Internet Navigware e-Learning Pack V9.0
目次 前ページ次ページ
第2部 システム管理編> 第17章 セキュリティ> 17.2 SSL通信、署名や暗号処理を行うための設定方法

17.2.3 証明書の管理

運用開始後も、証明書や秘密鍵やCRLを管理する必要があります。
そのため、証明書の管理を行うための以下のコマンドを用意しています。

コマンド

説明

scsmakeenv

Interstage証明書環境にCSRと秘密鍵、またはテスト用証明書を作成します。

scsenter

証明書またはCRLをInterstage証明書環境に登録します。

scslistcrl

Interstage証明書環境に登録されているCRLの概要を表示します。

scsdelete

サイト証明書とそれに対応する秘密鍵、または認証局の証明書をInterstage証明書環境から削除します。

以降に示すような場面に、コマンドが利用できます。
なお、各コマンドの書式、使用方法は、“17.2.3.1 scsmakeenv〜17.2.3.4 scsdelete”を参照してください。


登録した証明書を利用するには、Interstage管理コンソールでの設定変更や反映が必要です。

■証明書を更新する(証明書の有効期限が切れる)場合

有効期限が切れると、運用や機能が停止してしまう場合があります。
有効期限が切れる前に、事前に新しい証明書を入手し、登録しておく必要があります。
新しい証明書を入手したら、使用する証明書を新しい証明書に切りかえるのが一般的な運用です。
その際、今まで使用していた古い証明書は、削除せずにそのまま残しておいてください。
手順は、“17.2.2 環境の構築方法”を再度実行することになります。

■運用開始後に日本ベリサイン株式会社や日本認証サービス株式会社の発行する証明書を利用することになった場合

運用変更により日本ベリサイン株式会社や日本認証サービス株式会社の発行する証明書も使用することになった場合、scsmakeenvコマンドで-cオプションを指定し、CSRを作成してください。
手順は、“17.2.2 環境の構築方法”を再度実行することになります。

■新しい証明書やCRLを入手した場合

運用開始時よりも利用する証明書が増えた時など、新たに証明書を発行してもらった場合や、新しいCRLを入手した場合は、scsenterコマンドでInterstage証明書環境に登録してください。

■運用開始前にテスト用サイト証明書で動作確認する場合

運用開始前や証明書の発行依頼中に、テスト用サイト証明書でシステム構築し動作確認を行うことができます。
scsmakeenvコマンドでテスト用サイト証明書を作成できます。なお、この場合、テスト用サイト証明書はInterstage証明書環境に自動的に登録されますので、scsenterコマンドで証明書を登録する必要はありません。


証明書はテスト用ですので、実際の運用では利用しないでください。

■証明書を削除する場合

使用されなくなった証明書を削除することができます。
なお、サイト証明書を削除すると、対応する秘密鍵も削除されます。認証局証明書を削除すると、その認証局の発行した認証局証明書やサイト証明書は使用できなくなります。
十分注意の上、scsdeleteコマンドで削除してください。
なお、使用されなくなった証明書をそのまま残しておいても問題はありません。

17.2.3.1 scsmakeenv

■名前

 scsmakeenv − CSR(証明書取得申請書)の作成

■形式

[CSR(証明書取得申請書)作成]

 scsmakeenv -n nickname -f filename [-c] [-k keysize]

[テスト用サイト証明書作成]

 scsmakeenv -n nickname [-c] [-k keysize] [-v valday]

■機能説明

scsmakeenvコマンドは、RSA公開鍵・秘密鍵の鍵ペアを作成し、CSR(証明書取得申請書)をファイルへ出力します。また、オプション(-f filename)を省略することによりテスト用サイト証明書を作成することもできます。scsmakeenvコマンドで作成した、テスト用の鍵・サイト証明書はInterstage証明書環境に登録されます。
本コマンドをシステムで初めて実行したとき、Interstage証明書環境を作成し、パスワードを設定します。以後は、その設定したパスワードでInterstage証明書環境を使用します。
指定可能なパラメタを以下に示します。

◆-n nickname

秘密鍵のニックネームを指定します。英数字を先頭にし、以下の指定可能な文字から1〜32文字で指定してください。省略はできません。
認証局から取得したサイト証明書を登録する時、ここで指定したニックネームをscsenterコマンドに指定する必要があります。忘れないでください。
なお、すでに使用されているニックネームと同じニックネームは指定できません。また、ニックネームに指定する英字は大文字と小文字は区別されません。
ニックネームに指定可能な文字については以下を参照してください。

カテゴリ

文字

英字

ABCDEFGHIJKLMNOPQRSTUVWXYZ
abcdefghijklmnopqrstuvwxyz

数字

0123456789

記号

()-[]_

◆-f filename

作成されたCSR(証明書取得申請書)を格納するファイル名をフルパスで指定します。

本オプションを指定した場合、CSRとRSA鍵ペアが作成され、Interstage証明書環境に登録されます。
本オプションを省略した場合は、テスト用サイト証明書が作成され、Interstage証明書環境に登録されます。

