InfoDirectory使用手引書

目次 索引

D.9 証明書環境設定

　証明書環境の設定について説明します。

　SSL環境ファイルの設定を行う前に、証明書管理環境の作成と設定を行っておく必要があります。また、サーバ側、クライアント側両方に環境を用意する必要があります。

証明書環境の構成

サーバとクライアントが別々のマシンの場合

• クライアント側の構成

  発行局証明書
  クライアント用証明書
  秘密鍵
  
  または上記を含むPKCS12ファイル
  

• サーバ側の構成

  発行局証明書
  サーバ用証明書
  秘密鍵
  
  または上記を含むPKCS12ファイル
  

サーバとクライアントが同じマシンの場合

発行局証明書
証明書（サーバ、クライアント用を１つで共用可）
秘密鍵（同上）

または上記を含むPKCS12ファイル

　秘密鍵は、証明書取得申請の作成時に公開鍵と共に作成され、鍵環境内のトークンに格納されます。
またはPKCS12ファイル(鍵と証明書をペアで暗号化したもの)をインポートしたとき、鍵環境内のトークンに格納されます。

　設定を行う手順は、PKCS12ファイルがある場合と無い場合で異なります。

PKCS12ファイルがある場合とは、Systemwalker PkiMGR CAで鍵の作成と証明書の発行を行いPKCS12形式で取得する場合や、別の証明書環境から鍵と証明書をPKCS12でエクスポートする場合などです。
それぞれに応じた設定の手順を行ってください。

設定の流れ１（PKCS12ファイルがない場合）

サーバとクライアントが別々のマシンの場合

1. クライアント側証明書管理環境の設定
   1. 証明書取得申請書の作成

      クライアント用証明書を証明書発行局で発行してもらうための申請書を作成します。
      この時、鍵ペア（公開鍵と秘密鍵）が作成され、秘密鍵は鍵環境内のトークン内に格納されます。
      ここで指定するトークンラベルは、クライアント側SSL環境ファイルの設定時、証明書と対応するトークンを指定する際に使用します。

   2. 証明書の取得（発行局証明書、クライアント用証明書）

      証明書発行局でクライアント用証明書を発行してもらい、それを入手します。
      発行局自身の証明書も同時に入手しておきます。

   3. 発行局証明書のインポート

      発行局証明書を証明書管理環境に登録します。
      登録時に証明書環境内で一意の名前（ニックネーム）を指定します。

   4. クライアント用証明書のインポート

      クライアント用証明書を証明書管理環境に登録します。
      登録時に証明書管理環境内で一意の名前（ニックネーム）を指定します。
      ここで指定したニックネームは、クライアント側SSL環境ファイルの設定時、どの証明書を使用するか指定する際に使用します。

2. サーバ側証明書管理環境の設定
   1. 証明書取得申請書の作成

      サーバ用証明書を証明書発行局で発行してもらうための申請書を作成します。
      この時、鍵ペア（公開鍵と秘密鍵）が作成され、秘密鍵は鍵環境内のトークン内に格納されます。
      ここで指定するトークンラベルは、サーバ側SSL環境ファイルの設定時、証明書と対応するトークンを指定する際に使用します。

   2. 証明書取得（発行局証明書、サーバ用証明書）

      証明書発行局でサーバ用証明書を発行してもらい、それを入手します。
      発行局自身の証明書も同時に入手しておきます。

   3. 発行局証明書のインポート

      発行局証明書を証明書管理環境に登録します。
      登録時に証明書環境内で一意の名前（ニックネーム）を指定します。

   4. サーバ用証明書のインポート

      サーバ用証明書を証明書管理環境に登録します。
      登録時に証明書管理環境内で一意の名前（ニックネーム）を指定します。
      ここで指定したニックネームは、サーバ側SSL環境ファイルの設定時、どの証明書を使用するか指定する際に使用します。

サーバとクライアントが同じマシンの場合

1. 証明書取得申請書の作成

   サーバ・クライアント兼用証明書を証明書発行局で発行してもらうための申請書を作成します。
   この時、鍵ペア（公開鍵と秘密鍵）が作成され、秘密鍵は鍵環境内のトークン内に格納されます。
   ここで指定するトークンラベルは、サーバ側・クライアント側SSL環境ファイルの設定時、証明書と対応するトークンを指定する際に使用します。

2. 証明書の取得（発行局証明書、クライアント用証明書）

   証明書発行局でサーバ・クライアント兼用証明書を発行してもらい、それを入手します。
   発行局自身の証明書も同時に入手しておきます。

3. 発行局証明書のインポート

   発行局証明書を証明書管理環境に登録します。
   登録時に証明書環境内で一意の名前（ニックネーム）を指定します。

4. サーバ・クライアント兼用証明書のインポート

   サーバ・クライアント兼用証明書を証明書管理環境に登録します。
   登録時に証明書管理環境内で一意の名前（ニックネーム）を指定します。
   ここで指定したニックネームは、サーバ側・クライアント側SSL環境ファイルの設定時、どの証明書を使用するか指定する際に使用します。

設定の流れ２（PKCS12ファイルがある場合）

サーバとクライアントが別々のマシンの場合

1. クライアント側証明書管理環境の設定
   1. クライアント用PKCS12ファイルの取得

      Systemwalker PkiMGR CAで鍵の作成と証明書の発行を行いPKCS12形式で取得するか、別の証明書環境から鍵と証明書をPKCS12形式でエクスポートします。

   2. クライアント用PKCS12ファイルのインポート

      PKCS12ファイルのインポートにより、発行局証明書と秘密鍵とクライアント用証明書が環境に登録されます。
      証明書は登録時に証明書環境内で一意の名前（ニックネーム）を指定します。

2. サーバ側証明書管理環境の設定
   1. サーバ用PKCS12ファイルの取得

      Systemwalker PkiMGR CAで鍵の作成と証明書の発行を行いPKCS12形式で取得するか、別の証明書環境から鍵と証明書をPKCS12形式でエクスポートします。

   2. サーバ用PKCS12ファイルのインポート

      PKCS12ファイルのインポートにより、発行局証明書と秘密鍵とサーバ用証明書が環境に登録されます。
      証明書は登録時に証明書環境内で一意の名前（ニックネーム）を指定します。

サーバとクライアントが同じマシンの場合

1. PKCS12ファイルの取得

   Systemwalker PkiMGR CAで鍵の作成と証明書の発行を行いPKCS12形式で取得するか、別の証明書環境から鍵と証明書をPKCS12形式でエクスポートします。

2. PKCS12ファイルのインポート

   PKCS12ファイルのインポートにより、発行局証明書と秘密鍵と証明書が環境に登録されます。
   証明書は登録時に証明書環境内で一意の名前（ニックネーム）を指定します。

D.9.1 クライアント側証明書管理環境の設定

D.9.2 サーバ側証明書管理環境の設定

目次 索引