Systemwalker PkiMGR、InfoCAを使用した、秘密鍵、証明書の作成、発行手順について説明します。

• Systemwalker PkiMGR、InfoCAについて

• Systemwalker PkiMGRを使用して発行する場合

• InfoCAを使用して発行する場合

  
  

なお、ここでは以下のシステムをモデルとして説明しています。構築するシステムの構成に応じて本モデルを応用してください。

Systemwalker PkiMGR、InfoCAは、証明書発行局（Certification Authority：以降、CA局と略します。）を実現するソフトウェアです。

CA局とは、メッセージの暗号化や、認証に必要な証明書の発行、および管理をするシステムのことです。

CA局は、発行した証明書に自身の電子署名を付加し、その証明書が確かにCA局が発行したものであることを保証します。

Systemwalker PkiMGR、InfoCAでは、証明書、秘密鍵を発行します。秘密鍵は、スロットとトークンという概念で管理されます。以下の図は、Systemwalker PkiMGRの概要を示しています。

各機能で必要な秘密鍵と証明書を以下に示します。

※：業務サーバと運用管理サーバの証明書のCA局証明書が異なる場合に必要

SystemWalker/CentricMGR V5.0L20（以降V5.0L20）以前、またはSystemWalker/CentricMGR 5.1（以降、5.1）以前と混在しない環境で、証明書を使用する場合は、以下の手順で作成してください。

CA局作成時の注意事項

CA局の初期設定時は、エンコード方法として、必ず“PrintableString/BMPString”を選択してください。

秘密鍵を含んだ証明書、証明書、CA局証明書の発行

秘密鍵を含んだ証明書、証明書、CA局証明書を作成し、ファイルに退避します。秘密鍵を含んだ証明書はPKCS#12形式、証明書とCA局証明書はDER形式で発行します。Systemwalker Centric Managerで使用できる証明書のタイプを以下に示します。

• 標準

• S/MIME

• SSLサーバ

1. 秘密鍵を含んだ証明書を発行します。

   電子メールアドレスを必ず指定します。発行後、PKCS#12形式でダウンロードします。

2. CA局証明書、証明書を取り出します。

   Webの証明書管理画面で証明書を検索し、DER形式でダウンロードします。

   
   

V5.0L20以前、5.1以前と混在する環境で、証明書を使用する場合は、以下の手順で作成してください。

CA局作成時の注意事項

CA局の初期設定時に、以下の項目に注意してください。

• エンコード方法として、必ず“PrintableString/BMPString”を選択してください。

• 自己署名証明書のバージョンとして“V1”を選択してください。

秘密鍵、証明書、CA局証明書の発行

V5.0L20、5.1以前では、X.509バージョン3形式の証明書をサポートしていません。このため、SystemWalker/CentricMGR V5.0L30（以降、V5.0L30）、およびSystemWalker/CentricMGR 5.2（以降、5.2）以降の環境で運用する場合では、発行方法が異なる部分があります。発行方法を以下に示します。

1. 証明書タイプを追加します。

   Systemwalker PkiMGRのCA管理機能のWeb画面で、証明書タイプを追加します。エクステンションが入った証明書は使用できません。したがって、エクステンションを含まないタイプを作成します。

   1. Systemwalker PkiMGRの[証明書タイプ管理]メニューから、Systemwalker Centric Manager用の証明書タイプ名を指定します。“SW”のように任意の値を指定することができます。

   2. 認証局鍵識別子（Authority Key Identifier）、所有者鍵識別子（Subject Key Identifier）などのエクステンションに関するチェックボックスは、すべて選択をはずします。

   3. [追加]ボタンをクリックし、証明書タイプを追加します。

2. 秘密鍵と証明書を発行します。

   電子メールアドレスを必ず指定します。証明書のタイプとしてSystemwalker Centric Manager用に登録した証明書タイプ名を選択して発行します。発行後、PKCS#12形式でダウンロードします。

3. CA局証明書、証明書を取り出します。

   Webの証明書管理画面で証明書を検索し、DER形式でダウンロードします。

   注意

   V5.0L20、および5.1以前から移行する場合、以下の注意が必要です。

   • 証明書管理環境を、作成し直す必要があります。

   • メッセージデータの送信先サーバが、V5.0L20/5.1以前で、送信元サーバが、V5.0L30、および5.2以降の場合は、S/MIMEを使用したイベント監視は使用できません。

   
   

各機能で必要な証明書と秘密鍵は以下のとおりです。

※：業務サーバと運用管理サーバの証明書のCA局証明書が異なる場合に必要

以下にInfoCA V1.0L10を使用する場合とInfoCA V1.1を使用する場合の証明書発行方法を示します。

秘密鍵、証明書を作成し、DOS形式でフロッピーディスクに退避します。証明書はDER形式で発行します。Systemwalker Centric Managerで使用する証明書には、必ず電子メールアドレスを入れてください。

V5.0L20、5.1以前では、X.509バージョン3形式の証明書をサポートしていません。このため、V5.0L30、および5.2以降の環境で運用する場合と、旧版が混在する環境で運用する場合では、発行方法が異なる部分があります。

発行方法を以下に示します。InfoCAの詳細は、“InfoCA説明書”を参照してください。V5.0L30、および5.2以前と混在する環境で使用する場合は、以下の作業を行います。

1. InfoCAのCA管理機能のWeb画面で、証明書タイプを追加します。

   証明書拡張情報が入った証明書は使用できません。したがって、拡張情報を含まないタイプを作成します。

   1. InfoCAの[証明書タイプ管理]メニューから、Systemwalker Centric Manager用の証明書タイプ名を指定します。“SW”のように任意の値を指定することができます。

   2. CA鍵識別子（Authority Key Identifier）、所有者鍵識別子（Subject Key Identifier）などの証明書拡張情報に関するチェックボックスは、すべてチェックをはずします。詳細は、“InfoCA説明書”を参照してください。

   3. [追加]ボタンをクリックし、証明書タイプを追加します。

2. 証明書を発行します。

   電子メールアドレスを必ず指定します。V5.0L30、および5.2以前と混在する環境で使用する場合は、証明書のタイプとしてSystemwalker Centric Manager用に登録した証明書タイプ名を選択して発行します。

3. 証明書を取り出します。

   Web画面から証明書をダウンロードする場合は、DER形式を選択してください。

4. 秘密鍵を取り出します。

   秘密鍵はInfoCAサーバ上にあります。証明書発行時に秘密鍵ファイルとして指定したファイルを取り出してください。