◆-c

日本ベリサイン株式会社、日本認証サービス株式会社の認証局証明書を登録します。
日本ベリサイン株式会社、日本認証サービス株式会社から証明書を発行してもらう場合には、本オプションの指定は必須です。
なお、一度本オプションを指定して実行した後は、scsdeleteコマンドで認証局証明書を削除しない限り有効です。本コマンドを再実行する時に再指定する必要はありません。

◆-k keysize

作成されるRSA公開鍵と秘密鍵の鍵ペアの鍵の強度をビット長で指定します。省略時は1024bit長で作成されます。指定する場合は512,768,1024,2048のどれかを指定してください。
なお、今日では、マシンの処理性能の向上などにより、512、768ビットのRSA鍵は必ずしも安全とは言えなくなっています。そのため、1024ビット以上を指定することを推奨します。運用上やむを得ず512、768ビットのRSA鍵を使用する際には、その危険性を認識の上、ご使用ください。

◆-v valday

テスト用サイト証明書の有効日数を1〜7300の範囲で指定します。省略時は365日です。
有効期間を過ぎると、その証明書は使用できません。そのため、テスト完了予定日までの期間を指定することを推奨します。

■備考

コマンドを実行すると、名前などの情報の入力が求められます。
以下の情報を入力してください。省略はしないでください。(省略すると“Unknown”が指定されたものとみなされます。なお、国名コードを省略すると“Un”が指定されたものとみなされます。)

入力を求めるメッセージ

入力する情報

What is your first and last name?

名前。サイト証明書の場合はドメイン名。
サイト証明書の場合にIPアドレスを入力すると管理コマンドを使用できません。

What is the name of your organizational unit?

組織単位名(例:部署名)

What is the name of your organization?

組織名(例:会社名)

What is the name of your City or Locality?

都市名または地域名(例:市区町村名)

What is the name of your State or Province?

州名または地方名(例:都道府県名)

What is the two-letter country code for this unit?

国名コード(ISO3166)。日本の場合は"jp"

以下の文字が指定できます。ただし、国名コード(ISO3166)は英字2文字で指定してください。

カテゴリ

文字

英字

ABCDEFGHIJKLMNOPQRSTUVWXYZ
abcdefghijklmnopqrstuvwxyz

数字

0123456789

記号

(),-./:?'+=#;<>
(注)上記以外の記号を指定した場合、JDKが正常動作しない場合があります。

空白

' '
(注) 先頭と末尾に空白を指定した場合、その空白は削除されます。また、空白を複数個連続して指定した場合や空白だけを指定した場合、JDKが正常動作しない場合があります。

コマンドを実行すると、パスワードの入力が求められます。
本コマンドを初めて実行した時は、Interstage証明書環境へアクセスするためのパスワードとして登録します。以下の指定可能な文字から6〜128文字で指定してください。パスワードはInterstage証明書環境へアクセスするために必須ですから、忘れないでください。
本コマンドを実行するのが初めてではない場合、登録したパスワードを入力してください。

カテゴリ

文字

英字

ABCDEFGHIJKLMNOPQRSTUVWXYZ
abcdefghijklmnopqrstuvwxyz

数字

0123456789

記号

!"#%&'()*+,-./:;<=>?[\]^_{|}~

空白

' '

■注意事項

■使用例

CSRを作成する場合

>scsmakeenv -n SiteCert -f C:\my_folder\my_csr.txt -c
Password: (注1)

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
Certificate was added to keystore
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\my_folder\my_csr.txt>

注1) 入力したパスワードは表示されません。なお、初回はパスワード登録となり、以下のプロンプト表示となります。入力したパスワードの確認のため、再入力(Retype)してください。

New Password:
Retype:

注2) 注意事項を参照し、入力してください。
注3) 表示された情報でCSRを作成する場合、“yes”を入力してください。再度入力しなおしたい場合には、“no”を入力してください。

テスト用サイト証明書を作成する場合

> scsmakeenv -n testCert
Password: (注1)

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
SCS: 情報: scs0102: 自己署名証明書を作成しました。

17.2.3.2 scsenter

■名前

 scsenter − 証明書・CRLの登録

■形式

[証明書登録]

 scsenter -n nickname -f filename [-p password] [-o | -e]

[CRL登録]

 scsenter -c -f filename [-p password]

■機能説明

scsenterコマンドは、証明書またはCRLの有効性を検証し、有効である場合にInterstage証明書環境に登録します。指定可能なパラメタを以下に示します。

◆-p password

Interstage証明書環境にアクセスするためのパスワードを指定します。scsmakeenvコマンドで指定したパスワードと同じものを指定してください。本オプションの指定を省略するとパスワード入力を求めるプロンプトが表示されます。

◆-n nickname

登録する証明書のニックネームを、英数字を先頭にし、以下の指定可能な文字から1〜32文字で指定してください。認証局から発行されたサイト証明書を登録する場合は、scsmakeenvコマンドで秘密鍵に指定したのと同じニックネームを指定します。
また、認証局証明書を登録する際には、すでに登録済の証明書と重複しないニックネームを指定してください。また、ニックネームに指定する英字は大文字と小文字は区別されません。
ニックネームに指定可能な文字については、以下を参照してください。

