|
Interstage Application Server Smart Repository運用ガイド
|
目次
索引
 
|
2.3.1 Interstage証明書環境の構築(サーバ)
Smart Repositoryのサーバで構築します。
ここでは、CSR(証明書取得申請書)を利用した、Interstage証明書環境の構築方法について説明します。
Interstage証明書環境は、以下の手順で構築します。
- Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成
- 証明書の発行依頼
- 証明書とCRL(証明書失効リスト)の登録
なお、Interstage証明書環境を構築した後は、証明書を利用するための環境設定が必要です。詳細は、“証明書を利用するための設定(サーバ)”を参照してください。
以降で使用する各コマンドの詳細は、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
コマンドはAdministrator権限をもつユーザで実行してください。
コマンドはスーパユーザで実行してください。
環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定して実行してください。
SSLなど、署名や暗号処理を行うには、証明書を取得する必要があります。そのために、認証局(Systemwalker PkiMGR、日本ベリサイン株式会社、日本認証サービス株式会社のいずれか)へ証明書の発行を依頼するためのデータである、CSR(証明書取得申請書)を作成します。
このとき、Interstage証明書環境が存在しなければ、同時にInterstage証明書環境も作成されます。存在している場合には、そのInterstage証明書環境が利用されます。
以下の場合は、テスト用証明書を使用することはできません。テスト用証明書ではなく、CSRを作成してください。
- スタンドアロン形態のSmart Repositoryのサーバ
- レプリケーション形態のスレーブサーバ
- レプリケーション形態でクライアント認証をする場合のマスタサーバ
CSRの作成例を以下に示します。
CSRの作成と同時に、日本ベリサイン株式会社と日本認証サービス株式会社の認証局の証明書の登録も行います。
サイト証明書のニックネーム SiteCert
申請書の出力先ファイル名 C:\sslenv\my_csr.txt
名前 repository.fujitsu.com
組織単位名 Interstage
組織名 Fujitsu Ltd.
都市名 Yokohama
地方名 Kanagawa
国名コード jp
|
scsmakeenv -n SiteCert -f C:\sslenv\my_csr.txt -c
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\sslenv\my_csr.txt> |
サイト証明書のニックネーム SiteCert
申請書の出力先ファイル名 /sslenv/my_csr.txt
名前 repository.fujitsu.com
組織単位名 Interstage
組織名 Fujitsu Ltd.
都市名 Yokohama
地方名 Kanagawa
国名コード jp
|
# scsmakeenv -n SiteCert -c -f /sslenv/my_csr.txt
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</sslenv/my_csr.txt>
|
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
注2) 入力する内容については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
注3) 表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。
サイト証明書のニックネーム SiteCert
申請書の出力先ファイル名 C:\sslenv\my_csr.txt
名前 repository.fujitsu.com
組織単位名 Interstage
組織名 Fujitsu Ltd.
都市名 Yokohama
地方名 Kanagawa
国名コード jp
|
scsmakeenv -n SiteCert -f C:\sslenv\my_csr.txt
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\sslenv\my_csr.txt> |
サイト証明書のニックネーム SiteCert
申請書の出力先ファイル名 /sslenv/my_csr.txt
名前 repository.fujitsu.com
組織単位名 Interstage
組織名 Fujitsu Ltd.
都市名 Yokohama
地方名 Kanagawa
国名コード jp
|
# scsmakeenv -n SiteCert -f /sslenv/my_csr.txt
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</sslenv/my_csr.txt>
|
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
注2) 入力する内容については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
注3) 表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。
- -nオプションに指定したニックネームは、サイト証明書の登録時にも指定しますので、忘れないでください。
- CSRを作成すると、Interstage証明書環境に秘密鍵が作成されます。秘密鍵を保護するために、証明書を入手するまでの間、Interstage証明書環境をバックアップしてください。バックアップ方法については、“Interstage運用ガイド”の“資源のバックアップとリストア”を参照してください。
なお、バックアップしていないときにInterstage証明書環境が破壊された場合、Interstage証明書環境の作成(CSRの作成)と証明書の発行依頼を再度行う必要があります。
認証局に証明書の発行を依頼し、証明書を取得します。
scsmakeenvコマンドが正常に終了すると、申請書がscsmakeenvコマンドの“-f”オプションで指定した証明書取得申請書(CSR)を格納するファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。
認証局から取得した証明書とCRLをInterstage証明書環境に登録します。
証明書は、認証局自身の証明書から順に登録してください。
認証局の証明書の登録
取得した認証局の証明書を登録します。
登録例を以下に示します。
認証局の証明書 C:\sslenv\CA.der
認証局の証明書のニックネーム CA
|
scsenter -n CA -f C:\sslenv\CA.der
Password: (注1)
Certificate was added to keystore
SCS: 情報: scs0104: 証明書を登録しました。 |
認証局の証明書 /sslenv/CA.der
認証局の証明書のニックネーム CA
|
# scsenter -n CA -f /sslenv/CA.der
Password: (注1)
Certificate was added to keystore
UX: SCS: 情報: scs0104: 証明書を登録しました。 |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
サイト証明書の登録
発行された証明書をサイト証明書として登録します。
登録例を以下に示します。
サイト証明書 C:\sslenv\SiteCert.der
サイト証明書のニックネーム SiteCert
|
scsenter -n SiteCert -f C:\sslenv\SiteCert.der -o
Password: (注1)
Certificate reply was installed in keystore
SCS: 情報: scs0104: 証明書を登録しました。 |
サイト証明書 /sslenv/SiteCert.der
サイト証明書のニックネーム SiteCert
|
# scsenter -n SiteCert -f /sslenv/SiteCert.der -o
Password: (注1)
Certificate reply was installed in keystore
UX: SCS: 情報: scs0104: 証明書を登録しました。 |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
CRLの登録
取得したCRLを登録します。
登録例を以下に示します。
CRL C:\sslenv\CRL.der
|
scsenter -c -f C:\sslenv\CRL.der
Password: (注1)
SCS: 情報: scs0105: CRLを登録しました。 |
CRL /sslenv/CRL.der
|
# scsenter -c -f /sslenv/CRL.der
Password: (注1)
UX: SCS: 情報: scs0105: CRLを登録しました。 |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
Interstage証明書環境のバックアップ
取得した証明書・CRLを登録後は必ず、Interstage証明書環境をバックアップしてください。バックアップ方法については、“Interstage運用ガイド” の“資源のバックアップとリストア”を参照してください。
なお、Interstage証明書環境をバックアップしていなかった場合にInterstage証明書環境が破壊されると、Interstage証明書環境の作成(CSRの作成)や、証明書の発行依頼を再度行うことになります。
例を以下に示します。
|
mkdir X:\Backup\scs
xcopy /E C:\Interstage\etc\security X:\Backup\scs (注1) |
|
# mkdir /backup/scs
# cp -rp /etc/opt/FJSVisscs/security /backup/scs (注1) |
注1) リムーバブル媒体などに退避しておくことを推奨します。
All Rights Reserved, Copyright(C) 富士通株式会社 2005