cmmakecsr  －  証明書/CRL取得申請

cmmakecsr  [-ed Environment-directory] -sd Slot-directory -tl TokenLabel -of OutFile
           [-f {TEXT|NOHEAD|V2} ] [-c Country] [-cn CommonName] [-o Organization]
           [-ou OrganizationUnit] [-ea EMailAddress] [-t Title] [-tel Phone] 
           [-l Locality] [-s State] [-sa {SHA1|MD5|SHA256|SHA384|SHA512} ]
           { -kl KeyLabel | [-kt RSA] [-kb {512|768|1024|2048|3072|4096} ] } [-p UserPIN]

cmmakecsrコマンドは、指定された情報を持つ証明書申請情報を作成し、ファイルに出力します。鍵ペアを新規作成して申請書を作成する場合、-ktまたは-kbのどちらかを必ず指定します。-kbオプションには2048bit以上を指定することを推奨します。
すでに存在する鍵ペアを使用して申請書を作成する場合は-klだけを指定します。
指定可能なオプションを以下に示します。

-ed Environment-directory

運用管理ディレクトリ(Environment-directory)をフルパスで指定します。
省略された場合、環境変数“CMIPATH”に設定されている情報が有効となります。

-sd Slot-directory

スロット情報ディレクトリ(Slot-directory)をフルパスで指定します。

-tl TokenLabel

使用する鍵の存在している、または、新規作成した鍵を登録します。トークンラベル(TokenLabel)を指定します。

-of OutFile

申請書の出力先ファイル名(OutFile)をフルパスで指定します。

-f {TEXT|NOHEAD|V2}

出力フォーマットを指定します。
  TEXT : CSR形式で出力します。(省略時)
  NOHEAD: ヘッダを付けずに出力します。
  V2 : S/MIME形式で、application/pkcs10ヘッダを付けて出力します。

-c Country

国名(Country)を指定します。

-cn CommonName

英数字氏名(CommonName)を指定します。

-o Organization

英数字組織名(Organization)を指定します。

-ou OrganizationUnit

英数字組織単位名(OrganizationUnit)を指定します。

-ea EMailAddress

メールアドレス(EMailAddress)を指定します。

-t Title

肩書き(Title)を指定します。

-tel Phone

電話番号(Phone)を指定します。

-l Locality

市区町村名(Locality)を指定します。

-s State

都道府県名(State)を指定します。

-sa {SHA1|MD5|SHA256|SHA384|SHA512}

署名アルゴリズムを指定します。
  SHA1: SHA1を使用します。(省略時)
  MD5 : MD5を使用します。
  SHA256: SHA256を使用します。

  SHA384: SHA384を使用します。

  SHA512: SHA512を使用します。

-kl KeyLabel

使用する鍵についているラベル(KeyLabel)を指定します。

-kt RSA

鍵を新規作成する場合、鍵のタイプを指定します。
  RSA: RSA暗号アルゴリズムの鍵ペアを作成します。(省略時)

-kb {512|768|1024|2048|3072|4096}

鍵を新規作成する場合、鍵の長さを指定します。
  512: 鍵長を512bitとします。
  768: 鍵長を768bitとします。
  1024: 鍵長を1024bitとします。
  2048: 鍵長を2048bitとします。(省略時)
  3072: 鍵長を3072bitとします。
  4096: 鍵長を4096bitとします。

今日では、マシンの処理性能の向上などにより、512、768bitのRSA暗号アルゴリズムの鍵は安全でないため利用しないでください。また、1024bitの鍵の利用も推奨されていません。鍵長はサーバの安全度にも関係しますので、2048bit以上を指定することを推奨します。運用上やむを得ず512、768、1024bitのRSA暗号アルゴリズムの鍵を使用する際には、その危険性を認識の上、ご使用ください。

-p UserPIN

トークンをアクセスするためのUser-PINを指定します。空白文字は指定できません。なお、User-PINの入力を求めるプロンプトは表示されません。
本オプションは、コマンドのUsageには表示されません。

• -cnには、Webサーバホスト名を指定してください。

• -kt, -kbオプションのどれかが指定された場合は、新規に鍵ペアが作成されます。

• -klオプションが指定された場合は、指定されたラベルの鍵が使用されます。

• -c,-cn,-o,-ou,-ea,-t,-tel,-l,-sオプションは、このうちのどれか1つを必ず指定してください。なお、指定必須項目については、証明書を発行してもらう認証局に確認してください。

• -kbオプションにおいて、コマンドのUsageには指定可能な全ての鍵の長さが表示されますが、mkslt/mktknコマンドで作成された鍵管理環境を使用する場合は、3072、4096は指定できません。makeslot/maketokenコマンドで作成された鍵管理環境を使用してください。

• -saオプションにおいて、コマンドのUsageには指定可能な全ての署名アルゴリズムが表示されますが、mkslt/mktknコマンドで作成された鍵管理環境を使用する場合は、SHA256、SHA384、SHA512が使用できません。makeslot/maketokenコマンドで作成された鍵管理環境を使用してください。

• -kbオプションに512(非推奨値)を指定した場合、-saオプションにSHA384、SHA512を指定できません。

• 日本ベリサイン株式会社に証明書の発行を依頼するときには「セキュア・サーバID」、「セキュア・サーバID EV (EV SSL証明書)」のどちらかを選択してください。

• 日本認証サービス株式会社に証明書の発行を依頼するときには「SecureSign(R)ADサービス」を選択してください。

• サイバートラスト株式会社に証明書の発行を依頼するときには「SureServer for SSL証明書」を選択してください。

• GMOグローバルサイン株式会社に証明書の発行を依頼するときには「クイック認証SSL」、「企業認証SSL」のどちらかを選択してください。