カテゴリ

文字

英字

ABCDEFGHIJKLMNOPQRSTUVWXYZ
abcdefghijklmnopqrstuvwxyz

数字

0123456789

記号

()-[]_

◆-f filename

証明書(サイト証明書・認証局の証明書)、またはCRLが格納されているファイル名をフルパスで指定します。省略はできません。
X.509またはRFC2459に準拠し、RSA鍵が使用されている証明書・CRLを登録することができます。

なお、指定可能なデータ形式はバイナリデータ(DER形式)とBase64エンコーディングデータ(PEM形式)です。
証明書をBase64エンコーディングデータ(PEM形式)で指定する場合は、“-----BEGIN CERTIFICATE-----”で始まり、“-----END CERTIFICATE-----”で終わっているデータを指定してください。また、CRLをBase64エンコーディングデータ(PEM形式)で指定する場合は、“-----BEGIN X509 CRL-----”で始まり、“-----END X509 CRL-----”で終わっているデータを指定してください。

PEM形式の証明書の例を以下に示します。

-----BEGIN CERTIFICATE-----
* (Base64エンコードされた証明書データ) *
-----END CERTIFICATE-----

PEM形式のCRLの例を以下に示します。

-----BEGIN X509 CRL-----
* (Base64エンコードされたCRLデータ) *
-----END X509 CRL-----

◆-o

認証局から発行された、自分のサイト証明書を登録する場合に指定してください。認証局の証明書や、それに付随する証明書(中間CA証明書)や、他のサイトの証明書を登録する場合は、指定しないでください。

◆-e

他のサイトの証明書を登録する場合に指定してください。登録した証明書は、信頼できるサイトの証明書として扱われます。認証局の証明書や、それに付随する証明書(中間CA証明書)や、自分のサイト証明書を登録する場合は、指定しないでください。
なお、登録された他のサイト証明書は、Interstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [認証局証明書]画面で参照してください。

◆-c

CRLを登録する場合に指定してください。

◆注意事項

■使用例

認証局の証明書を登録する場合

>scsenter -n CA -f C:\my_folder\CA.der
Password: (注1)
Certificate was added to keystore
SCS: 情報: scs0104: 証明書を登録しました。

注1) 入力したパスワードは表示されません。

サイト証明書を登録する場合

>scsenter -n SiteCert -f C:\my_folder\SiteCert.der -o
Password: (注1)
Certificate reply was installed in keystore
SCS: 情報: scs0104: 証明書を登録しました。

他のサイト証明書を登録する場合

>scsenter -n OtherSiteCert -f C:\my_folder\OtherSiteCert.der -e
Password: (注1)
Certificate was added to keystore
SCS: 情報: scs0104: 証明書を登録しました。

CRLを登録する場合

>scsenter -c -f C:\my_folder\CRL.der
Password: (注1)
SCS: 情報: scs0105: CRLを登録しました。

17.2.3.3 scslistcrl

■名前

 scslistcrl − CRLの一覧表示

■形式

 scslistcrl [-p password]

■機能説明

 scslistcrlコマンドは、Interstage証明書環境に登録されているCRLの一覧を表示します。指定可能なパラメタを以下に示します。

◆-p password

Interstage証明書環境にアクセスするためのパスワードを指定します。scsmakeenvコマンドで指定したパスワードと同じものを指定してください。本オプションの指定を省略するとパスワード入力を求めるプロンプトが表示されます。

◆注意事項

◆備考

コマンドを実行すると、以下の情報が表示されます。

項目

表示される情報

Issuer

CRLを発行した認証局の名前などの情報

ThisUpdate

CRLが発行された日時

NextUpdate

次にCRLが発行される予定の日時

■使用例

>scslistcrl
Password: (注1)
Issuer: OU=CA,OU=Fujitsu Ltd,C=jp
ThisUpdate: 2003/07/14 09:55:47
NextUpdate: 2003/09/21 09:00:00

注1) 入力したパスワードは表示されません。

17.2.3.4 scsdelete

■名前

 scsdelete − 証明書の削除

■形式

 scsdelete -n nickname [-p password]

■機能説明

scsdeleteコマンドは、証明書をInterstage証明書環境から削除します。指定可能なパラメタを以下に示します。

◆-p password

Interstage証明書環境にアクセスするためのパスワードを指定します。scsmakeenvコマンドで指定したパスワードと同じものを指定してください。本オプションの指定を省略するとパスワード入力を求めるプロンプトが表示されます。

◆-n nickname

削除する証明書のニックネーム、または、scsmakeenvコマンドで指定した秘密鍵のニックネームを指定します。省略はできません。サイト証明書のニックネームを指定した場合は、同じニックネームの秘密鍵も削除されますので、ご注意ください。
また、ニックネームに指定する英字は大文字と小文字は区別されません。

◆注意事項

■使用例

認証局の証明書を削除する場合

>scsdelete -n CA
Password: (注1)
SCS: 情報: scs0103: 証明書を削除しました。

入力したパスワードは表示されません。

サイト証明書を削除する場合

>scsdelete -n SiteCert
Password: (注1)
SCS: 情報: scs0103: 証明書を削除しました。
目次 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 2006