17.3.1.1 秘密鍵を必要とする場合の環境構築

Interstage Application Server セキュリティシステム運用ガイド

目次索引

第5部 Webサービス(SOAP)のセキュリティ

> 第17章 Webサービス(SOAP)でセキュリティ機能を使用するための環境設定

> 17.3 鍵ペア/証明書管理環境の構築方法

> 17.3.1 鍵ペア/証明書管理環境の構築

17.3.1.1 秘密鍵を必要とする場合の環境構築

　Webサービスで以下の機能を使用する場合、秘密鍵の作成およびサイト証明書を取得する必要があります。

SSLの暗号化通信でクライアント認証を行う場合
SOAP電子署名付加
XML暗号による復号化

　: 　クライアントシステム環境におけるSSLの暗号化通信の鍵ペア/証明書管理環境と、原本保証機能(SOAP電子署名、XML暗号)における鍵ペア/証明書管理環境を異なるものとする場合、原本保証機能の鍵ペア/証明書管理環境を構築時にsoapSetSecurityコマンド、およびsoapMngSecurityコマンドに-userenvオプションを指定してください。

■鍵ペア/証明書管理環境の作成と設定

　SSLクライアント認証、SOAP電子署名付加またはXML暗号による復号化を行うために必要な鍵ペア/証明書管理環境を作成します。

鍵ペアの作成と管理、証明書を登録/管理する証明書管理ファイル)を配置するディレクトリを作成します。
soapSetSecurity(鍵ペア/証明書管理環境作成)コマンドでWebサービス・セキュリティ環境情報ファイル、証明書管理ファイルを作成します。soapSetSecurityの使用は証明書を申請する認証局によって異なります。
以下に使用する認証局別に、soapSetSecurityコマンドの使用例を示します。

　

◆SystemWalker/PkiMGRを認証局とする場合

　: 別名(taro)、証明書管理ファイルのアクセス用パスワード(Interstage)を指定して、Webサービス・セキュリティ環境情報ファイルと証明書管理ファイル作成ディレクトリに証明書管理ファイルを作成します。Interstageのインストールディレクトリを"C:\Interstage"とします。
　　soapSetSecurity -f C:\Interstage\F3FMsoap\etc -p Interstage -alias taro
　: 別名(taro)、証明書管理ファイルアクセス用パスワード(Interstage)を指定して、Webサービス・セキュリティ環境情報ファイルと証明書管理ファイル作成ディレクトリに証明書管理ファイルを作成します。
　　soapSetSecurity -f /etc/opt/FJSVsoap/etc -p Interstage -alias taro

◆日本ベリサイン(株)、日本認証サービス(株)を認証局とする場合

　: 日本ベリサイン(株)、日本認証サービス(株)が発行したルート証明書を登録する場合は、soapSetSecurityコマンドの-rcオプションにルート証明書一覧ファイル(C:\Interstage\IS_cert\contractcertlist)を指定します。
　　soapSetSecurity -f C:\Interstage\F3FMsoap\etc -p Interstage -alias taro
　　　　　-rc C:\Interstage\IS_cert\contractcertlist
　: 日本ベリサイン(株)、日本認証サービス(株)が発行したルート証明書を登録する場合は、soapSetSecurityコマンドの-rcオプションにルート証明書一覧ファイル(/etc/opt/FJSVisas/contractcertlist)を指定します。
　　soapSetSecurity -f /etc/opt/FJSVsoap/etc -p Interstage -alias taro
　　　　　-rc /etc/opt/FJSVisas/contractcertlist

　ルート証明書として以下の証明書が証明書管理ファイルに格納されます。

[日本ベリサイン(株)発行ルート証明書]
- VeriSign/RSA Secure Server CA
- VeriSign Class 1 Public Primary Certification Authority
- VeriSign Class 2 Public Primary Certification Authority
- VeriSign Class 3 Public Primary Certification Authority
- VeriSign Class 1 Public Primary Certification Authority - G2
- VeriSign Class 2 Public Primary Certification Authority - G2
- VeriSign Class 3 Public Primary Certification Authority - G2
- VeriSign Class 4 Public Primary Certification Authority - G2
  　
[日本認証サービス(株)発行ルート証明書]
- SecureSign RootCA1
- SecureSign RootCA2
- SecureSign RootCA3

■認証局から証明書を取得

◆証明書発行要求の作成

　認証局へサイト証明書の発行を依頼するための証明書発行要求(CSR：Certificate Signing Request)を作成します。証明書発行要求の作成は、soapSetSecurity(鍵ペア/証明書管理環境作成)コマンドで公開鍵と秘密鍵の鍵ペアを作成した後、soapMngSecurity(証明書管理)コマンドで、秘密鍵に対応する証明書発行要求(CSR)を作成します。

　: 　soapMngSecurity -certreq -f 証明書申請書格納ファイル名 -p Interstage -alias taro

　オプションに指定するパスワードおよび別名は、soapSetSecurityコマンドで鍵ペア/証明書管理環境を作成した際に指定したものと同一ものを指定します。

◆証明書の発行依頼

　証明書発行要求を認証局に送り、認証局の証明書、サイト証明書の発行を依頼します。依頼方法は各認証局の方法に従ってください。

◆証明書の取得

　認証局により署名された証明書を取得します。取得方法は各認証局の方法に従ってください。

　: 　SOAP電子署名で使用する場合、認証局から取得するサイト証明書に含まれる公開鍵の使用用途として、電子署名を指定する必要があります。

■証明書の登録

　サイト証明書、認証局証明書を証明書管理ファイルに登録します。登録できる証明書の形式は、サイト証明書と認証局証明書を含んでいる形式(PKCS#7等)と、1つのサイト証明書、または認証局証明書のみ入っている形式のものが、soapMngSecurity(証明書管理コマンド)で登録できます。

Webサービスのセキュリティ機能を使用した通信で連携するすべてのサーバ、クライアントで同一の認証局証明書を登録する必要があります。
サイト証明書を登録する前に、認証局の証明書を異なる別名で登録しておく必要があります。認証局が中間認証局の場合には、ルートとなる認証局の証明書から順に登録してください。

　: 　サイト証明書、および認証局証明書を指定して証明書管理ファイルに登録します。; 　　soapMngSecurity -import -f 認証局証明書格納ファイル名 -p Interstage -alias cacert
　　soapMngSecurity -import -f サイト証明書格納ファイル名 -p Interstage -alias taro -own

目次索引