Powered by Zoomin Software. For more details please contactZoomin

Flowmon User Guide

Table of Contents

証明書

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: May 27, 2026
  • 9 minute read
    • Flowmon Products
    • Flowmon
    • Documentation

[証明書]ページを使用して、Flowmonプローブからのフローの暗号化(TLS)エクスポートのためのキーとX.509証明書を管理します。 TLSによるフローの暗号化は、双方を認証します。 双方が、同じルートCA証明書に対して署名チェーンが検証された証明書を提示します。

証明書画面
証明書画面

テーブルの各行には、1つのルートCA証明書が一覧表示されます。 ルートCA証明書を展開して、その証明書ペアを表示します。 証明書ペアとは、展開されたルートCAによって署名されたデバイス証明書とそのプライベートキーを指します。

ルートCA証明書の追加

新しいルートCA証明書をアップロードするには、[新しいCA証明書]をクリックし、次の情報を入力します。

  • 名前
  • 説明(オプション)
  • 証明書ファイル(.crtまたは.pem)

証明書ペアの追加

新しい証明書ペアをアップロードするには、[新しい証明書ペア]をクリックし、次の情報を入力します。

  • 名前
  • 説明(オプション)
  • プライベートキーファイル(.key)
  • 証明書ファイル(.crtまたは.pem)

証明書ペアを追加したら、TCP/TLSエクスポートターゲットで使用することができます。 [使用状況]列には、証明書ペアを使用しているターゲットの数が表示され、詳細表示には個々のターゲットが一覧表示されます。

すべての証明書は、ダウンロード(ダウンロードアイコン)、交換(鉛筆アイコン)、または削除(ゴミ箱アイコン)することができます。 証明書ペアは、それを使用しているターゲットが存在しない場合にのみ削除することができます。 ルートCA証明書は、そのすべての証明書ペアを削除した後でのみ削除することができます。 テーブルの使用回数を更新するには、[再読み込み]をクリックします。

キーの生成

FlowmonアプライアンスやほとんどのLinuxおよびWindowsシステムにインストールされているOpenSSLツールキットを使用して、キーと証明書を生成することができます。

TCP/TLSの場合、以下を生成する必要があります。

  • ルートCAのプライベートキーと自己署名のCA証明書(CAをローテーションしない限り、一回のみ)。
  • 暗号化されたトランスポートに参加する各デバイス(プローブまたはコレクタ)に対するプライベートキーと署名された証明書。

ルートCA証明書

まだコーポレートCAがない場合は、プライベートキーと自己署名のルート証明書を生成します。

  1. CAプライベートキーを生成します:
openssl genrsa -out rootCA.key 2048
  1. 自己署名のルートCA証明書を生成します:
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

During the prompt, enter the Distinguished Name (DN) fields. You can leave fields empty by pressing Enter or entering a period (.). Sample input:

You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CZ
State or Province Name (full name) [Some-State]:n/a
Locality Name (eg, city) []:Brno
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Flowmon Networks, a.s.
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:flowmon.com
Email Address []:example@flowmon.com

rootCA.keyを安全に保管してください。信頼が必要な場合のみ、rootCA.pemを配布してください。

プローブとコレクタの証明書

各プローブおよび各コレクタのために1つづつ証明書を作成してください。すべては同じCAによって署名されなければなりません。必要に応じてプレースホルダ<name>を置き換えてください。

補足:

プライベートキーをパスワードで保護しないでください。パスワードで保護されたキーはサポートされていません。

  1. プライベートキーを生成します:
openssl genrsa -out <name>.key 2048
  1. 証明書署名要求(CSR)を作成します:
openssl req -new -key <name>.key -out <name>.csr

Enter the DN fields. Set the Common Name to the appliance Fully Qualified Domain Name (FQDN) or IP address used by peers (for example, 127.0.0.1 or probe01.example.com).

You are about to be asked to enter information that will be incorporated into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank. 
----- 
Country Name (2 letter code) [AU]:CZ 
State or Province Name (full name) [Some-State]:n/a 
Locality Name (eg, city) []:Brno 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Flowmon Networks, a.s. 
Organizational Unit Name (eg, section) []:IT 
Common Name (e.g. server FQDN or YOUR name) []:127.0.0.1 
Email Address []:example@flowmon.com 
Please enter the following 'extra' attributes to be sent with your certificate request 
A challenge password []: 
An optional company name []:
  1. (オプションですが推奨): X.509 v3拡張を定義する拡張ファイルを作成します:
cat > <name>.v3.ext << EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
EOF
  1. CA証明書とキーを使ってCSRに署名します:
openssl x509 -req -in <name>.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out <name>.crt -days 1024 -sha256 -extfile <name>.v3.ext

Command output example:

Signature ok
subject=/C=CZ/ST=n/a/L=Brno/O=Flowmon Networks, a.s./OU=IT/CN=127.0.0.1/emailAddress=example@flowmon.com 
Getting CA Private Key

出来上がったファイル

  • rootCA.key: ルートCAのプライベートキー(秘密にしてください)。
  • rootCA.pem: ルートCAの自己署名証明書(信頼のために配布)。
  • rootCA.srl: 発行された証明書のシリアル番号を追跡するために自動的に作成されたシリアルファイル。
  • <name>.key: デバイスのプライベートキー(デバイス上でのみ保持してください)。
  • <name>.crt: ルートCAによって署名されたデバイス証明書。
  • <name>.v3.ext: 署名中に使用される拡張ファイル(オプションで署名後に削除可能)。
  • <name>.csr: CSR (一時的なもので、署名後に削除可能)。
TitleResults for “How to create a CRG?”Also Available inAlert