|
Interstage Application Server ディレクトリサービス運用ガイド
|
目次
索引
 
|
4.1.1 Interstage証明書環境の構築(サーバ)
Interstage ディレクトリサービスのサーバ側で構築します。
ここでは、CSR(証明書取得申請書)を利用した、Interstage証明書環境の構築方法について説明します。
Interstage証明書環境は、以下の手順で構築します。
- Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成
- 証明書の発行依頼
- 証明書とCRL(証明書失効リスト)の登録
なお、Interstage証明書環境を構築した後は、証明書を利用するための環境設定が必要です。詳細は、“証明書を利用するための設定(サーバ)”を参照してください。
以降で使用する各コマンドの詳細は、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
コマンドはAdministrator権限をもつユーザで実行してください。
コマンドはスーパユーザで実行してください。
環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定して実行してください。
SSL通信など、署名や暗号処理を行うには、証明書を取得する必要があります。そのために、認証局(Systemwalker PkiMGR、日本ベリサイン株式会社、日本認証サービス株式会社、またはサイバートラスト株式会社のいずれか)へ証明書の発行を依頼するためのデータである、CSR(証明書取得申請書)を作成します。
このとき、Interstage証明書環境が存在しなければ、同時にInterstage証明書環境も作成されます。存在している場合には、そのInterstage証明書環境が利用されます。
以下の場合は、テスト用証明書を使用することはできません。テスト用証明書ではなく、CSRを作成してください。
- スタンドアロン形態、またはデータベース共用形態のInterstage ディレクトリサービスのサーバ
- レプリケーション形態のスレーブサーバ(標準データベース使用時)
- レプリケーション形態でクライアント認証をする場合のマスタサーバ(標準データベース使用時)
CSRの作成例を以下に示します。
CSRの作成と同時に、日本ベリサイン株式会社、日本認証サービス株式会社、またはサイバートラスト株式会社の認証局の証明書の登録も行います。
サイト証明書のニックネーム SiteCert
申請書の出力先ファイル名 C:\sslenv\my_csr.txt
名前 repository.fujitsu.com
組織単位名 Interstage
組織名 Fujitsu Ltd.
都市名 Yokohama
地方名 Kanagawa
国名コード jp
|
scsmakeenv -n SiteCert -f C:\sslenv\my_csr.txt -c
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\sslenv\my_csr.txt> |
サイト証明書のニックネーム SiteCert
申請書の出力先ファイル名 /sslenv/my_csr.txt
名前 repository.fujitsu.com
組織単位名 Interstage
組織名 Fujitsu Ltd.
都市名 Yokohama
地方名 Kanagawa
国名コード jp
|
# scsmakeenv -n SiteCert -c -f /sslenv/my_csr.txt
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</sslenv/my_csr.txt> |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
注2) 入力する内容については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
注3) 表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。
サイト証明書のニックネーム SiteCert
申請書の出力先ファイル名 C:\sslenv\my_csr.txt
名前 repository.fujitsu.com
組織単位名 Interstage
組織名 Fujitsu Ltd.
都市名 Yokohama
地方名 Kanagawa
国名コード jp
|
scsmakeenv -n SiteCert -f C:\sslenv\my_csr.txt
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\sslenv\my_csr.txt> |
サイト証明書のニックネーム SiteCert
申請書の出力先ファイル名 /sslenv/my_csr.txt
名前 repository.fujitsu.com
組織単位名 Interstage
組織名 Fujitsu Ltd.
