ページの先頭行へ戻る
Interstage Mobile Application Server V1.1.0 導入ガイド
FUJITSU Software
付録C 証明書、鍵管理環境 > C.2 証明書、秘密鍵の作成
前次

C.2 証明書、秘密鍵の作成

  1. SSL使用時の動作環境である証明書 /鍵管理環境を作成します。
    1. 管理ディレクトリの作成証明書、秘密鍵管理用のディレクトリを4つ作成します。
      以下、作成例を示します。
      スロット情報ディレクトリを作成します。 
      mkdir /home/ssl/envdir/slot
      運用管理ディレクトリを作成します。 
      mkdir /home/ssl/envdir/sslcert
      証明書管理ディレクトリを作成します。 
      mkdir /home/ssl/envdir/sslcert/cert
      CRL管理ディレクトリを作成します。 
      mkdir /home/ssl/envdir/sslcert/crl
    2. 秘密鍵の管理に必要な秘密鍵管理環境の作成と設定を行います。
      以下、作成例を示します。
      スロット情報ディレクトリの作成と、初期化を行います。 
      makeslot -d /home/ssl/envdir/slot
      トークンの初期設定を行います。 
      maketoken -d /home/ssl/envdir/slot -s 1 -t Token01
    3. 証明書および CRLの管理に必要な証明書 /CRL管理環境の作成と設定を行います。
      本製品がサポートするパブリック認証局の証明書を使用する場合は、ルート証明書(CA 証明書)の登録を行います。
      以下、作成例を示します。
      証明書/CRL管理環境を作成します。 
      cmmkenv /home/ssl/envdir/sslcert -todir /home/ssl/envdir/sslcert/cert,/home/ssl/envdir/sslcert/crl
      証明書/CRL管理環境の設定をします。 
      cmsetenv /home/ssl/envdir/sslcert -sd /home/ssl/envdir/slot -jc 1

      注意

      証明書/CRL管理環境の作成完了後、証明書/CRL管理環境のすべてのディレクトリ名の変更はできません。
  2. 秘密鍵の作成と証明書を取得します。
    認証局(証明書発行局)に証明書の発行を依頼し、証明書を取得します
    1. 認証局へ証明書の発行を依頼するための証明書取得申請書と秘密鍵を同時に作成します。

      注意

      証明書を入手するまでの間、秘密鍵を保護するために、証明書/鍵管理環境のファイルをバックアップしておいてください。

      バックアップを行っておらず、証明書/鍵管理環境が破壊された場合は、秘密鍵がなくなってしまうため、証明書/鍵管理環境の作成と、証明書取得申請書の作成を再度行うことになります。

      以下、作成例を示します。 
      cmmakecsr -ed /home/ssl/envdir/sslcert -sd /home/ssl/envdir/slot -f TEXT -c JP -cn "www.InterstageApplicationServer.com" -o fujitsu -ou unit1 -l "Shizuoka-shi" -s "Shizuoka-ken" -kt RSA -kb 2048 -tl Token01 -of /home/ssl/envdir/myCertRequest
ENTER TOKEN PASSWORD=> *

