FUJITSU Software Linkexpress SSL通信環境導入説明書

目次 索引

4.6 cmsetenvコマンド

■名称

環境設定コマンド

■形式

cmsetenv  証明書運用管理ディレクトリ
          -sd スロット情報ディレクトリ
          -rs 証明書運用方法
          [-cs CRL検索方法]
          [-po 受け入れ可能ポリシー]
          [-ip]
          [-ie]
          [-ia]
          [-cm 証明書経路長]
          [-lh LDAPサーバホスト名]
          [-lp LDAPサーバポート番号]
          [-lw LDAPサーバ通信応答待ち時間]
          [-lc HOPカウント]
          [-oh OCSPサーバまたは証明書検証サーバホスト名]
          [-op proxyサーバホスト名]
          [-ow OCSPサーバまたは証明書検証サーバ通信応答待ち時間]
          [-oa OCSPサーバ暗号アルゴリズム]
          [-or 証明書運用方法]

■機能説明

以下のディレクトリ配下で使用する日本語コード系の設定を行います。

• スロット情報ディレクトリ(秘密鍵環境)
• 証明書運用管理ディレクトリ(公開鍵環境)

■オプションの意味

証明書運用管理ディレクトリ

証明書運用管理ディレクトリを絶対パスで指定します。

-sd スロット情報ディレクトリ

スロット情報ディレクトリを絶対パスで指定します。

-rs 証明書運用方法

証明書の有効性確認の運用方法を指定します。推奨値は"1"です。しかし、有効性確認先が常に固定の運用の場合は、それに従った値を指定してください。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

0 ： 有効性確認をしない
1 ： 証明書の設定に従う（推奨値）
2 ： CRLで有効性確認を行う
3 ： OCSP（OCSPサーバ）で有効性確認を行う
4 ： OCSP拡張（証明書検証サーバ）で有効性確認を行う
5 ： 証明書の設定に従う（LDAPサーバのアドレスは環境設定を使用）

[-cs CRL検索方法]

証明書検証で使用するCRLの検索方法を指定します。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

0 ： 有効なCRLが検索された時点でそのCRLを使用する（省略値）
1 ： すべての検索対象からCRLを検索し最新のCRLを使用する

[-po 受け入れ可能ポリシー]

証明書検証処理で使用する受入れ可能ポリシーのオブジェクト識別子を指定します。ここで指定したオブジェクト識別子に基づいてポリシーに該当する証明書かどうか検証を行います。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

指定例を以下に示します。複数指定する場合は”,”で区切ります。また、省略値はany-policyを示す 2.5.29.32.0です。

1個指定する場合 ： 1.2.8000
2個指定する場合 ： 1.2.8001,1.2.8002
N個指定する場合 ： 1.2.8001,1.2.8002,...,1.2.8052

[-ip]

証明書検証処理で、ポリシーマッピングを証明書経路中で許さない場合に指定します。相互認証を行っているような環境（GPKIの場合など）ではポリシーマッピングが必須のため、指定しないでください。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

[-ie]

証明書検証処理で、受入れ可能な証明書ポリシーが少なくとも１つ存在することを強制する場合に指定します。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

[-ia]

証明書検証処理で、証明書中のポリシーにany-policyが含まれることを許さない場合に指定します。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

[-cm 証明書経路長]

証明書検証処理で、作成する証明書経路の長さ（証明書経路長）の最大数を0〜100で指定します。省略または"0" を指定した場合、最大数を制限しません。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

[-lh LDAPサーバホスト名]

LDAPサーバのホスト名またはIPアドレスを指定します。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

指定形式は以下のとおりです。

ホスト名指定 ： LdapHost
IPアドレス指定 ： 10.131.202.50

[-lp LDAPサーバポート番号]

LDAPサーバのポート番号を指定します。省略するとシステムデフォルトのポートを使用します。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

指定形式は以下のとおりです。

80

[-lw LDAPサーバ通信応答待ち時間]

LDAPサーバとの通信の応答待ち時間を1〜300秒で指定します。省略値は150秒です。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

[-lc HOPカウント]

リフェラル使用時、LDAPサーバからLDAPサーバへのHOPカウントを0〜100で指定します。0を指定した場合はHOPカウントの制限はありません。省略値は5です。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

[-oh OCSPサーバまたは証明書検証サーバホスト名]

OCSPサーバまたは証明書検証サーバのホスト名を指定します。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

指定形式は以下のとおりです。

http://aaa.bbb.ccc:8000
https://aaa.bbb.ccc:8000

また、-rsオプションに4を指定した場合のみhttpsを指定できます。なお、不正なスキーム（“http://”、“https://”以外）を指定した場合は証明書検証時にエラーとなります。

[-op proxyサーバホスト名]

OCSPまたはOCSP拡張で使用するproxyサーバのホスト名を指定します。指定したproxyサーバは、証明書検証時にCRLをhttpで検索する場合にも使用されます。また、-oh オプションで“https://”を設定した場合にも使用されます。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

指定形式は以下のとおりです。

http://aaa.bbb.ccc:8888

[-ow OCSPサーバまたは証明書検証サーバ通信応答待ち時間]

OCSPサーバまたは証明書検証サーバとの通信の応答待ち時間を1〜600秒で指定します。省略値は150秒です。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

[-oa OCSPサーバ暗号アルゴリズム]

OCSPサーバで使用する暗号アルゴリズムを指定します。なお、証明書の署名アルゴリズムとは無関係です。本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

0 ： SHA1を使用する(省略時)
1 ： MD5を使用する

[-or 証明書運用方法]

OCSPサーバが、CA自身ではなく代役として動作している場合、OCSPレスポンスへの署名に使用された証明書の有効性確認の運用方法を指定します。なお、本オプションは、Linkexpress V5.0L12相当以降でサポートしています。

0 ： 有効性確認をしない（省略時）
1 ： 証明書の設定に従う

■コマンド実行例（UNIXサーバの場合）

本コマンドを実行する時の実行例を以下に示します。以下の例では、証明書運用管理ディレクトリに"/home/sslcert"、スロット情報ディレクトリに"/home/slot"を指定しています。

Example# cmsetenv /home/sslcert -sd /home/slot
Example#

目次 索引