TLS 証明書の管理 - Amazon DCV

TLS 証明書の管理

Amazon DCV では、Amazon DCV クライアントと Amazon DCV サーバー間のトラフィックの保護に使用する自己署名証明書が自動的に生成されます。デフォルトでは、他の証明書がインストールされていない場合にこの証明書が使用されます。デフォルトの証明書には 2 つのファイルが含まれています。これらは証明書そのものです (dcv.pem) とキー (dcv.key))。詳細については、「自己署名証明書によるリダイレクトの説明」を参照してください。

DCV クライアントユーザーがサーバーに接続すると、サーバーの証明書に関する警告が表示される場合があり、ユーザーは接続が確立される前に検証できます。

ユーザーが ウェブブラウザを使用して接続する場合、サーバーの証明書を信頼するかどうかに関する警告がブラウザによって表示され、管理者に問い合わせて証明書の信頼性を確認するように推奨される場合があります。

同様に、Windows、Linux、または macOS クライアントを使用している場合は、特定の証明書のフィンガープリントを Amazon DCV サーバー管理者に確認するように勧められる場合があります。

証明書のフィンガープリントの信頼性を検証するには、dcv list-endpoints -j を実行して出力を証明書のフィンガープリントと照合します。

デフォルトの Amazon DCV 証明書とキーは、独自の証明書とキーに置き換えることができます。

独自の証明書を生成するときは、特定のニーズを満たす証明書属性を選択します。CN (Common Name) 属性は、ほとんどの場合、ホストのパブリックホスト名と一致します。SAN (Subject Alternative Name) 属性を指定してホストの IP アドレスに設定することがあるかもしれません。

証明書の生成方法については、個別の認証機関のドキュメントを参照してください。

重要

独自の証明書とキーを使用する場合は、証明書の名前を dcv.pem に、キーの名前を dcv.key にする必要があります。

Windows Amazon DCV server
Windows でサーバーの TLS 証明書を変更する方法

  • Windows Amazon DCV サーバーの以下の場所に証明書とキーを配置してください。

    C:\Windows\System32\config\systemprofile\AppData\Local\NICE\dcv\
Linux Amazon DCV server
Linux でサーバーの TLS 証明書を変更する方法

  1. Linux Amazon DCV サーバーの以下の場所に証明書とキーを配置してください。

    /etc/dcv/

  2. 両方のファイルの所有権を dcv ユーザーに付与し、そのアクセス許可を 600 (所有者のみ、それらのファイルの読み書きが可能) に変更します。

    $  sudo chown dcv dcv.pem dcv.key
    $  sudo chmod 600 dcv.pem dcv.key
注記

Amazon DCV 2022.0 以降では、Amazon DCV サーバーの実行中に証明書ファイルを更新すると、新しい証明書が自動的に再ロードされます。それより前のバージョンの Amazon DCV では、Amazon DCV サーバーを手動で停止して再起動する必要があります。