| キャッシュ機能説明書 (統合環境設定編) |
|
目次
索引
|
| 付録C 証明書/鍵管理環境の作成/設定ツール |
本付録では、SSL(Secure Sockets Layer)使用時の証明書/鍵管理環境の作成/設定コマンドについて説明します。
Linux版では、mksltコマンドおよびmktknコマンドをサポートしていないため、UTF-8証明書を使用しない場合でも、"UTF-8証明書を使用する場合のコマンド"(makeslot,maketoken)を使用してください。
Solaris 10では、mksltコマンドおよびmktknコマンドをサポートしていないため、UTF-8証明書を使用しない場合でも、"UTF-8証明書を使用する場合のコマンド"(makeslot,maketoken)を使用してください。
なお、証明書/鍵管理環境を作成するにあたり、以下の管理ディレクトリが必要となりますので、事前に作成してください。
− スロット情報ディレクトリ
− 運用管理ディレクトリ
− 証明書管理ディレクトリ
− CRL管理ディレクトリ
SolarisおよびLinuxの場合の例)
|
# mkdir /home/slot スロット情報ディレクトリ |
注)#は、InfoProxy管理者資格で実行する場合のコマンドプロンプトであることを示します。
Windowsの場合の例)
|
mkdir d:\slot スロット情報ディレクトリ |
証明書/鍵管理環境の作成/設定コマンドは、以下のディレクトリに格納されます。
【SolarisおよびLinuxの場合】
【Windowsの場合】
秘密鍵管理環境の作成/設定コマンドは、UTF-8証明書を使用する場合と使用しない場合で異なります。
使用する証明書に合ったコマンドを使用してください。
■スロットの生成コマンド: mkslt
【書 式】
mkslt -sd Slot-directory
【機 能】
スロットを生成する。スロットに設定するスロットパスワードを対話入力する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-sd |
スロット情報ディレクトリ(Slot-directory)をフルパスで指定する。 |
【備 考】
−指定したスロット情報ディレクトリが存在しない場合はエラーとなり、コマンドは異常終了する。
−スロットパスワードは、表C.2.1の文字セットから6〜128文字で指定する。条件を満たさない文字列を指定した場合、コマンドは異常終了する。
|
カテゴリ |
文字 |
|---|---|
|
英字 |
ABCDEFGHIJKLMNOPQRSTUVWXYZ |
|
数字 |
0123456789 |
|
記号 |
!"#%&'()*+,-./:;<=>?[\]^_{|}~ |
|
空白 |
' ' |
注:記号の"\"は、コード0x5cに該当する文字であり、表示する環境によってはバックスラッシュとなる。
−設定したスロットパスワードは、トークンを生成して組み込みを行う際に必要となる。
−スロットの生成に成功した場合、生成したスロットのスロットIDを出力する。
Solarisの場合の例)/home/slotにスロットを生成する。
|
# mkslt -sd /home/slot |
注1:スロットパスワードの対話入力時、入力される文字はエコーバックされない。
注2:Linux版ではmksltコマンドはサポートしていない。
注3:Solaris10ではmksltコマンドはサポートしていない。
■トークンの生成コマンド: mktkn
【書 式】
mktkn -sd Slot-directory -sn SlotID -tl TokenLabel
【機 能】
トークンを生成してスロットに組み込む。トークンに設定するSO-PIN、ユーザPINの入力を対話的に行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-sd |
スロット情報ディレクトリ(Slot-directory)をフルパスで指定する。 |
|
-sn |
生成するトークンの組み込み先スロットをスロットID(SlotID)で指定する。 |
|
-tl |
生成したトークンに設定するトークンラベル(TokenLabel)を、32文字以内で指定する。32文字に満たない場合は空白が埋められる。指定可能な文字セットについては表C.2.1に示す。 ※空白文字を文字列の先頭に指定することはできない。 |
【備 考】
−指定したスロット情報ディレクトリが存在しない場合はエラーとなり、コマンドは異常終了する。
−トークンラベルは利用者がトークンを特定するために使用される情報である。したがって、トークンが使用されるシステム内で一意なものを指定すること。
−指定したSO-PINは、トークンパスワードとしても設定される。
−SO-PIN(トークンパスワードと兼用)、ユーザPINは、それぞれ以下の条件を満たした文字列を指定する必要がある。
