4.1.1 Interstage証明書環境の構築（サーバ）

Interstage ディレクトリサービスのサーバ側で構築します。

ここでは、CSR(証明書取得申請書)を利用した、Interstage証明書環境の構築方法について説明します。

Interstage証明書環境は、以下の手順で構築します。

Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成
証明書の発行依頼
証明書とCRL(証明書失効リスト)の登録

なお、Interstage証明書環境を構築した後は、証明書を利用するための環境設定が必要です。詳細は、“4.1.2 証明書を利用するための設定（サーバ）”を参照してください。

以降で使用する各コマンドの詳細は、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。

コマンドはAdministrator権限をもつユーザで実行してください。

コマンドはスーパユーザで実行してください。
環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定して実行してください。

■Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成

SSL通信など、署名や暗号処理を行うには、証明書を取得する必要があります。そのために、認証局(Systemwalker PkiMGR、日本ベリサイン株式会社、日本認証サービス株式会社、またはサイバートラスト株式会社のいずれか)へ証明書の発行を依頼するためのデータである、CSR(証明書取得申請書)を作成します。
このとき、Interstage証明書環境が存在しなければ、同時にInterstage証明書環境も作成されます。存在している場合には、そのInterstage証明書環境が利用されます。

CSRを作成する際に指定するニックネームは、サイト証明書の登録時にも指定するため、忘れないようにしてください。
CSRを作成すると、Interstage証明書環境に秘密鍵が作成されます。秘密鍵を保護するために、証明書を入手するまでの間、Interstage証明書環境をバックアップしてください。バックアップ方法については、“運用ガイド(基本編)”の“資源のバックアップとリストア”を参照してください。
なお、バックアップしていないときにInterstage証明書環境が破壊された場合、Interstage証明書環境の作成(CSRの作成)と証明書の発行依頼を再度行う必要があります。
以下の場合は、テスト用証明書を使用することはできません。テスト用証明書ではなく、CSRを作成してください。
- スタンドアロン形態、またはデータベース共用形態のInterstage ディレクトリサービスのサーバ
- レプリケーション形態のスレーブサーバ(標準データベース使用時)
- レプリケーション形態でクライアント認証をする場合のマスタサーバ(標準データベース使用時)

CSRの作成例を以下に示します。

日本ベリサイン株式会社、日本認証サービス株式会社、またはサイバートラスト株式会社の証明書を使用する場合

CSRの作成と同時に、日本ベリサイン株式会社、日本認証サービス株式会社、またはサイバートラスト株式会社の認証局の証明書の登録も行います。

  サイト証明書のニックネーム  SiteCert
  申請書の出力先ファイル名  C:\sslenv\my_csr.txt
  名前  repository.fujitsu.com
  組織単位名  Interstage
  組織名  Fujitsu Ltd.
  都市名  Yokohama
  地方名  Kanagawa
  国名コード  jp

scsmakeenv -n SiteCert -f C:\sslenv\my_csr.txt -c
New Password: (注1)
Retype: (注1)

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\sslenv\my_csr.txt>

  サイト証明書のニックネーム  SiteCert
  申請書の出力先ファイル名  /sslenv/my_csr.txt
  名前  repository.fujitsu.com
  組織単位名  Interstage
  組織名  Fujitsu Ltd.
  都市名  Yokohama
  地方名  Kanagawa
  国名コード  jp

# scsmakeenv -n SiteCert -c -f /sslenv/my_csr.txt
New Password: (注1)
Retype: (注1)

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</sslenv/my_csr.txt>

注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
注2) 入力する内容については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
注3) 表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。

Systemwalker PkiMGRの証明書を使用する場合

scsmakeenv -n SiteCert -f C:\sslenv\my_csr.txt
New Password: (注1)
Retype: (注1)

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\sslenv\my_csr.txt>

# scsmakeenv -n SiteCert -f /sslenv/my_csr.txt
New Password: (注1)
Retype: (注1)

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</sslenv/my_csr.txt>

■証明書の発行依頼

認証局に証明書の発行を依頼し、証明書を取得します。

scsmakeenvコマンドが正常に終了すると、申請書がscsmakeenvコマンドの-fオプションで指定した証明書取得申請書(CSR)を格納するファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。

■証明書とCRL(証明書失効リスト)の登録

認証局から取得した証明書とCRLをInterstage証明書環境に登録します。
証明書は、認証局自身の証明書から順に登録してください。

認証局の証明書の登録

取得した認証局の証明書を登録します。
登録例を以下に示します。

認証局の証明書 C:\sslenv\CA.der
認証局の証明書のニックネーム CA

scsenter -n CA -f C:\sslenv\CA.der
Password: (注1)
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。

認証局の証明書 /sslenv/CA.der
認証局の証明書のニックネーム CA

# scsenter -n CA -f /sslenv/CA.der
Password: (注1)
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。

中間CA証明書の登録

認証局によっては、認証局証明書とサイト証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合、サイト証明書の登録の前に、認証局から配布されている中間CA証明書を登録してください。
なお、登録方法は認証局証明書の場合と同じです。“認証局の証明書の登録”を参照してください。ただし、中間CA証明書のニックネームは認証局証明書やサイト証明書と異なるものを指定してください。

日本ベリサイン株式会社で発行されるセキュア・サーバIDは、2007年3月以降に仕様が変更され、中間CA証明書も提供されるようになりました。
本製品では、“セキュリティシステム運用ガイド”の“Interstage組み込み証明書一覧”に記載されている証明書を組み込んでいます。本製品に組み込まれている中間CA証明書は、Interstage証明書環境の構築時にscsmakeenvコマンドで-cオプションを指定すれば、認証局証明書と一緒にInterstage証明書環境に登録されます。

サイト証明書の登録

発行された証明書をサイト証明書として登録します。
登録例を以下に示します。

サイト証明書 C:\sslenv\SiteCert.der
サイト証明書のニックネーム SiteCert

scsenter -n SiteCert -f C:\sslenv\SiteCert.der -o
Password: (注1)
証明書応答がキーストアにインストールされました。
SCS: 情報: scs0104: 証明書を登録しました。

サイト証明書 /sslenv/SiteCert.der
サイト証明書のニックネーム SiteCert

# scsenter -n SiteCert -f /sslenv/SiteCert.der -o
Password: (注1)
証明書応答がキーストアにインストールされました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。

CRLの登録

取得したCRLを登録します。
登録例を以下に示します。

CRL C:\sslenv\CRL.der

scsenter -c -f C:\sslenv\CRL.der
Password: (注1)
SCS: 情報: scs0105: CRLを登録しました。

CRL /sslenv/CRL.der

# scsenter -c -f /sslenv/CRL.der
Password: (注1)
UX: SCS: 情報: scs0105: CRLを登録しました。

注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。

Interstage証明書環境のバックアップ

取得した証明書・CRLを登録後は必ず、Interstage証明書環境をバックアップしてください。バックアップ方法については、“運用ガイド(基本編)”の“資源のバックアップとリストア”を参照してください。

なお、Interstage証明書環境をバックアップしていなかった場合にInterstage証明書環境が破壊されると、Interstage証明書環境の作成(CSRの作成)や、証明書の発行依頼を再度行うことになります。

例を以下に示します。

mkdir X:\Backup\scs
xcopy /E C:\Interstage\etc\security X:\Backup\scs (注1)

# mkdir /backup/scs
# cp -rp /etc/opt/FJSVisscs/security /backup/scs (注1)

注1) リムーバブル媒体などに退避しておくことを推奨します。