名前
scsmakeenv - CSR(証明書取得申請書)の作成、テスト用サイト証明書、Interstage証明書環境の作成
形式
[CSR(証明書取得申請書)作成] scsmakeenv -n nickname -f filename [-c] [-k keysize] [-p password]
[-cn CommonName [-ou OrganizationalUnit] [-or Organization] [-lo Locality] [-st State] [-cc CountryCode]]
[テスト用サイト証明書作成] scsmakeenv -n nickname [-c] [-k keysize] [-v valday] [-p password]
[-cn CommonName [-ou OrganizationalUnit] [-or Organization] [-lo Locality] [-st State] [-cc CountryCode]]
[Interstage証明書環境の作成、変更] scsmakeenv -e [-p password] [-c]
[CSR(証明書取得申請書)作成] scsmakeenv -n nickname -f filename [-c] [-k keysize] [-g group] [-p password]
[-cn CommonName [-ou OrganizationalUnit] [-or Organization] [-lo Locality] [-st State] [-cc CountryCode]]
[テスト用サイト証明書作成] scsmakeenv -n nickname [-c] [-k keysize] [-v valday] [-g group] [-p password]
[-cn CommonName [-ou OrganizationalUnit] [-or Organization] [-lo Locality] [-st State] [-cc CountryCode]]
[Interstage証明書環境の作成、変更] scsmakeenv -e [-p password] [-c] [-g group]
機能説明
scsmakeenvコマンドは、RSA暗号アルゴリズムの公開鍵・秘密鍵の鍵ペアを作成し、CSR(証明書取得申請書)をファイルへ出力します。また、オプション(-f filename)を省略することによりテスト用サイト証明書を作成することもできます。scsmakeenvコマンドで作成した、テスト用の鍵・サイト証明書はInterstage証明書環境に登録されます。
本コマンドをシステムで初めて実行したとき、Interstage証明書環境を作成し、パスワードを設定します。以後は、その設定したパスワードでInterstage証明書環境を使用します。
CSR(証明書取得申請書)を作成してから自分のサイト証明書を入手し登録するまでの間にInterstage証明書環境が破壊されたり、秘密鍵が削除されてしまうと、自分のサイト証明書は使用できなくなります。そのため、本コマンドでInterstage証明書環境を構築した後は、秘密鍵の保護のためにInterstage証明書環境をバックアップしてください。バックアップ方法については、“運用ガイド(基本編)”を参照してください。
指定可能なオプションを以下に示します。
秘密鍵のニックネームを指定します。英数字を先頭にし、後述する文字セットから1~32文字で指定してください。
認証局から取得したサイト証明書を登録する時、ここで指定したニックネームをscsenterコマンドに指定する必要があります。忘れないようにしてください。
なお、すでに使用されているニックネームと同じニックネームは指定できません。また、ニックネームに指定する英字は大文字と小文字は区別されません。
ニックネームに指定可能な文字については以下を参照してください。
カテゴリ | 文字 |
|---|---|
英字 | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
数字 | 0123456789 |
記号 | ()-[]_ |
作成されたCSR(証明書取得申請書)を格納するファイル名をフルパスで指定します。
本オプションを指定した場合、CSRとRSA暗号アルゴリズムの鍵ペアが作成され、Interstage証明書環境に登録されます。
本オプションを省略し、-nオプションを指定した場合は、テスト用サイト証明書が作成され、Interstage証明書環境に登録されます。
本製品がサポートするパブリック認証局のルート証明書(CA証明書)を登録します。
サポートするパブリック認証局から発行された証明書を利用する場合には、本オプションを指定する必要があります。
なお、一度本オプションを指定して実行した後は、scsdeleteコマンドで認証局証明書を削除しない限り有効です。本コマンドを再実行する時に再指定する必要はありません。
本製品がサポートするパブリック認証局のルート証明書(CA証明書)については、[Interstage Application Server セキュリティシステム運用ガイド] > [Interstage組み込み証明書一覧]を参照してください。
作成されるRSA暗号アルゴリズムの公開鍵と秘密鍵の鍵ペアの鍵の強度をビット長で指定します。省略時は2048bit長で作成されます。指定する場合は512,768,1024,2048,4096のいずれかの値を指定することが可能です。
なお、今日では、マシンの処理性能の向上などにより、512、768、1024ビットのRSA暗号アルゴリズムの鍵は必ずしも安全とは言えなくなっています。そのため、2048ビット以上を指定することを推奨します。運用上やむを得ず512、768、1024ビットのRSA暗号アルゴリズムの鍵を使用する際には、その危険性を認識の上、ご使用ください。
テスト用サイト証明書の有効日数を1~7300の範囲で指定します。省略時は365日です。
有効期間を過ぎると、その証明書は使用できません。そのため、テスト完了予定日までの期間を指定することを推奨します。
本コマンドでInterstage証明書環境だけを作成する場合に指定します。本オプションを指定した場合にはCSR(証明書取得申請書)およびテスト用サイト証明書は作成されません。