|
項目 |
内容 |
有効文字 |
有効文字数 |
|---|---|---|---|
|
SO-PIN |
トークンパスワードと兼用。トークンの初期化などの際に必要。 |
表C.2.1 |
6-128 |
|
ユーザPIN |
トークン内のオブジェクトの操作などに必要。 |
表C.2.1 |
6-128 |
Solarisの場合の例)スロットIDが"1"のスロットに、"Token01"というラベルのトークンを生成する。
|
# mktkn -sd /home/slot -sn 1 -tl Token01 |
注1:組込み先のスロットに設定されているスロットパスワードの入力が促される。
注2:スロットパスワード、SO-PIN、ユーザPINの対話入力時、入力される文字はエコーバックされない。
注3:Linux版ではmktknコマンドをサポートしていない。
注4:Solaris10ではmktknコマンドをサポートしていない。
■スロットの生成コマンド: makeslot
【書 式】
makeslot [ -d Slot-directory ]
【機 能】
トークンを組み込むためのスロットを生成し、スロットに設定するスロットパスワードの入力を対話的に行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-d |
スロット情報フォルダ(Slot-directory)をフルパスで指定する。省略可能であるが、必ず指定しアプリケーション固有のスロット情報フォルダを作成する必要がある。 |
【備 考】
−スロットパスワードは、表C.2.1の文字セットから6〜128文字で指定する。条件を満たさない文字列を指定した場合、コマンドは異常終了する。
−設定したスロットパスワードは、トークンを生成して組み込みを行う際に必要となる。
−スロットの生成に成功した場合、生成したスロットのスロットIDを出力する。
Windowsの場合の例) スロット情報フォルダ"c:\temp\slotdir"配下にスロットを生成する。
|
makeslot -d c:\temp\slotdir |
注1)スロットに設定するスロットパスワードの入力が促される。
注2)設定するスロットパスワードが「表C.2.1の文字セット」と「6〜128文字の長さ」の条件を満たしていなければ、Specifiedpassword is illegal; try again. が表示され、再入力を求る。再入力可能な回数は3回までであり、これをこえるとコマンドはエラーとなる。
注3)設定したスロットパスワードが、再入力したスロットパスワードと一致していない場合は、They don't match; try again.が表示され、再入力を求める。再入力可能な回数は3回までであり、これをこえるとコマンドはエラーとなる。
注4)スロットパスワードの対話入力時、入力される文字はエコーバックされない。
注5)スロットパスワードの対話入力時、入力した文字を間違えた場合は、Back spaceキーで文字列の修正を行う。
なお、その他のキー(例えば、Deleteキーなど)を押下した場合は、指定可能でない文字を入力したものと見なす。
■トークンの生成コマンド: maketoken
【書 式】
maketoken [ -d Slot-directory ] -s SlotID [ -t TokenLabel ]
【機 能】
トークンを生成してスロットに組み込み、トークンに設定するSO-PIN、ユーザPINの入力を対話的に行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-d |
スロット情報フォルダ(Slot-directory)をフルパスで指定する。 |
|
-s |
生成するトークンの組み込み先スロットをスロットID(SlotID)で指定する。 |
|
-t |
生成したトークンに設定するトークンラベル(TokenLabel)を、32文字以内で指定する。32文字に満たない場合は空白が埋められる。指定可能な文字セットについては表C.2.1に示します。 |
【備 考】
−本コマンドの実行により、デバイスモデルがFLM03のトークンが生成される。
−起動中のアプリケーションプログラムにおいて、生成したトークンを有効にするためには、アプリケーションプログラム再起動が必要。
−User-PIN、SO-PINは、それぞれ以下の条件を満たした文字列を指定する必要がある。
|
項目 |
内容 |
有効文字 |
有効文字数 |
|---|---|---|---|
|
SO-PIN |
トークンを初期化するときに必要となる。 |
表C.2.1 |
6-128 |
|
User-PIN |
トークン内の鍵の操作に必要となる。 |
表C.2.1 |
6-128 |
Windowsの場合の例) "Token01"というラベルのトークンを生成し、スロットIDが"1"のスロットに組み込む。
