ページの先頭行へ戻る
ServerView Resource Orchestrator Cloud Edition V3.0.0 導入ガイド
第6章 インストール後の設定 > 6.3 SSL通信の環境設定 > 6.3.3 証明書の取得と登録
前次

6.3.3 証明書の取得と登録

構築する環境に合わせて、以下のどちらかの手順を実行してください。

6.3.3.1 認証局からの証明書の取得

認証局から証明書を取得するには、以下の手順が必要です。

Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作成

証明書取得申請書(CSR)の作成コマンド(以降、scsmakeenvコマンドと記述します)を使用して、Interstage証明書環境の作成、およびSSL通信に使用する証明書の取得申請を行うための証明書取得申請書(CSR)の作成を行います。
以下に作成手順および実行例を示します。

〔作成手順〕

  1. 環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定します。
    Linuxで必要な手順です。Windowsでは環境変数JAVA_HOMEの設定は必要ありません。

  2. scsmakeenvコマンドを実行します。

    【Windows】

    scsmakeenv -n <秘密鍵のニックネーム> -f <証明書取得申請書の出力先ファイル名>

    【Linux】

    scsmakeenv -n <秘密鍵のニックネーム> -f <証明書取得申請書の出力先ファイル名> -g <Interstage証明書環境へのアクセスを許可するグループ>

    証明書取得申請書(CSR)の出力先ファイル名は、必要に応じて変更してください。

    注意

    scsmakeenvコマンドで指定する秘密鍵のニックネームは、認証局から取得したサイト証明書を登録するときに必要になります。

    参考

    scsmakeenvコマンドの詳細については、「Interstage Application Server リファレンスマニュアル(コマンド編)」の「第24章 SSL環境設定コマンド」を参照してください。

  3. Interstage証明書環境へアクセスするためのパスワードを入力します。

    パスワードは、Interstage証明書環境へアクセスするために必要です。

  4. 識別名を入力します。

    "What is your first and last name?"(英数字氏名)の問い合わせに、Webサーバのホスト名として証明書の申請を行うサーバのFQDNを指定してください。

  5. 4.同様、以下の項目を入力します。

    • organizational unit(英数字組織単位名)

    • organization(英数字組織名)

    • City or Locality(市区町村名)

    • State or Province(都道府県名)

    • country code(国名)

  6. 入力した値を確認します。

    入力した値で証明書取得申請書を作成する場合は[yes]を、入力し直す場合には、[no]を入力してください。

  7. 証明書取得申請書(CSR)を認証局に送付し、証明書の発行を依頼します。

    scsmakeenvコマンドが正常に終了すると、証明書取得申請書(CSR)がscsmakeenvコマンドの-fオプションで指定した申請書の出力先ファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。

【Windows】

以下の設定値を使って、コマンドの実行例を示します。

・サイト証明書のニックネーム:SERVERCERT
・申請書の出力先ファイル名:C:\temp\ssocert.txt
・英数字氏名:rormanager.example.com
・英数字組織単位名:FUJITSU TOKYO
・英数字組織名:FUJITSU
・市区町村名:Shinjuku
・都道府県名:Tokyo
・国名:jp
C:\>scsmakeenv -n SERVERCERT -f C:\temp\ssocert.txt
New Password:
Retype:

Input X.500 distinguished names.
What is your first and last name?
  [Unknown]: rormanager.example.com
What is the name of your organizational unit?
  [Unknown]: FUJITSU TOKYO
What is the name of your organization?
  [Unknown]: FUJITSU
What is the name of your City or Locality?
  [Unknown]: Shinjuku
What is the name of your State or Province?
  [Unknown]: Tokyo
What is the two-letter country code for this unit?
  [Un]: jp

Is <CN=rormanager.example.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct?
  [no]: yes
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\temp\ ssocert.txt>
C:\>

【Linux】

以下の設定値を使って、コマンドの実行例を示します。

・サイト証明書のニックネーム:SERVERCERT
・申請書の出力先ファイル名:/tmp/ssocert.txt
・Interstage証明書環境へのアクセスを許可するグループ:iscertg
・英数字氏名:rormanager.example.com
・英数字組織単位名:FUJITSU TOKYO
・英数字組織名:FUJITSU
・市区町村名:Shinjuku
・都道府県名:Tokyo
・国名:jp

実行例では、“iscertg”によるアクセス権限が設定されたInterstage証明書環境を新規に作成し、証明書取得申請書を作成しています。すでにInterstage証明書環境が作成されている場合は、必要に応じてInterstage証明書環境にアクセス権限を設定してください。

実行例では、Bourneシェルを使用しています。

# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
# scsmakeenv -n SERVERCERT -f /tmp/ssocert.txt -g iscertg
New Password:
Retype:

Input X.500 distinguished names.
What is your first and last name?
  [Unknown]: rormanager.example.com
What is the name of your organizational unit?
  [Unknown]: FUJITSU TOKYO
What is the name of your organization?
  [Unknown]: FUJITSU
What is the name of your City or Locality?
  [Unknown]: Shinjuku
What is the name of your State or Province?
  [Unknown]: Tokyo
What is the two-letter country code for this unit?
  [Un]: jp

Is <CN=rormanager.example.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct?
  [no]: yes
UX:SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</tmp/ssocert.txt>
UX:SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。
#

注意

すでにInterstage証明書環境を構築済の場合、Interstage証明書環境のパスワードの入力が要求されるので、Interstage証明書環境構築時に設定したパスワードを入力してください。

SSL通信に使用する証明書の登録

認証局から発行されたサイト証明書と、その証明書の発行者である認証局証明書を取得し、証明書・CRL登録コマンド(以降、scsenterコマンドと記述します)を使用して登録します。