本コマンドをシステムで初めて実行した時に本オプションを指定した場合、ひきつづき、scsimppfxコマンドでサイト証明書と秘密鍵を移入してください。
すでにInterstage証明書環境が作成されている場合に本オプションを指定すると、Interstage証明書環境の変更を行うことができます。-cオプションとともに指定すると、日本ベリサイン株式会社、日本認証サービス株式会社、サイバートラスト株式会社、およびGMOグローバルサイン株式会社の認証局証明書を追加登録します。-gオプションとともに指定すると、所有グループを変更します。
Interstage証明書環境にアクセスするためのパスワードを登録、もしくは登録したパスワードを指定します。
登録するパスワードは備考に記載する文字セットから6~128文字で指定してください。
本オプションを省略すると、パスワード入力を求めるプロンプトが表示されます。
本オプションで指定するパスワードはInterstage証明書環境へアクセスする際の認証情報です。
従って、バッチファイルなどに本オプションを記載する場合、バッチファイルの覗き見などによるパスワードの漏えいを防止するために、その格納場所や権限などファイルの取り扱いに十分注意するようにしてください。
Interstage証明書環境へのアクセスを許可する、所有グループまたは所有グループのIDを指定します。
本コマンドをシステムで初めて実行するとき(Interstage証明書環境を作成するとき)に省略した場合は、本コマンドを実行したユーザの所属するグループが設定されます。
また、Interstage証明書環境がすでに存在する場合に本オプションを指定した場合には、Interstage証明書環境の所有グループを、指定されたグループに変更します。
本オプションを省略した場合には、所有グループは変更されません。
以降は、テスト用サイト証明書、およびCSR(証明書取得申請書)発行時に指定できるDN情報オプションです。
省略するとDN情報の入力を求めるプロンプトが表示されます。
テスト用サイト証明書、およびCSR(証明書取得申請書)の名前(CommonName)を指定します。
本オプションを指定すると、DN情報の入力を求めるプロンプトが表示されなくなります。
-ou、-or、-lo、-st、および-ccのいずれかを指定した場合、本オプションを省略できません。
後述する文字セットから、1~256文字で指定できます。
なお、空白のみを指定することはできません。
テスト用サイト証明書、およびCSR(証明書取得申請書)の組織単位名(OrganizationalUnit)を指定します。
-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。
後述する文字セットから、1~1024文字で指定できます。
なお、空白のみを指定することはできません。
テスト用サイト証明書、およびCSR(証明書取得申請書)の組織名(Organization)を指定します。
-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。
後述する文字セットから、1~1024文字で指定できます。
なお、空白のみを指定することはできません。
テスト用サイト証明書、およびCSR(証明書取得申請書)の地域名(Locality)を指定します。
-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。
後述する文字セットから、1~1024文字で指定できます。
なお、空白のみを指定することはできません。
テスト用サイト証明書、およびCSR(証明書取得申請書)の地方名(State)を指定します。
-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。
後述する文字セットから、1~1024文字で指定できます。
なお、空白のみを指定することはできません。
テスト用サイト証明書、およびCSR(証明書取得申請書)の国名コード(CountryCode)を指定します。
国名コード(ISO3166)は英字2文字で指定してください。
-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。
なお、空白のみを指定することはできません。
備考
-eオプションを省略し、さらにDN情報オプションを指定せずにコマンドを実行すると、名前などのDN情報の入力が求められます。
以下のDN情報を入力してください。省略はしないでください。(省略すると“Unknown”が指定されたものとみなされます。なお、国名コードを省略すると“Un”が指定されたものとみなされます。)
項目とDN情報オプション、およびDN情報オプション指定をしなかった場合に出力される、DN情報の入力を求めるメッセージとの対応は、下図のとおりです。
項目 | 入力を求めるメッセージ | DN情報オプション | 入力する情報 |
|---|---|---|---|
Common Name (CN) | What is your first and last name? | -cn | 名前。サイト証明書の場合はドメイン名またはIPアドレス。 |
OrganizationalUnit Name (OU) | What is the name of your organizational unit? | -ou | 組織単位名(例:部署名) |
Organization Name(O) | What is the name of your organization? | -or | 組織名(例:会社名) |
Locality Name (L) | What is the name of your City or Locality? | -lo | 都市名または地域名(例:市区町村名) |
State or Province Name (ST) | What is the name of your State or Province? | -st | 州名または地方名(例:都道府県名) |
Country (C) | What is the two-letter country code for this unit? | -cc | 国名コード(ISO3166)。日本の場合は“jp” |
以下の文字が指定できます。ただし、国名コード(ISO3166)は英字2文字で指定してください。
カテゴリ | 文字 |
|---|---|