|
maketoken -d c:\temp\slotdir -s 1 -t Token01 |
注1)組み込み先のスロットに設定されているスロットパスワードの入力が促される。
注2)実行例「New SO-PIN for Token01:」でトークンに設定するSO-PINを入力する。
注3)実行例「New User-PIN for Token01:」でトークンに設定するUser-PINの入力が促される。
注4)設定するSO-PIN、User-PINが「表1の文字セット」と「6〜128文字の長さ」の条件を満たしていなければ、「Specified password is illegal; try again.」 が表示され、再入力を求める。再入力可能な回数は3回までであり、これをこえるとコマンドはエラーとなる。
注5)再入力したSO-PIN、User-PINが一致していない場合は、「They don't match; try again.」が表示され、再入力を求める。再入力可能な回数は3回までであり、これを超えるとコマンドはエラーとなる。
注6)スロットパスワード、SO-PIN、User-PINの対話入力時、入力される文字はエコーバックされない。
注7)スロットパスワード、SO-PIN、User-PINの対話入力時、入力した文字を間違えた場合は、Back spaceキーで文字列の修正を行う。なお、その他のキー(例えば、Deleteキーなど)を押下した場合は、指定可能でない文字を入力したものと見なす。
■環境作成コマンド: cmmkenv
【書 式】
cmmkenv Environment-directory [-fromdir ValidCert-directory,CRL-directory] -todir ValidCert-directory,CRL-directory
【機 能】
証明書/鍵管理環境の運用で必要なディレクトリを作成し、初期設定する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
運用管理ディレクトリ名(Environment-directory)をフルパスで指定する。 |
|
|
-fromdir |
一般ファイルから移行する場合の必要な情報を指定する。新規の場合は省略する。 |
|
-todir |
新規に一般ファイル運用する場合のディレクトリ名を指定する。 |
【備 考】
−-fromdir、-todirの各パラメタを指定する場合は必ずコンマ(,)で区切って空白等は入力してはならない。
SolarisおよびLinuxの場合の例) -todir /home/sslcert/cert,/home/sslcert/crl
−移行する場合は、-fromdir(移行元ディレクトリ)と-todir(移行先ディレクトリ)を指定する。
−-todirに指定するValidCert-directoryとCRL-directoryに同一ディレクトリを指定することはできない。
SolarisおよびLinuxの場合の例)運用管理ディレクトリは/home/sslcert、証明書管理ディレクトリは/home/sslcert/cert、CRL管理ディレクトリは/home/sslcert/crlと指定し、証明書/鍵管理環境を初期設定する。
|
# cmmkenv /home/sslcert -todir /home/sslcert/cert,/home/sslcert/crl |
■環境設定コマンド: cmsetenv
【書 式】
cmsetenv Environment-directory -sd Slot-directory -jc JapaneseCode [-rc ContractCertList]
【機 能】
証明書/鍵管理環境にスロット情報ディレクトリおよび証明書/CRLを登録する際の日本語コード系の設定と日本ベリサイン株式会社および日本認証サービス株式会社のルート証明書(発行局証明書)の登録を行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
運用管理ディレクトリ名(Environment-directory)をフルパスで指定する。 |
|
|
-sd |
スロット情報ディレクトリ(Slot-directory )をフルパスで指定する。 |
|
-jc |
証明書およびCRLを登録する時に使用する日本語コード系を指定する。 |
|
-rc |
環境設定時、登録が必要である証明書が存在する場合、組み込み証明書一覧ファイル(ContractCertList)をフルパスで指定する。 |
※-rcパラメタは、コマンドUsageには表示されません。
【備 考】
−-rcパラメタを指定する場合、スロット(mksltコマンド)、およびトークンの作成(mktknコマンド)を行っておく必要がある。
