| Interstage Application Server セキュリティシステム運用ガイド |
|
目次
索引
|
| 第3部 SSLによる暗号化通信 | > 第6章 SMEEコマンドによる証明書/鍵管理環境の構築と利用 | > 6.2 証明書/鍵管理環境の構築方法 |
取得した証明書とCRLを証明書/CRL管理環境に登録します。
登録したあとは、証明書/鍵管理環境をバックアップするようにしてください。バックアップ方法は、“Interstage Application Server 運用ガイド”の各サービスにおけるバックアップ方法を参照するか、または、“12.5 証明書/鍵管理環境の移行方法”の“1.既存の資源(秘密鍵、証明書)を取り出す”を参照してください。
取得した認証局の証明書を証明書/CRL管理環境へ登録します。
運用で利用する証明書(サイト証明書やクライアント証明書)を発行した認証局の証明書は、すべて登録してください。なお、日本ベリサイン株式会社や日本認証サービス株式会社の認証局の証明書は、cmsetenvコマンドで登録してください。
証明書は、ルート証明書から順に登録してください。
登録例を以下に示します。
認証局の証明書がd:\sslenv\ca-cert.derに格納されている場合の実行例を示します。
|
cmentcert d:\sslenv\ca-cert.der -ed d:\sslenv\sslcert -ca -nn CACert |
認証局の証明書が/export/home/ca-cert.derに格納されている場合の実行例を示します。
|
# cmentcert /export/home/ca-cert.der -ed /export/home/sslcert -ca -nn CACert |
CORBAサービスでは、SSLを使用するすべてのCORBAサーバ、CORBAクライアントで同一の認証局の証明書を登録する必要があります。
認証局によっては、認証局証明書とサイト証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合、サイト証明書の登録の前に、認証局から配布されている中間CA証明書を登録してください。
なお、登録方法は認証局証明書の場合と同じです。“認証局の証明書(発行局証明書)の登録”を参照してください。
日本ベリサイン株式会社で発行されるセキュア・サーバIDは、2007年6月以降に仕様が変更され、中間CA証明書も提供されるようになります。日本ベリサイン株式会社のサイトを参照し、取得した中間CA証明書を登録してください。
認証局から発行されたサイト証明書を証明書/CRL管理環境へ登録します。
登録後は、証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。有効期間は、cmdspcertコマンドで確認できます。コマンドの詳細は、“リファレンスマニュアル(コマンド編) ”を参照してください。なお、証明書の更新については、“証明書を更新する(証明書の有効期限が切れる)場合”を参照してください。
登録例を以下に示します。
サイト証明書がd:\sslenv\my_site_cert.derに格納されている場合の実行例を示します。
|
cmentcert d:\sslenv\my_site_cert.der -ed d:\sslenv\sslcert -own -nn MySiteCert |
サイト証明書が/export/home/my_site_cert.derに格納されている場合の実行例を示します。
|
# cmentcert /export/home/my_site_cert.der -ed /export/home/sslcert -own -nn MySiteCert |
CORBAサービスでは、クライアント認証を行わない場合は、CORBAクライアントにおいてサイト証明書の登録を行う必要はありません。
CRLで失効確認をしない場合には、CRLを登録する必要はありません。
CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてください。
登録例を以下に示します。
CRLがd:\sslenv\crl.derに格納されている場合の実行例を示します。
|
cmentcrl d:\sslenv\crl.der -ed d:\sslenv\sslcert |
CRLが、/export/home/crl.derに格納されている場合の実行例を示します。
|
# cmentcrl /export/home/crl.der -ed /export/home/sslcert |
|
目次
索引
|