noreply@gateway.info
$ ls *.pem
key.pem certificate.pem
https://www.openssl.org/を参照してください。
ワイルドカード証明書
ワイルドカード証明者は、ドメインおよびすべてのサブドメインに適用されるデジタル証明書です。ワイルドカードの表記は一般的に、ドメイン名の前にアスタリスクとピリオドを配置して構成されます。たとえば、*.exampledomain.com。Access Gatewayは、ワイルドカード証明書の使用をサポートします。証明書を個別に購入するよりも、単一の証明書を複数のサブドメインに展開させることにより、コストを削減し、管理を最小限に抑えることができます。ただしこの場合の欠点は、証明書が失効または期限切れとなった場合にすべてのサブドメインが影響を受けることです。
ワイルドカード証明書を取得するには、認証局によって詳細に説明されている手順に従います。
パスワード保護された証明書:
Access Gatewayはパスワード保護された証明書をサポートしません。パスワード保護された証明書をアップロードする場合、Access Gatewayが再起動するたびに証明書のパスワードを再入力する必要があります。パスワードの再入力を行わなかった場合、ゲートウェイは正しく機能しません。
次の手順