−-rcパラメタ指定時、証明書を証明書管理環境に登録する時、証明書、またはニックネームの重複チェックを行う。この時、証明書およびニックネームとも同一であった場合、その証明書は登録せず当コマンドは正常終了する。また、同一証明書が既に別のニックネームで登録されている場合、または同一ニックネームで別の証明書が登録されている場合は、当コマンドはエラー終了する。
−-rcパラメタで指定できる組み込み証明書一覧ファイルとして、日本ベリサイン株式会社および日本認証サービス株式会社のルート証明書(発行局証明書)用の組み込み一覧ファイルがある。
組み込み一覧ファイルは、以下のフォルダに格納されている。
Solarisの場合
フォルダ :/opt/FSUNproxy/etc
ファイル名 :contractcertlist
Windowsの場合
フォルダ :InfoProxyインストールフォルダ\conf
ファイル名 :contractcertlist
Linuxの場合
フォルダ :/opt/FJSVproxy/etc
ファイル名 :contractcertlist
このファイルを登録することで、以下の証明書が登録される。
VeriSign/RSA Secure Server CA
VeriSign Class 1 Public Primary Certification Authority
VeriSign Class 2 Public Primary Certification Authority
VeriSign Class 3 Public Primary Certification Authority
VeriSign Class 1 Public Primary Certification Authority - G2
VeriSign Class 2 Public Primary Certification Authority - G2
VeriSign Class 3 Public Primary Certification Authority - G2
VeriSign Class 4 Public Primary Certification Authority - G2
SecureSign RootCA1
SecureSign RootCA2
SecureSign RootCA3
SolarisおよびLinuxの場合の例)運用管理ディレクトリは/home/sslcert、スロット情報ディレクトリは/home/slot、日本語コード系はUnicode2.0を指定し、証明書/鍵管理環境の設定を行う。
|
# cmsetenv /home/sslcert -sd /home/slot -jc 0 |
■申請書作成コマンド: cmmakecsr
【書 式】
cmmakecsr [-ed Environment-directory] -sd Slot-directory -tl TokenLabel -of OutFile [-f {TEXT|NOHEAD|V2} ] [-c Country] [-cn CommonName] [-o Organization] [-ou OrganizationUnit] [-ea EMailAddress] [-t Title] [-tel Phone] [-l Locality] [-s State] [-sa {SHA1|MD5} ] { -kl KeyLabel | [-kt RSA] [-kb {512|768|1024|2048} ] }
【機 能】
指定された情報を持つ証明書申請情報を作成し、ファイルに出力する。
鍵ペアを新規作成して申請書を作成する場合、-ktまたは-kbのどちらかを必ず指定する。既に存在する鍵ペアを使用して申請書を作成する場合は-klだけを指定する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory)をフルパスで指定する。 |
|
-sd |
スロット情報ディレクトリ(Slot-directory)をフルパスで指定する。 |
|
-tl |
使用する鍵の存在している、あるいは、新規作成した鍵を登録するトークンラベル(TokenLabel)を指定する。 |
|
-of |
申請書の出力先ファイル名(OutFile)をフルパスで指定する。 |
|
-f |
出力フォーマットを指定する。 |
|
-c |
国名(Country) を指定する。 |
|
-cn |
英数字氏名(CommonName)を指定する。 |
|
-o |
英数字組織名(Organization)を指定する。 |
|
-ou |
英数字組織単位名(OrganizationUnit)を指定する。 |
|
-ea |
メールアドレス(EMailAddress)を指定する。 |
|
-t |
肩書き(Title)を指定する。 |
|
-tel |
電話番号(Phone)を指定する。 |
|
-l |
市区町村名(Locality)を指定する。 |
|
-s |
都道府県名(State)を指定する。 |
|
-sa |
