取得した証明書とCRLを証明書/CRL管理環境に登録します。
登録したあとは、証明書/鍵管理環境をバックアップするようにしてください。バックアップ方法は、「運用ガイド(基本編)」の各サービスにおけるバックアップ方法を参照するか、または、「7.5 証明書/鍵管理環境の移行方法」の「1. 既存の資源(秘密鍵、証明書)を取り出す」を参照してください。
認証局の証明書(発行局証明書)の登録
取得した認証局の証明書を証明書/CRL管理環境へ登録します。
運用で使用する証明書(サイト証明書やクライアント証明書)を発行した認証局の証明書は、すべて登録してください。なお、本製品がサポートするパブリック認証局の証明書は、cmsetenvコマンドで登録してください。
証明書は、ルート証明書から順に登録してください。
例
登録例を以下に示します。
認証局の証明書がd:\sslenv\ca-cert.derに格納されている場合の実行例を示します。
cmentcert d:\sslenv\ca-cert.der -ed d:\sslenv\sslcert -ca -nn CACert
認証局の証明書が/export/home/ca-cert.derに格納されている場合の実行例を示します。
# cmentcert /export/home/ca-cert.der -ed /export/home/sslcert -ca -nn CACert
注意
CORBAサービスでは、SSLを使用するすべてのCORBAサーバ、CORBAクライアントで同一の認証局の証明書を登録する必要があります。
中間CA証明書(中間認証局証明書)の登録
認証局によっては、認証局証明書とサイト証明書のほかに、中間CA証明書(中間認証局証明書)が用意されている場合がありますので、各認証局に確認し、中間CA証明書(中間認証局証明書)を入手してください。その場合、サイト証明書の登録の前に入手した中間CA証明書(中間認証局証明書)を登録してください。
なお、登録方法は認証局証明書の場合と同じです。「認証局の証明書(発行局証明書)の登録」を参照してください。
サイト証明書の登録
認証局から発行されたサイト証明書を証明書/CRL管理環境へ登録します。
登録後は、証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。有効期間は、cmdspcertコマンドで確認できます。コマンドの詳細は、「リファレンスマニュアル(コマンド編)」を参照してください。なお、証明書の更新については、「証明書を更新する(証明書の有効期限が切れる)場合」を参照してください。
例
登録例を以下に示します。
サイト証明書がd:\sslenv\my_site_cert.derに格納されている場合の実行例を示します。
cmentcert d:\sslenv\my_site_cert.der -ed d:\sslenv\sslcert -own -nn MySiteCert
サイト証明書が/export/home/my_site_cert.derに格納されている場合の実行例を示します。
# cmentcert /export/home/my_site_cert.der -ed /export/home/sslcert -own -nn MySiteCert
注意
CORBAサービスでは、クライアント認証を行わない場合は、CORBAクライアントにおいてサイト証明書の登録を行う必要はありません。
CRLの登録
CRLで失効確認をしない場合には、CRLを登録する必要はありません。
CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてください。
例
登録例を以下に示します。
CRLがd:\sslenv\crl.derに格納されている場合の実行例を示します。
cmentcrl d:\sslenv\crl.der -ed d:\sslenv\sslcert
CRLが、/export/home/crl.derに格納されている場合の実行例を示します。
# cmentcrl /export/home/crl.der -ed /export/home/sslcert
