| IIOPアプリケーションゲートウェイ説明書 (運用管理Webサーバ編) |
|
目次
索引
|
| 付録C 証明書/鍵管理環境の作成/設定ツール |
本付録では、SSL(Secure Socket Layer)使用時の証明書/鍵管理環境の作成/設定コマンドについて説明します。
なお、証明書/鍵管理環境を作成するにあたり、以下の管理ディレクトリが必要となりますので、事前に作成してください。
− スロット情報ディレクトリ
− 運用管理ディレクトリ
− 証明書管理ディレクトリ
− CRL管理ディレクトリ
例)
|
# mkdir /home/slot スロット情報ディレクトリ |
注)#は、Interstage Proxy管理者資格で実行する場合のコマンドプロンプトであることを示します。
また、証明書/鍵管理環境の作成/設定コマンド(FJSVsmeeパッケージ)は、以下のディレクトリに格納されます。
インストールディレクトリ/FJSVsmee/bin配下
■スロットの生成コマンド: mkslt
【書 式】
mkslt -sd Slot-directory
【機 能】
スロットを生成する。スロットに設定するスロットパスワードを対話入力する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-sd |
スロット情報ディレクトリ(Slot-directory)をフルパスで指定する。 |
【備 考】
−指定したスロット情報ディレクトリが存在しない場合はエラーとなり、コマンドは異常終了する。
−スロットパスワードは、表C.2.1の文字セットから6〜128文字で指定する。条件を満たさない文字列を指定した場合、コマンドは異常終了する。
表C.2.1:指定可能な文字セット
|
カテゴリ |
文字 |
|---|---|
|
英字 |
ABCDEFGHIJKLMNOPQRSTUVWXYZ |
|
数字 |
0123456789 |
|
記号 |
!"#%&'()*+,-./:;<=>?[\]^_{|}~ |
|
空白 |
' ' |
注:記号の"\"は、コード0x5cに該当する文字であり、表示する環境によってはバックスラッシュとなる。
−設定したスロットパスワードは、トークンを生成して組み込みを行う際に必要となる。
−スロットの生成に成功した場合、生成したスロットのスロットIDを出力する。
例)/home/slotにスロットを生成する。
|
# mkslt -sd /home/slot |
注:スロットパスワードの対話入力時、入力される文字はエコーバックされない。
■トークンの生成コマンド: mktkn
【書 式】
mktkn -sd Slot-directory -sn SlotID -tl TokenLabel
【機 能】
トークンを生成してスロットに組み込む。トークンに設定するSO-PIN、ユーザPINの入力を対話的に行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-sd |
スロット情報ディレクトリ(Slot-directory)をフルパスで指定する。 |
|
-sn |
生成するトークンの組み込み先スロットをスロットID(SlotID)で指定する。 |
|
-tl |
生成したトークンに設定するトークンラベル(TokenLabel)を、32文字以内で指定する。32文字に満たない場合は空白が埋められる。指定可能な文字セットについては表C.2.1に示す。 ※空白文字を文字列の先頭に指定することはできない。 |
【備 考】
−指定したスロット情報ディレクトリが存在しない場合はエラーとなり、コマンドは異常終了する。
−トークンラベルは利用者がトークンを特定するために使用される情報である。したがって、トークンが使用されるシステム内で一意なものを指定すること。
−指定したSO-PINは、トークンパスワードとしても設定される。
−SO-PIN(トークンパスワードと兼用)、ユーザPINは、それぞれ以下の条件を満たした文字列を指定する必要がある。
|
項目 |
内容 |
有効文字 |
有効文字数 |
|---|---|---|---|
|
SO-PIN |
トークンパスワードと兼用。トークンの初期化などの際に必要。 |
表C.2.1 |
6-128 |
|
ユーザPIN |
トークン内のオブジェクトの操作などに必要。 |
表C.2.1 |
6-128 |
例)スロットIDが"1"のスロットに、"Token01"というラベルのトークンを生成する。
|
# mktkn -sd /home/slot -sn 1 -tl Token01 |
注1:組込み先のスロットに設定されているスロットパスワードの入力が促される。
注2:スロットパスワード、SO-PIN、ユーザPINの対話入力時、入力される文字はエコーバックされない。
■トークンの初期化コマンド: initkn
【書 式】
initkn -sd Slot-directory -tl TokenLabel
【機 能】
指定したスロットに存在するトークンの初期化を行う。初期化したトークンに設定するユーザPINの入力を対話的に行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-sd |
スロット情報ディレクトリ(Slot-directory)をフルパスで指定する。 |
|
-tl |
初期化するトークンのトークンラベル(TokenLabel)を指定する。 |
【備 考】
−初期化したトークンに設定する新しいSO-PIN、ユーザPIN、トークンラベルの入力を対話的に行う。トークンラベルは利用者がトークンを特定するために使用される情報である。したがって、トークンが使用されるシステム内で一意なものを指定すること。
−本コマンドの実行時、他から対象トークンへのアクセスがない状態を確保する必要がある。それ以外の状態での動作は保証しない。
例)トークン名が"Token01"のトークンを初期化する。
|