署名アルゴリズムを指定する。 |
|
-kl |
使用する鍵についているラベル(KeyLabel)を指定する。 |
|
-kt |
鍵を新規作成する場合、鍵のタイプを指定する。 |
|
-kb |
鍵を新規作成する場合、鍵の長さを指定する。 |
【備 考】
−-kt、-kbのどれかが指定された場合は、新規に鍵ペアが作成される。
−-klが指定された場合は、オプションパラメタとして指定されたラベルの鍵が使用される。
−-c、-cn、-o、-ou、-ea、-t、-tel、-l、-sのオプションは、このうちのどれか1つを必ず指定すること。
SolarisおよびLinuxの場合の例)証明書申請情報を、テキスト形式で/home/hanako/myCertRequestに出力する。
|
# cmmakecsr -ed /home/sslcert -sd /home/slot -f TEXT -c jp -cn "hanako fujitsu" -o fujitsu -ea hanako@fujitsu -s TOKYO -tl hanakotoken -kb 512 -of /home/hanako/myCertRequest |
注:本文字列が表示された場合は、ユーザPINを入力する。なお入力される文字はエコーバックされない。
■証明書登録コマンド: cmentcert
【書 式】
cmentcert FileName [-ed Environment-directory ] [-nv] [-ca | -own] [-nn NickName]
【機 能】
証明書を証明書/鍵管理環境に登録する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
登録するファイルが格納されているファイル名を、フルパスで指定する。 |
|
|
-ed |
運用管理ディレクトリ(Environment-directory ) をフルパスで指定する。 省略された場合、環境変数" CMIPATH"に設定されている情報が有効となる。 |
|
-nv |
登録時に証明書の検証を行わない場合に指定する。 |
|
-ca |
登録する証明書が、発行局(CA)の証明書の場合に指定する。 |
|
-own |
登録する証明書が、自分に対して発行されたものである場合に指定する。 |
|
-nn |
ニックネーム(NickName)を指定する。 ※空白文字を文字列の先頭、語尾に指定することはできない。 |
【備 考】
−ルートCA証明書から順番に登録しなければならない。
例) ルートCA証明書を登録 → そのルートCAが発行した中間CAの証明書を登録 → …
→ その中間CAが発行したユーザの証明書を登録
−証明書ファイルにBASE64形式の証明書を指定した場合、下記のヘッダ、フッタがついている場合は、その行は読み飛ばし処理する。なお、下記以外の形式で指定された場合はエラー終了する。また、指定された証明書ファイル内に複数の証明書が含まれている場合は、先頭のデータのみ対象となる。
ヘッダ:-----BIGINで始まる行
フッタ:-----ENDで始まる行
−-caオプションまたは-ownオプションを必ず指定する。省略した場合は、他人の証明書として登録されるので、InfoProxyでは有効とならない。
SolarisおよびLinuxの場合の例)ニックネーム(Jiro)を指定してInfoProxy証明書 (/entdir/Jiro.cert) の登録を行う。
|
# cmentcert /entdir/Jiro.cert -ed /home/sslcert -own -nn Jiro |
■証明書削除コマンド: cmrmcert
【書 式】
cmrmcert [-ed Environment-directory ] { -id CertID | -nn NickName }
【機 能】
証明書を証明書/鍵管理環境から削除する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory) をフルパスで指定する。 |
|
-id |
証明書識別名(CertID)を指定する。 |
|
-nn |
ニックネーム(NickName)を指定する。 |
【備 考】
−-idか、-nnのどちらかを必ず指定する。
− cmlistcertコマンドで証明書識別名(CertID)またはニックネームを確認できる。
SolarisおよびLinuxの場合の例)ニックネーム(Jiro)を指定して証明書の削除を行う。
|
# cmrmcert -ed /home/sslcert -nn Jiro |
■CRL登録コマンド: cmentcrl
【書 式】
cmentcrl FileName [-ed Environment-directory ] [-nv]
【機 能】
CRLを証明書/鍵管理環境に登録する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