都市名 Yokohama
地方名 Kanagawa
国名コード jp
|
# scsmakeenv -n SiteCert -f /sslenv/my_csr.txt
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</sslenv/my_csr.txt> |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
注2) 入力する内容については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
注3) 表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。
- -nオプションに指定したニックネームは、サイト証明書の登録時にも指定しますので、忘れないでください。
- CSRを作成すると、Interstage証明書環境に秘密鍵が作成されます。秘密鍵を保護するために、証明書を入手するまでの間、Interstage証明書環境をバックアップしてください。バックアップ方法については、“運用ガイド(基本編)”の“資源のバックアップとリストア”を参照してください。
なお、バックアップしていないときにInterstage証明書環境が破壊された場合、Interstage証明書環境の作成(CSRの作成)と証明書の発行依頼を再度行う必要があります。
認証局に証明書の発行を依頼し、証明書を取得します。
scsmakeenvコマンドが正常に終了すると、申請書がscsmakeenvコマンドの-fオプションで指定した証明書取得申請書(CSR)を格納するファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。
認証局から取得した証明書とCRLをInterstage証明書環境に登録します。
証明書は、認証局自身の証明書から順に登録してください。
取得した認証局の証明書を登録します。
登録例を以下に示します。
認証局の証明書 C:\sslenv\CA.der
認証局の証明書のニックネーム CA
|
scsenter -n CA -f C:\sslenv\CA.der
Password: (注1)
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。 |
認証局の証明書 /sslenv/CA.der
認証局の証明書のニックネーム CA
|
# scsenter -n CA -f /sslenv/CA.der
Password: (注1)
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。 |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
中間CA証明書の登録
認証局によっては、認証局証明書とサイト証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合、サイト証明書の登録の前に、認証局から配布されている中間CA証明書を登録してください。
なお、登録方法は認証局証明書の場合と同じです。“認証局の証明書の登録”を参照してください。
日本ベリサイン株式会社で発行されるセキュア・サーバIDは、2007年3月以降に仕様が変更され、中間CA証明書も提供されるようになります。なお、本製品の本バージョンでは、組み込み証明書一覧ファイルにその中間CA証明書も含まれています。そのため、Interstage証明書環境の構築時にscsmakeenvコマンドで「-c」オプションを指定すれば、認証局証明書と一緒にInterstage証明書環境に登録されます。
サイト証明書の登録
発行された証明書をサイト証明書として登録します。
登録例を以下に示します。
サイト証明書 C:\sslenv\SiteCert.der
サイト証明書のニックネーム SiteCert
|
scsenter -n SiteCert -f C:\sslenv\SiteCert.der -o
Password: (注1)
証明書応答がキーストアにインストールされました。
SCS: 情報: scs0104: 証明書を登録しました。 |
サイト証明書 /sslenv/SiteCert.der
サイト証明書のニックネーム SiteCert
|
# scsenter -n SiteCert -f /sslenv/SiteCert.der -o
Password: (注1)
証明書応答がキーストアにインストールされました。
UX: SCS: 情報: scs0104: 証明書を登録しました。 |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
CRLの登録
取得したCRLを登録します。
登録例を以下に示します。
CRL C:\sslenv\CRL.der
|
scsenter -c -f C:\sslenv\CRL.der
Password: (注1)
SCS: 情報: scs0105: CRLを登録しました。 |
CRL /sslenv/CRL.der
|
# scsenter -c -f /sslenv/CRL.der
Password: (注1)
UX: SCS: 情報: scs0105: CRLを登録しました。 |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
Interstage証明書環境のバックアップ
取得した証明書・CRLを登録後は必ず、Interstage証明書環境をバックアップしてください。バックアップ方法については、“運用ガイド(基本編)”の“資源のバックアップとリストア”を参照してください。
なお、Interstage証明書環境をバックアップしていなかった場合にInterstage証明書環境が破壊されると、Interstage証明書環境の作成(CSRの作成)や、証明書の発行依頼を再度行うことになります。
例を以下に示します。
|
mkdir X:\Backup\scs
xcopy /E C:\Interstage\etc\security X:\Backup\scs (注1) |
|
# mkdir /backup/scs
# cp -rp /etc/opt/FJSVisscs/security /backup/scs (注1) |
注1) リムーバブル媒体などに退避しておくことを推奨します。
Copyright 2008 FUJITSU LIMITED