# initkn -sd /home/slot -tl Token01 |
注1:SO-PIN、ユーザPINの対話入力時、入力される文字はエコーバックされない。
注2:コマンドは初期化実行の確認を行う。
■PINの変更コマンド: setpin
【書 式】
setpin -ed Environment-directory -tl TokenLabel [-s]
【機 能】
指定したトークンのPINの変更を行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory)をフルパスで指定する。 |
|
-tl |
ユーザPIN変更対象トークンを、ラベル(TokenLabel)で指定する。 |
|
-s |
SO-PINの変更を行う際に指定する。 |
【備 考】
−PINの変更には、変更前のPINが必要である。
−"-s"オプションを指定することで、SO-PINの変更を行える。
−本コマンドの実行時、他から対象トークンへのアクセスがない状態を確保する必要がある。それ以外の状態での動作は保証しない。
−本コマンドでは、cmsetenvコマンドで設定した環境情報を参照してスロット情報ディレクトリを環境変数に設定する。したがって、環境情報にスロット情報ディレクトリが設定されている必要がある。
例1)ラベルが"Token01"のトークンの、ユーザPINを変更する。
|
# setpin -ed /home/sslcert -tl Token01 |
注:ユーザPINの対話入力時、入力される文字はエコーバックされない。
例2)ラベルが"Token01"のトークンの、SO-PINを変更する。
|
# setpin -ed /home/sslcert -tl Token01 -s |
注:SO-PINの対話入力時、入力される文字はエコーバックされない。
■環境作成コマンド: cmmkenv
【書 式】
cmmkenv Environment-directory [-fromdir ValidCert-directory,CRL-directory] -todir ValidCert-directory,CRL-directory
【機 能】
証明書/鍵管理環境の運用で必要なディレクトリを作成し、初期設定する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
運用管理ディレクトリ名(Environment-directory)をフルパスで指定する。 |
|
|
-fromdir |
一般ファイルから移行する場合の必要な情報を指定する。新規の場合は省略する。 |
|
-todir |
新規に一般ファイル運用する場合のディレクトリ名を指定する。 |
【備 考】
−-fromdir、-todirの各パラメタを指定する場合は必ずコンマ(,)で区切って空白等は入力してはならない。
例 -todir /home/sslcert/cert,/home/sslcert/crl
−移行する場合は、-fromdir(移行元ディレクトリ)と-todir(移行先ディレクトリ)を指定する。
−-todirに指定するValidCert-directoryとCRL-directoryに同一ディレクトリを指定することはできない。
例)運用管理ディレクトリは/home/sslcert、証明書管理ディレクトリは/home/sslcert/cert、CRL管理ディレクトリは/home/sslcert/crlと指定し、証明書/鍵管理環境を初期設定する。
|
# cmmkenv /home/sslcert -todir /home/sslcert/cert,/home/sslcert/crl |
■環境設定コマンド: cmsetenv
【書 式】
cmsetenv Environment-directory -sd Slot-directory -jc JapaneseCode
【機 能】
証明書/鍵管理環境にスロット情報ディレクトリおよび証明書/CRLを登録する際の日本語コード系の設定を行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
運用管理ディレクトリ名(Environment-directory)をフルパスで指定する。 |
|
|
-sd |
スロット情報ディレクトリ(Slot-directory )をフルパスで指定する。 |
|
-jc |
証明書およびCRLを登録する時に使用する日本語コード系を指定する。 |
【備 考】
なし。
例)運用管理ディレクトリは/home/sslcert、スロット情報ディレクトリは/home/slot、日本語コード系はUnicode2.0を指定し、証明書/鍵管理環境の設定を行う。
|
# cmsetenv /home/sslcert -sd /home/slot -jc 0 |
■申請書作成コマンド: cmmakecsr
【書 式】
cmmakecsr [-ed Environment-directory] -sd Slot-directory -tl TokenLabel -of OutFile [-f {TEXT|NOHEAD|V2} ] [-c Country] [-cn CommonName] [-o Organization] [-ou OrganizationUnit] [-ea EMailAddress] [-t Title] [-tel Phone] [-l Locality] [-s State] [-sa {SHA1|MD5} ] { -kl KeyLabel | [-kt RSA] [-kb {512|768|1024|2048} ] }
【機 能】
指定された情報を持つ証明書申請情報を作成し、ファイルに出力する。
鍵ペアを新規作成して申請書を作成する場合、-ktまたは-kbのどちらかを必ず指定する。既に存在する鍵ペアを使用して申請書を作成する場合は-klだけを指定する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory)をフルパスで指定する。 |
|
-sd |
