| Interstage Application Server セキュリティシステム運用ガイド |
|
目次
索引
|
| 第4部 SSLによる暗号化通信 | > 第14章 Portable-ORBでSSLを利用する方法 | > 14.2 Portable-ORBの環境設定 | > 14.2.1 証明書の登録 |
認証局(証明書発行局)から証明書を取得し、登録します。
クライアント証明書なしでの運用を行う場合、本操作を行う必要はありません。
認証局(証明書発行局)が発行した証明書を使用する場合は、認証局(証明書発行局)に証明書の発行を依頼し、証明書を取得する必要があります。認証局(証明書発行局)から証明書を取得する手順を以下に示します。
認証局(証明書発行局)へ証明書の発行を依頼するための証明書取得申請書を作成します。
keytoolコマンドの-genkeyオプションを使用して鍵のペア(公開鍵および関連する非公開鍵)を生成します。生成した公開鍵には、自己署名証明書が含まれています。
keytoolコマンドの-certreqオプションを使用して証明書取得申請書を作成します。
証明書申請情報をファイル“C:\sslenv\myCertRequest”に出力します。
|
keytool -genkey -alias porbkey -keyalg RSA -keysize 1024 -keystore "%PORB_HOME%"\etc\keystore -validity 365 |
注1)キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
注2)表示に従い、作成者名、組織単位名、組織名、都市名などを入力します。
注3)注2で入力した情報が正しい場合は、“yes”を入力します。
注4)鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します(省略時は、キーストアのパスワードと同一)。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
証明書申請情報をファイル“/home/ssluser/myCertRequest”に出力します。
|
keytool -genkey -alias porbkey -keyalg RSA -keysize 1024 -keystore $PORB_HOME/etc/keystore -validity 365 |
注1)キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
注2)表示に従い、作成者名、組織単位名、組織名、都市名などを入力します。
注3)注2で入力した情報が正しい場合は、“yes”を入力します。
注4)鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します(省略時は、キーストアのパスワードと同一)。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
証明書取得申請書を認証局(証明書発行局)へ送付し、クライアント証明書の発行を依頼します。依頼方法は、各認証局(証明書発行局)での方法に従ってください。
なお、認証局(証明書発行局)はCORBAサーバと同一のものを使用してください。
認証局(証明書発行局)により署名された証明書を取得します。取得方法は、各認証局(証明書発行局)での方法に従ってください。
認証局(証明書発行局)から送付されたクライアント証明書をキーストアに登録します。
クライアント証明書は、keytoolコマンドの-importオプションを使用して、証明書取得申請書を取得する際に使用した別名(alias)を指定して登録します。
PKCS#7形式のクライアント証明書“C:\sslenv\porbcert.p7c”を登録(別名はporbkey)します。
|
keytool -import -alias porbkey -file C:\sslenv\porbcert.p7c -keystore "%PORB_HOME%"\etc\keystore |
注1)キーストアのパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
注2)鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
PKCS#7形式のクライアント証明書“/home/ssluser/porbcert.p7c”を登録(別名はporbkey)します。
|
keytool -import -alias porbkey -file /home/ssluser/porbcert.p7c -keystore $PORB_HOME/etc/keystore |
注1)キーストアのパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
注2)鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
Portable-ORBクライアントでSSLを使用する場合、認証局(証明書発行局)としてCORBAサーバと同一のものを使用します。このため、通常、認証局の証明書(発行局証明書)はすでに登録済みになっています。
Portable-ORBクライアントの認証局(証明書発行局)としてCORBAサーバと同一のものが使用されなかった場合は、以下のメッセージ(認証局の証明書(発行局証明書)が未登録である場合に出力されるメッセージ)が出力されることがあります。この場合の対処について説明します。
◇PKCS#7形式のクライアント証明書を登録する場合
|
応答したトップレベルの証明書: |
[ユーザの対処]
本メッセージに対して、“yes”を入力します。
“証明書応答がキーストアにインストールされました。”と表示され、クライアント証明書がキーストア内に登録されます。
また、CORBAサーバ側の環境設定を見直してください。CORBAサーバ側にPortable-ORBクライアントで取得した認証局の証明書(発行局証明書)が登録されていない場合は、登録してください。
◇DER(バイナリ)形式またはBase64エンコード形式のクライアント証明書を登録する場合
|
keytool エラー: java.lang.Exception: 応答から連鎖を確立できませんでした。 |
[ユーザの対処]
Portable-ORBクライアントで取得した認証局の証明書(発行局証明書)を登録した後、クライアント証明書を登録してください。
また、CORBAサーバ側の環境設定を見直してください。CORBAサーバ側にPortable-ORBクライアントで取得した認証局の証明書(発行局証明書)が登録されていない場合は、登録してください。
|
目次
索引
|