参考

認証局によっては、中間認証局証明書の登録が必要な場合があります。詳細については、「Interstage Application Server セキュリティシステム運用ガイド」の「第11章 Interstage証明書環境の構築と利用」の「11.3.3 証明書・CRLの登録」を参照してください。
テスト用サイト証明書を作成した場合、本作業を行う必要はありません。

〔作成手順〕

  1. 環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定します。

  2. scsenterコマンドで認証局の証明書を登録します。

    scsenter -n <認証局の証明書のニックネーム> -f <認証局の証明書>

    参考

    scsenterコマンドの詳細については、「Interstage Application Server リファレンスマニュアル(コマンド編)」の「SSL環境設定コマンド」を参照してください。

  3. Interstage証明書環境へアクセスするためのパスワードを入力します。

    scsmakeenvコマンドで指定したInterstage証明書環境にアクセスするためのパスワードを入力します。

  4. scsenterコマンドでサイト証明書を登録します。

    scsenter -n <サイト証明書のニックネーム> -f <サイト証明書> -o

    認証局から取得したサイト証明書を登録する場合に、scsmakeenvコマンドで秘密鍵に指定したニックネームを指定してください。なお、サイト証明書の登録には、-oオプションを必ず指定してください。

  5. Interstage証明書環境へアクセスするためのパスワードを入力します。

    scsmakeenvコマンドで指定したInterstage証明書環境にアクセスするためのパスワードを入力します。

【Windows】

以下の設定値を使って、コマンドの実行例を示します。

・認証局の証明書:C:\temp\ca-cert.cer
・認証局の証明書のニックネーム:CACERT
・サイト証明書:C:\temp\server-cert.cer
・サイト証明書のニックネーム:SERVERCERT

取得した認証局の証明書およびサイト証明書のファイル名は、必要に応じて変更してください。

C:\>scsenter -n CACERT -f C:\temp\ca-cert.cer
Password:
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。
C:\>scsenter -n SERVERCERT -f C:\temp\server-cert.cer -o
Password:
証明書応答がキーストアにインストールされました。
SCS: 情報: scs0104: 証明書を登録しました。
C:\>

【Linux】

以下の設定値を使って、コマンドの実行例を示します。

・認証局の証明書:/tmp/ca-cert.cer
・認証局の証明書のニックネーム:CACERT
・サイト証明書:/tmp/server-cert.cer
・サイト証明書のニックネーム:SERVERCERT

取得した認証局の証明書およびサイト証明書のファイル名は、必要に応じて変更してください。
実行例では、Bourneシェルを使用しています。

# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
# scsenter -n CACERT -f /tmp/ca-cert.cer
Password:
証明書がキーストアに追加されました。
UX:SCS: 情報: scs0104: 証明書を登録しました。
# scsenter -n SERVERCERT -f /tmp/server-cert.cer -o
Password:
証明書応答がキーストアにインストールされました。
UX:SCS: 情報: scs0104: 証明書を登録しました。
#

6.3.3.2 Interstageのテスト用サイト証明書の作成

認証局から発行されるサイト証明書を使用する前にテストを行いたい場合のみ、テスト用サイト証明書を利用できます。サーバのFQDNが「rormanager.example.com」である場合のテスト用サイト証明書の作成例を以下に示します。

注意

テスト用サイト証明書は、テスト環境のみ利用できます。
実際の運用では、テスト用サイト証明書は利用しないでください。

以下の設定値を使って、コマンドの実行例を示します。

・テスト用サイト証明書のニックネーム:testCert
・英数字氏名:rormanager.example.com
・英数字組織単位名:FUJITSU TOKYO
・英数字組織名:FUJITSU
・市区町村名:Shinjuku
・都道府県名:Tokyo
・国名:jp

入力したパスワードは表示されません。初回はパスワード登録となります。入力したパスワードの確認のため表示された情報で証明書を作成する場合、「yes」を入力してください。入力し直す場合には、「no」を入力してください。
【Windows】

scsmakeenv -n testCert
New Password:
Retype:

Input X.500 distinguished names.
What is your first and last name?
  [Unknown]: rormanager.example.com
What is the name of your organizational unit?
  [Unknown]: FUJITSU TOKYO
What is the name of your organization?
  [Unknown]: FUJITSU
What is the name of your City or Locality?
  [Unknown]: Shinjuku
What is the name of your State or Province?
  [Unknown]: Tokyo
What is the two-letter country code for this unit?
  [Un]: jp

Is <CN=rormanager.example.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct?
  [no]: yes
SCS: 情報: scs0102: 自己署名証明書を作成しました。

【Linux】

実行例では、Bourneシェルを使用しています。

# JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
# scsmakeenv -n testCert
New Password:
Retype:

Input X.500 distinguished names.
What is your first and last name?
  [Unknown]: rormanager.example.com
What is the name of your organizational unit?
  [Unknown]: FUJITSU TOKYO
What is the name of your organization?
  [Unknown]: FUJITSU
What is the name of your City or Locality?
  [Unknown]: Shinjuku
What is the name of your State or Province?
  [Unknown]: Tokyo
What is the two-letter country code for this unit?
  [Un]: jp

Is <CN=rormanager.example.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct?
  [no]: yes
UX:SCS: 情報: scs0102: 自己署名証明書を作成しました。
#

注意

Interstage証明書環境を構築済の場合、Interstage証明書環境のパスワードの入力が要求されるので、Interstage証明書環境構築時に設定したパスワードを入力してください。

前次
Copyright 2010-2013 FUJITSU LIMITED