英字 | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
数字 | 0123456789 |
記号 | (),-./:?'+=#;<> |
空白 | ' ' |
-pオプションを省略してコマンドを実行すると、パスワードの入力が求められます。
本コマンドを初めて実行した時は、Interstage証明書環境へアクセスするためのパスワードとして登録します。後述する文字セットから6~128文字で指定してください。パスワードはInterstage証明書環境へアクセスするために必須ですから、忘れないでください。
本コマンドを実行するのが初めてではない場合、登録したパスワードを入力してください。
カテゴリ | 文字 |
|---|---|
英字 | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
数字 | 0123456789 |
記号 | ()+,-./<=>[]_ |
空白 | ' ' |
日本ベリサイン株式会社に証明書の発行を依頼するときには「セキュア・サーバID」、「セキュア・サーバID EV(EV SSL証明書)」のいずれかを選択してください。
日本認証サービス株式会社に証明書の発行を依頼するときには「SecureSign(R)ADサービス」を選択してください。
サイバートラスト株式会社に証明書の発行を依頼するときには「SureServer for SSL証明書」を選択してください。
GMOグローバルサイン株式会社に証明書の発行を依頼するときには「クイック認証SSL」、「企業認証SSL」のいずれかを選択してください。
注意事項
CSR(証明書取得申請書)を作成しサイト証明書を入手し登録するまでの間、秘密鍵の保護のためにInterstage証明書環境をバックアップしてください。バックアップ方法については、“運用ガイド(基本編)”を参照してください。
本コマンドを最初に実行したときに設定したパスワードは、忘れないでください。
忘れると、scsmakeenv、scsenter、scsdelete、scslistcrl、scsexppfx、scsimppfx、scslistコマンドは実行できなくなります。
パスワードは流出したり盗まれたりしないように管理してください。
また、名前や単語などの推測しやすい文字列や、すべて同じ文字を使用した文字列を設定しないようにしてください。英数字や記号を混在させた、できるだけ長い文字列を設定することを推奨します。
本コマンドで作成したサイト証明書は、テスト用証明書として使用できます。ただし、作成された証明書はテスト環境でのみ信用できるものであり、外部環境(例えばインターネットなど)に対しての信頼性を保証できるものではありません。従って、実際の運用でそのまま使用されてしまうことのないよう、十分に注意してください。
本コマンドを初めて実行したときにエラー終了すると、Interstage証明書環境が正しく作成されない場合があります。その場合には、Interstage証明書環境を削除し、再度scsmakeenvコマンドを実行してInterstage証明書環境を作成しなおしてください。
Interstage証明書環境のパス名と、Interstage証明書環境の再作成前に削除する資源は以下のとおりです。
Interstage証明書環境 再作成前に削除する資源 |
Interstage証明書環境 再作成前に削除する資源 |
なお、Interstage証明書環境を作成後に環境が破壊された場合は、Interstage証明書環境を復元するようにしてください。復元方法については、“運用ガイド(基本編)”を参照してください。
本コマンドの実行時には環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定してください。
本コマンドは、Administratorsグループに所属するユーザで実行してください。
本コマンドは、スーパユーザで実行してください。
-gオプションで所有グループを変更する場合には、すべてのサービスを停止してから変更してください。また、変更前のグループに所属しているユーザは、変更後のグループに所属するように変更しないと、サービスの起動に失敗する場合があります。
-gオプションで指定するInterstage証明書環境の所有グループに関する詳細については、“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”を参照してください。
使用例
■ CSRを作成する場合
注意
CSRを作成する際に指定するニックネームは、認証局から取得したサイト証明書を登録する時に必要になるため、忘れないようにしてください。
>scsmakeenv -n SiteCert -f C:\my_folder\my_csr.txt -c |
> scsmakeenv -n SiteCert -f /usr/home/my_dir/my_csr.txt -c -g iscertg |
注1) 入力したパスワードは表示されません。なお、初回はパスワード登録となり、以下のプロンプト表示となります。入力したパスワードの確認のため、再入力(Retype)してください。
New Password: |
注2) 注意事項を参照し、入力してください。
注3) 表示された情報でCSRを作成する場合、“yes”を入力してください。再度入力しなおしたい場合には、“no”を入力してください。
■テスト用サイト証明書を作成する場合
> scsmakeenv -n testCert |
注1) 入力したパスワードは表示されません。なお、初回はパスワード登録となります。入力したパスワードの確認のため、再入力(Retype)してください。
注2) 注意事項を参照し、入力してください。
注3) 表示された情報で証明書を作成する場合、“yes”を入力してください。再度入力しなおしたい場合には、“no”を入力してください。
■ Interstage証明書環境を作成する場合
> scsmakeenv -e |
注1) 入力したパスワードは表示されません。なお、初回はパスワード登録となります。入力したパスワードの確認のため、再入力(Retype)してください。
■作成済みのInterstage証明書環境の所有グループを変更する場合
> scsmakeenv -e -g iscertg2 |
注1) 入力したパスワードは表示されません。
