| Interstage Application Server セキュリティシステム運用ガイド |
|
目次
索引
|
| 第3部 SSLによる暗号化通信 | > 第5章 Interstage証明書環境の構築と利用 |
運用開始後も、証明書や秘密鍵やCRLを管理する必要があります。
そのため、証明書の管理を行うための以下のコマンドを用意しています。
|
コマンド |
説明 |
|---|---|
|
scsmakeenv |
Interstage証明書環境を構築・変更します。また、CSRやテスト用証明書を作成することができます。 |
|
scsenter |
証明書またはCRLをInterstage証明書環境に登録します。 |
|
scslistcrl |
Interstage証明書環境に登録されているCRLの概要を表示します。 |
|
scsdelete |
サイト証明書とそれに対応する秘密鍵、または認証局の証明書をInterstage証明書環境から削除します。 |
|
scsexppfx |
Interstage証明書環境からPKCS#12データで移出(取り出し)します。 |
|
scsimppfx |
Interstage証明書環境にPKCS#12データを移入(登録)します。 |
以降に示すような場面に、コマンドが利用できます。
なお、各コマンドの書式、使用方法は、“リファレンスマニュアル(コマンド編)”を参照してください。
登録した証明書を利用するには、Interstage管理コンソールでの設定変更や反映が必要です。
有効期限が切れると、運用や機能が停止してしまう場合があります。有効期限が切れる前に、事前に新しい証明書を入手し、登録しておく必要があります。
新しい証明書を入手したら、使用する証明書を新しい証明書に切りかえるのが一般的な運用です。その際、今まで使用していた古い証明書は、削除せずにそのまま残しておいてください。
手順は、“環境の構築方法”を再度実行することになります。
運用変更により日本ベリサイン株式会社や日本認証サービス株式会社の発行する証明書も使用することになった場合、scsmakeenvコマンドで-cオプションを指定し、CSRを作成してください。
手順は、“環境の構築方法” を再度実行することになります。
運用開始時よりも利用する証明書が増えた時など、新たに証明書を発行してもらった場合や、新しいCRLを入手した場合は、scsenterコマンドでInterstage証明書環境に登録してください。
運用開始前や証明書の発行依頼中に、テスト用サイト証明書でシステム構築し動作確認を行うことができます。
scsmakeenvコマンドでテスト用サイト証明書を作成できます。なお、この場合、テスト用サイト証明書はInterstage証明書環境に自動的に登録されますので、scsenterコマンドで証明書を登録する必要はありません。
テスト用サイト証明書を利用可能な機能は、以下のとおりです。
なお、証明書はテスト用ですので、実際の運用では利用しないでください。
使用されなくなった証明書を削除することができます。
なお、サイト証明書を削除すると、対応する秘密鍵も削除されます。認証局証明書を削除すると、その認証局の発行した認証局証明書やサイト証明書は使用できなくなります。
十分注意の上、scsdeleteコマンドで削除してください。
なお、使用されなくなった証明書をそのまま残しておいても問題はありません。
サイト証明書とそれに対応する秘密鍵と、サイト証明書の検証に必要な認証局証明書を、PKCS#12データでバックアップすることができます。その場合、scsexppfxコマンドを使用します。作成されたPKCS#12データはパスワードで暗号化されているため、秘密鍵を安全に保管できます。
バックアップしたPKCS#12データをscsimppfxコマンドでリストアすることができます。また、scsimppfxコマンドで移行することもできます。
ただし、PKCS#12データには、信頼する他のサイト証明書を含めることはできません。Interstage証明書環境全体のバックアップをする場合には“運用ガイド”を参照してください。
|
目次
索引
|