FileName |
登録するCRLが格納されているファイル名を、フルパスで指定する。 |
|
-ed |
運用管理ディレクトリ(Environment-directory)をフルパスで指定する。 |
|
-nv |
登録時にCRLの検証を行わない場合に指定する。 |
【備 考】
−CRL登録の際、同じ発行局が発行した古いCRLが存在する場合、古いCRLは削除される。
−登録するCRLの発行者である発行局の証明書は、あらかじめ登録しておかなければならない。
−CRLファイルにBASE64形式のCRLを指定した場合、下記のヘッダ、フッタがついている場合は、その行は読み飛ばし処理する。なお、下記以外の形式で指定された場合はエラー終了する。また、指定されたCRLファイル内に複数のCRLが含まれている場合は、先頭のデータのみ対象となる。
ヘッダ:-----BIGINで始まる行
フッタ:-----ENDで始まる行
SolarisおよびLinuxの場合の例)検証してCRL(/entdir/Jiro.crl)の登録を行う。
|
# cmentcrl /entdir/Jiro.crl -ed /home/sslcert |
■証明書一覧出力コマンド: cmlistcert
【書 式】
cmlistcert [-ed Environment-directory] [-c Country] [-cn CommonName] [-o Organization] [-ou OrganizationUnit] [-ea EMailAddress] [-ic Country] [-icn CommonName] [-io Organization] [-iou OrganizationUnit] [-iea EMailAddress] [-ca] [-own] [-nn NickName]
【機 能】
指定された検索キーに該当する証明書の情報を、標準出力に出力する。
-c、-cn、-o、-ou、-ea、-ca、-own、-nnのすべてを省略した場合、すべての証明書の一覧を表示する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory ) をフルパスで指定する。 |
|
-c |
国名(Country) を指定する。 |
|
-cn |
英数字氏名(CommonName) を指定する。 |
|
-o |
英数字組織名(Organization) を指定する。 |
|
-ou |
英数字組織単位名(OrganizationUnit) を指定する。 |
|
-ea |
メールアドレス(EMailAddress)を指定する。 |
|
-ic |
証明書発行者の国名(Country) を指定する。 |
|
-icn |
証明書発行者の英数字氏名(CommonName) を指定する。 |
|
-io |
証明書発行者の英数字組織名(Organization) を指定する。 |
|
-iou |
証明書発行者の英数字組織単位名(OrganizationUnit) を指定する。 |
|
-iea |
証明書発行者のメールアドレス(EMailAddress)を指定する。 |
|
-ca |
一覧表示する証明書が、発行局の証明書の場合に指定する。 |
|
-own |
一覧表示する証明書が、自分に対して発行されたものである場合に指定する。 |
|
-nn |
ニックネーム(NickName)を指定する。 |
【備 考】
−リスト表示の対象となる証明書は、証明書管理ディレクトリに登録されているものに限る。
−項目名はオプション名と同一である。
−上表のオプションに対する情報が設定されていない項目は表示しない。
SolarisおよびLinuxの場合の例)英数字組織名(Organization)にFujitsuを含む証明書の一覧表示を行う。
|
# cmlistcert -ed /home/sslcert -o Fujitsu CertID=vu6sdPOks1PpzzL+04Fabvcpa= c=jp, |
■証明書内容出力コマンド: cmdspcert
【書 式】
cmdspcert [-ed Environment-directory ] {-id CertID | -nn NickName | -fn FileName } [-sl Select] [oc OutCODE] [-of OutFile]
【機 能】
指定された証明書の内容を項目ごとに編集、標準出力、またはファイルに出力する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory ) をフルパスで指定する。 |
|
-id |
登録済みの証明書を表示する場合だけ、cmlistcertコマンドで表示された証明書識別名(CertID)を指定する。 |
|
-nn |
登録済みの証明書を表示する場合だけ、登録時に指定したニックネーム(NickName)を指定する。 |