      注意

      [ENTER TOKEN PASSWORD]には、ユーザーPINを入力してください。入力する文字は表示されません。
    2. 証明書の発行依頼をします。
      証明書取得申請書を認証局へ送付し、サイト証明書の発行を依頼します。 依頼方法は認証局に従ってください。
    3. 証明書の取得をします。
      認証局により署名された証明書を取得します。 取得方法は認証局に従ってください。
  3. 取得した証明書とCRLを、証明書/CRL管理環境に登録します。
    登録後、証明書/鍵管理環境のバックアップを実行してください。バックアップ方法は、 C.3 証明書、秘密鍵のバックアップを参照してください。
    1. 認証局の証明書(発行局証明書)を登録します。
      取得した認証局の証明書を証明書/CRL管理環境へ登録します。運用で使用する証明書(サイト証明書やクライアント証明書)を発行した認証局の証明書は、すべて登録してください。
      本製品がサポートするパブリック認証局の証明書は、cmsetenvコマンドで登録してください。
      証明書は、ルート証明書から順に登録してください。
      以下、登録例を示します。
      認証局の証明書が/home/ssl/envdir/root.crtの場合 
      cmentcert /home/ssl/envdir/root.crt -ed /home/ssl/envdir/sslcert -ca -nn RootCert
    2. 中間CA証明書(中間認証局証明書)を登録します。
      認証局によっては、認証局証明書とサイト証明書のほかに、中間CA証明書(中間認証局証明書)が用意されている場合がありますので、各認証局に確認し、中間CA証明書(中間認証局証明書)を入手してください。その場合、サイト証明書の登録の前に入手した中間CA証明書(中間認証局証明書)を登録してください。
      中間CA証明書(中間認証局証明書)が/home/ssl/envdir/intermediate.crtの場合 
      cmentcert /home/ssl/envdir/intermediate.crt -ed /home/ssl/envdir/sslcert -ca -nn INTCert
    3. 認証局から発行されたサイト証明書を証明書/CRL管理環境へ登録します。
      サイト証明書が/home/ssl/envdir/site.crtの場合 
      cmentcert /home/ssl/envdir/site.crt -ed /home/ssl/envdir/sslcert -own -nn SiteCert
      登録後は、証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。有効期間は、cmdspcertコマンドで確認できます。

      参考

      cmdspcert
      形式 
      cmdspcert [-ed Environment-directory ] {-id CertID | -nn NickName | -fn FileName } [-sl Select] [-oc OutCODE][-of OutFile]
      説明
      証明書の内容を項目ごとに編集、標準出力、またはファイルに出力します。
      オプション
      -ed Environment-directory
      運用管理ディレクトリ(Environment-directory)をフルパスで指定します。省略された場合、環境変数“CMIPATH”に設定されている情報が有効となります。
      -id CertID
      登録済みの証明書を表示する場合だけ、cmlistcertコマンドで表示された証明書識別名(CertID)を指定します。
      -nn NickName
      登録済みの証明書を表示する場合だけ、登録時に指定したニックネーム(NickName)を指定します。
      -fn FileName
      未登録の証明書を表示する場合だけ、証明書ファイル名(FileName)を指定します。
      DER形式、およびBASE64形式のファイルを指定することができます。
      -sl Select
      表示形式(Select)を指定します。
      0 : 項目ごとの表示(デフォルト)
      1 : 鍵の表示
      -oc OutCODE
      表示結果を出力する際の日本語コード系(OutCODE)を指定します。
      0 : JIS
      1 : SJIS(デフォルト)
      2 : EUC
      -of OutFile
      表示結果を出力するファイル名(OutFile)をフルパスで指定します。
      省略すると標準出力に出力します。指定するファイルは未使用のものを指定します。
      備考
      • -id、-nn、-fnのどれかを指定する必要があります。
      • 証明書の有効期間は「VALIDITY」行で確認できます。

        「開始日時(YYYYMMDDHHMMSS)-終了日時(YYYYMMDDHHMMSS)」の形式で世界標準時で表示されます。

      • 証明書ファイルにBASE64形式の証明書を指定した場合、かつ以下のヘッダ、フッタがついている場合は、その行は読み飛ばされます。なお、以下の形式以外では、エラー終了します。また、指定された証明書ファイル内に複数の証明書が含まれている場合は、先頭のデータのみ対象となります。

        ヘッダ:-----BEGINで始まる行

        フッタ:-----ENDで始まる行

      • 識別名情報が設定されていない項目は表示しません。

      なお、証明書の更新については、「証明書を更新する(証明書の有効期限が切れる)場合」を参照してください。

      以下、登録例を示します。
      サイト証明書が/home/ssl/envdir/my_site_cert.derに格納されている場合 
      cmentcert /home/ssl/envdir/my_site_cert.der -ed /home/ssl/envdir/sslcert -own -nn MySiteCert
    4. 必要に応じCRLを登録してください。
      CRLで失効確認をしない場合には、CRLの登録は不要です。
      CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録してください。
前次
FUJITSU LIMITED