スロット情報ディレクトリ(Slot-directory)をフルパスで指定する。 |
|
-tl |
使用する鍵の存在している、あるいは、新規作成した鍵を登録するトークンラベル(TokenLabel)を指定する。 |
|
-of |
申請書の出力先ファイル名(OutFile)をフルパスで指定する。 |
|
-f |
出力フォーマットを指定する。 |
|
-c |
国名(Country) を指定する。 |
|
-cn |
英数字氏名(CommonName)を指定する。 |
|
-o |
英数字組織名(Organization)を指定する。 |
|
-ou |
英数字組織単位名(OrganizationUnit)を指定する。 |
|
-ea |
メールアドレス(EMailAddress)を指定する。 |
|
-t |
肩書き(Title)を指定する。 |
|
-tel |
電話番号(Phone)を指定する。 |
|
-l |
市区町村名(Locality)を指定する。 |
|
-s |
都道府県名(State)を指定する。 |
|
-sa |
署名アルゴリズムを指定する。 |
|
-kl |
使用する鍵についているラベル(KeyLabel)を指定する。 |
|
-kt |
鍵を新規作成する場合、鍵のタイプを指定する。 |
|
-kb |
鍵を新規作成する場合、鍵の長さを指定する。 |
【備 考】
−-kt、-kb、-sfのどれかが指定された場合は、新規に鍵ペアが作成される。
−-klが指定された場合は、オプションパラメタとして指定されたラベルの鍵が使用される。
−-c、-cn、-o、-ou、-ea、-t、-tel、-l、-sのオプションは、このうちのどれか1つを必ず指定すること。
例)証明書申請情報を、テキスト形式で/home/hanako/myCertRequestに出力する。
|
# cmmakecsr -ed /home/sslcert -sd /home/slot -f TEXT -c jp -cn "hanako fujitsu" -o fujitsu -ea hanako@fujitsu -s TOKYO -tl hanakotoken -kb 512 -of /home/hanako/myCertRequest |
注:本文字列が表示された場合は、ユーザPINを入力する。なお入力される文字はエコーバックされない。
■証明書登録コマンド: cmentcert
【書 式】
cmentcert FileName [-ed Environment-directory ] [-nv] [-ca] [-own] [-nn NickName]
【機 能】
証明書を証明書/鍵管理環境に登録する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
登録するファイルが格納されているファイル名を、フルパスで指定する。 |
|
|
-ed |
運用管理ディレクトリ(Environment-directory ) をフルパスで指定する。 省略された場合、環境変数" CMIPATH"に設定されている情報が有効となる。 |
|
-nv |
登録時に証明書の検証を行わない場合に指定する。 |
|
-ca |
登録する証明書が、発行局(CA)の証明書の場合に指定する。 |
|
-own |
登録する証明書が、自分に対して発行されたものである場合に指定する。 |
|
-nn |
ニックネーム(NickName)を指定する。 ※空白文字を文字列の先頭、語尾に指定することはできない。 |
【備 考】
なし。
例)ニックネーム(Jiro)を指定してInterstage Proxy証明書 (/entdir/Jiro.cert) の登録を行う。
|
# cmentcert /entdir/Jiro.cert -ed /home/sslcert -own -nn Jiro |
■証明書削除コマンド: cmrmcert
【書 式】
cmrmcert [-ed Environment-directory ] { -id CertID | -nn NickName }
【機 能】
証明書を証明書/鍵管理環境から削除する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory) をフルパスで指定する。 |
|
-id |
証明書識別名(CertID)を指定する。 |
|
-nn |
ニックネーム(NickName)を指定する。 |
【備 考】
−-idか、-nnのどちらかを必ず指定する。
− cmlistcertコマンドで証明書識別名(CertID)またはニックネームを確認できる。
例)ニックネーム(Jiro)を指定して証明書の削除を行う。
|
# cmrmcert -ed /home/sslcert -nn Jiro |
■CRL登録コマンド: cmentcrl
【書 式】
cmentcrl FileName [-ed Environment-directory ] [-nv]
【機 能】
CRLを証明書/鍵管理環境に登録する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
FileName |
登録するCRLが格納されているファイル名を、フルパスで指定する。 |
|
-ed |
運用管理ディレクトリ(Environment-directory)をフルパスで指定する。 |
|
-nv |
登録時にCRLの検証を行わない場合に指定する。 |
【備 考】
−CRL登録の際、同じ発行局が発行した古いCRLが存在する場合、古いCRLは削除される。
例)検証してCRL(/entdir/Jiro.crl)の登録を行う。
|
# cmentcrl /entdir/Jiro.crl -ed /home/sslcert |
■証明書一覧出力コマンド: cmlistcert
【書 式】
