| Interstage Application Server セキュリティシステム運用ガイド |
|
目次
索引
|
| 第3部 SSLによる暗号化通信 | > 第5章 Interstage証明書環境の構築と利用 | > 5.4 PKCS#12によるInterstage証明書環境の構築方法 |
認証局から取得したPKCS#12データと証明書とCRLをInterstage証明書環境に登録します。
取得したPKCS#12データを移入すると、Interstage証明書環境にサイト証明書とそれに対応する秘密鍵と、認証局証明書が登録されます。そのため、PKCS#12データを移入後は、Interstage証明書環境のバックアップをするようにしてください。バックアップ方法については、“Interstage Application Server 運用ガイド”を参照してください。
なお、バックアップしていないときにInterstage証明書環境が破壊された場合、Interstage証明書環境の作成とPKCS#12データの移入を再度行う必要があります。
認証局証明書がPKCS#12データとは別に配布されている場合は、まず認証局の証明書を登録します。
登録例を以下に示します。
|
>scsenter -n CA -f C:\my_folder\CA.der |
|
>scsenter -n CA -f /usr/home/my_dir/CA.der |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
認証局証明書は、Interstage管理コンソールでは[システム] > [セキュリティ] > [証明書] > [認証局証明書]で参照できます。
CORBAサービスでは、SSLを使用するすべてのCORBAサーバ、CORBAクライアントで同一の認証局の証明書を登録する必要があります。CORBAサービスクライアントパッケージでの証明書の登録方法については“CORBAサービスでSSLを利用する方法”を参照してください。
PKCS#12データで配布されたサイト証明書と秘密鍵をInterstage証明書環境に移入します。
移入例を以下に示します。
|
> scsimppfx -f C:\my_folder\MyCert.p12 |
|
> scsimppfx -f /usr/home/my_dir/MyCert.p12 |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
注2) PKCS#12データを保護するためのパスワードを入力します。なお、入力した文字列はエコーバックされません。
サイト証明書は、Interstage管理コンソールでは[システム] > [セキュリティ] > [証明書] > [サイト証明書]で参照できます。証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。なお、証明書の更新については、“証明書を更新する(証明書の有効期限が切れる)場合”を参照してください。
信頼する他のサイトの証明書を登録します。
登録例を以下に示します。
|
>scsenter -n OtherSiteCert -f C:\my_folder\OtherSiteCert.der -e |
|
>scsenter -n OtherSiteCert -f /usr/home/my_dir/OtherSiteCert.der -e |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
信頼する他のサイトの証明書は、Interstage管理コンソールでは[システム] > [セキュリティ] > [証明書] > [認証局証明書]で参照できます。
CRLで失効確認をしない場合には、CRLを登録する必要はありません。
CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてください。
登録例を以下に示します。
|
>scsenter -c -f C:\my_folder\CRL.der |
|
>scsenter -c -f /usr/home/my_dir/CRL.der |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
Webサービスクライアント、SOAPクライアント、Servletサービス(コンテナ)では、CRLを参照した失効の確認は行われません。
|
目次
索引
|