|
-fn |
未登録の証明書を表示する場合だけ、証明書ファイル名(FileName)を指定する。 |
|
-sl |
表示形式(Select)を指定する。 |
|
-oc |
表示結果を出力する際の日本語コード系(OutCODE)を指定する。 |
|
-of |
表示結果を出力するファイル名(OutFile) をフルパスで指定する。 |
【備 考】
−-id、-nn、-fnの、どれかを指定しなければならない。
−-fnパラメタでBASE64形式の証明書を指定した場合、下記のヘッダ、フッタがついている場合は、その行は読み飛ばし処理する。なお、下記以外の形式で指定された場合はエラー終了する。また、指定された証明書ファイル内に複数の証明書が含まれている場合は、先頭のデータのみ対象となる。
ヘッダ:-----BIGINで始まる行
フッタ:-----ENDで始まる行
−識別名情報が設定されていない項目は表示しない。
SolarisおよびLinuxの場合の例)ニックネーム(Jiro)を指定して証明書内容表示を行う。
|
# cmdspcert -ed /home/sslcert -nn Jiro CERTIFICATE: FINGERPRINT: C6 D5 71 87 0C 01 A3 58 4F 46 09 A2 B3 E8 22 1F |
■CRL一覧出力コマンド: cmlistcrl
【書 式】
cmlistcrl [-ed Environment-directory] [-c Country] [-cn CommonName] [-o Organization] [-ou OrganizationUnit] [-ea EMailAddress]
【機 能】
指定された検索キーに該当するCRLの情報を、標準出力に出力する。
-c、-cn、-o、-ou、-eaのすべてを省略した場合、すべてのCRLの一覧を表示する。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
-ed |
運用管理ディレクトリ(Environment-directory) をフルパスで指定する。 |
|
-c |
発行者の国名(Country) を指定する。 |
|
-cn |
発行者の英数字氏名(CommonName) を指定する。 |
|
-o |
発行者の英数字組織名(Organization) を指定する。 |
|
-ou |
発行者の英数字組織単位名(OrganizationUnit) を指定する。 |
|
-ea |
発行者のメールアドレス(EMailAddress)を指定する。 |
【備 考】
−リスト表示の対象となるCRLは、CRL管理ディレクトリに登録されているものに限る。
−項目名はオプション名と同一である。
−上表のオプションに対する情報が設定されていない項目は表示しない。
SolarisおよびLinuxの場合の例)英数字組織名(Organization)にFujitsuを含むCRLの一覧表示を行う。
|
# cmlistcrl -ed /home/sslcert -o Fujitsu CrlID=e4GbxyzagpDwsEGea243Kn+Ufay |
pfxデータ作成/登録のポイント
pfxデータ作成時には、「サイト証明書」のニックネームを指定してください。pfxデータ作成コマンドは、サイト証明書、その秘密キー、サイト証明書の発行局証明書(ルートCA証明書までの一式)を取り出し、pfxデータを作成します。
pfxデータ登録時には、pfxデータ内にCA証明書が含まれているため、「-entca」を指定してください。これにより、pfxデータ作成時に取り出した、サイト証明書、その秘密キー、サイト証明書の発行局証明書(ルートCA証明書までの一式)を同時に登録することができます。
■pfxデータ作成コマンド: cmmkpfx
【書 式】
cmmkpfx FileName [-ed Environment-directory] {-sn slotID|-tl TokenLabel} -nn NickName
【機 能】
指定されたニックネームに対応する証明書(経路中の証明書も含む)及び秘密鍵を証明書管理環境及び鍵管理環境より取り出し、pfx(PKCS#12形式)データファイルを出力する。
なお、UserPIN及びpfxデータを暗号化するPasswordの入力は対話的に行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
FileName |
pfxデータを格納するファイル名をフルパスで指定する。 |
|
-ed |
運用管理フォルダ(Environment-directory)をフルパスで指定する。省略された場合、環境変数”CMIPATH”に設定されている情報が有効とみなす。 |
|
-sn |
証明書及び鍵が存在するトークンのslotIDを指定する。 |
|
-tl |