cmlistcert [-ed Environment-directory] [-c Country] [-cn CommonName] [-o Organization] [-ou OrganizationUnit] [-ea EMailAddress] [-ic Country] [-icn CommonName] [-io Organization] [-iou OrganizationUnit] [-iea EMailAddress] [-ca] [-own] [-nn NickName]
【機 能】
指定された検索キーに該当する証明書の情報を、標準出力に出力する。
-c、-cn、-o、-ou、-ea、-ca、-own、-nnのすべてを省略した場合、すべての証明書の一覧を表示する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory ) をフルパスで指定する。 |
|
-c |
国名(Country) を指定する。 |
|
-cn |
英数字氏名(CommonName) を指定する。 |
|
-o |
英数字組織名(Organization) を指定する。 |
|
-ou |
英数字組織単位名(OrganizationUnit) を指定する。 |
|
-ea |
メールアドレス(EMailAddress)を指定する。 |
|
-ic |
証明書発行者の国名(Country) を指定する。 |
|
-icn |
証明書発行者の英数字氏名(CommonName) を指定する。 |
|
-io |
証明書発行者の英数字組織名(Organization) を指定する。 |
|
-iou |
証明書発行者の英数字組織単位名(OrganizationUnit) を指定する。 |
|
-iea |
証明書発行者のメールアドレス(EMailAddress)を指定する。 |
|
-ca |
一覧表示する証明書が、発行局の証明書の場合に指定する。 |
|
-own |
一覧表示する証明書が、自分に対して発行されたものである場合に指定する。 |
|
-nn |
ニックネーム(NickName)を指定する。 |
【備 考】
−リスト表示の対象となる証明書は、証明書管理ディレクトリに登録されているものに限る。
−項目名はオプション名と同一である。
−上表のオプションに対する情報が設定されていない項目は表示しない。
例)英数字組織名(Organization)にFujitsuを含む証明書の一覧表示を行う。
|
# cmlistcert -ed /home/sslcert -o Fujitsu CertID=vu6sdPOks1PpzzL+04Fabvcpa= c=jp, |
■証明書内容出力コマンド: cmdspcert
【書 式】
cmdspcert [-ed Environment-directory ] {-id CertID | -nn NickName | -fn FileName } [-sl Select] [oc OutCODE] [-of OutFile]
【機 能】
指定された証明書の内容を項目ごとに編集、標準出力、またはファイルに出力する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory ) をフルパスで指定する。 |
|
-id |
登録済みの証明書を表示する場合だけ、cmlistcertコマンドで表示された証明書識別名(CertID)を指定する。 |
|
-nn |
登録済みの証明書を表示する場合だけ、登録時に指定したニックネーム(NickName)を指定する。 |
|
-fn |
未登録の証明書を表示する場合だけ、証明書ファイル名(FileName)を指定する。 |
|
-sl |
表示形式(Select)を指定する。 |
|
-oc |
表示結果を出力する際の日本語コード系(OutCODE)を指定する。 |
|
-of |
表示結果を出力するファイル名(OutFile) をフルパスで指定する。 |
【備 考】
−-id、-nn、-fnの、どれかを指定しなければならない。
−識別名情報が設定されていない項目は表示しない。
−表示形式を以下の例に示す。
例)ニックネーム(Jiro)を指定して証明書内容表示を行う。
|
# cmdspcert -ed /home/sslcert -nn Jiro CERTIFICATE: FINGERPRINT: C6 D5 71 87 0C 01 A3 58 4F 46 09 A2 B3 E8 22 1F |
■CRL一覧出力コマンド: cmlistcrl
【書 式】
cmlistcrl [-ed Environment-directory] [-c Country] [-cn CommonName] [-o Organization] [-ou OrganizationUnit] [-ea EMailAddress]
【機 能】
指定された検索キーに該当するCRLの情報を、標準出力に出力する。
-c、-cn、-o、-ou、-eaのすべてを省略した場合、すべてのCRLの一覧を表示する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory) をフルパスで指定する。 |
|
-c |
発行者の国名(Country) を指定する。 |
|
-cn |
発行者の英数字氏名(CommonName) を指定する。 |
|
-o |
発行者の英数字組織名(Organization) を指定する。 |
|
-ou |
発行者の英数字組織単位名(OrganizationUnit) を指定する。 |
|
-ea |
発行者のメールアドレス(EMailAddress)を指定する。 |
【備 考】
−リスト表示の対象となるCRLは、CRL管理ディレクトリに登録されているものに限る。
−項目名はオプション名と同一である。
−上表のオプションに対する情報が設定されていない項目は表示しない。
例)英数字組織名(Organization)にFujitsuを含むCRLの一覧表示を行う。
|
# cmlistcrl -ed /home/sslcert -o Fujitsu CrlID=e4GbxyzagpDwsEGea243Kn+Ufay |
|
目次
索引
|