証明書及び鍵が存在するトークンに設定されているTokenLabelを指定する。複数同じラベルがあるとエラーになる。 |
|
-nn |
ニックネーム(NickName)を指定する。 |
【備 考】
− -tlパラメタに指定されたトークンは、cmsetenvコマンドの-sdパラメタで指定したスロット情報フォルダ配下のトークンが検索対象となる。
− -tlパラメタに指定されたトークンは、他のアプリケーションがアクセスしている場合、排他エラーになる場合がある。
− 取り出す対象となる証明書は、指定されたnicknameに対応する証明書及びその証明書の検証に必要な証明書経路中の証明書が対象となる。
− 指定されたnicknameの証明書に対応する秘密鍵が存在しない場合はエラー終了する。
− 指定されたnicknameの証明書が複数存在する場合はエラー終了する。cmgetcertlistで確認して、取出したい場合はcmchgnicknameコマンドでニックネームを変更する必要がある。
− 扱えるパスワードは長さ6〜128の範囲で、指定可能な文字セットについては、表C.2.1を参照。
− 証明書が-sn | -tlパラメタで指定したトークンに存在しないと証明書管理環境の証明書を検索する。
Windowsの場合の例)
|
cmmkpfx d:\sslenv\entdir\Jiro.pfx -ed d:\sslenv\cmi\env -tl token1 -nn Jiro |
注1:User-PIN及びPasswordの入力はエコーバックされない。
■pfxデータ登録コマンド: cmentpfx
【書 式】
cmentpfx FileName [-ed Environment-directory] {-sn slotID|-tl TokenLabel} [-kl KeyLabel] -nn NickName [-entca] [-sncert]
【機 能】
pfx(PKCS#12形式)データファイル内に格納されている証明書、及び秘密鍵を証明書管理環境、鍵管理環境に登録します。UserPIN、及びpfxデータを復号化するパスワードの入力は対話的に行う。
【オプション】
|
オプション |
項目概要 |
|---|---|
|
FileName |
pfxデータが格納されているファイル名をフルパスで指定する。 |
|
-ed |
運用管理フォルダ(Environment-directory)をフルパスで指定する。省略された場合、環境変数”CMIPATH”に設定されている情報が有効とみなす。 |
|
-sn |
秘密鍵を登録するトークンのslotIDを指定する。 |
|
-tl |
秘密鍵を登録するトークンに設定されているTokenLabelを指定します。複数同じラベルがあるとエラーになる。 |
|
-kl |
登録する秘密鍵につけるラベルをASCII文字列で指定します。省略するとラベルなしで登録する。 |
|
-nn |
ニックネーム(NickName)を指定する。 |
|
-entca |
pfxデータ内にCA証明書が含まれており、それが運用管理環境に未登録である場合にCA証明書を登録する。 |
|
-sncert |
証明書を秘密鍵と同じトークンに登録する場合に指定します。省略すると証明書管理環境に登録する。 |
【備 考】
− 本コマンドで扱えるpfx(PKCS#12)データファイルは、以下の製品で作成されたファイルが対象となる。
− ルートCA証明書が登録されていない場合、検証エラーが発生しpfxデータ内の証明書は登録されない。
− 本コマンドは、pfxデータファイルに含まれているCRLは扱えない。
− -tlパラメタに指定されたトークンラベルは、cmsetenvコマンドの-sdパラメタで指定したスロット情報フォルダ配下のトークンが検索対象となる。
− -tlパラメタに指定されたトークンは、他のアプリケーションがアクセスしている場合、排他エラーになる場合がある。
− 本コマンドで登録する証明書経路中の証明書は、-nnパラメタに指定したニックネームの文字列+4桁の数字で登録する。4桁の数字は、0001からの順に始まる。例えば-nnにnicknameと指定すると経路の上位からnickmake0001,nickname0002,…というニックネームで登録される。登録前に自分が指定するニックネーム及びニックネーム+00*の証明書がないことをcmlistcertコマンドで確認する必要がある。
− 既に同一ニックネームで証明書が登録されている場合、または、別ニックネームで既に証明書が登録されている場合はエラーとなる。
− パスワードは、cmmkpfxで指定したパスワードを指定する。
Windowsの場合の例)
|
cmentpfx d:\sslenv\entdir\Jiro.pfx -ed d:\sslenv\cminew\env -tl token1 -nn Jiro |
注1:User-PIN及びPasswordの入力はエコーバックされない。
|
目次
索引
|