Interstage証明書環境は、複数のサービスで共有でき証明書や秘密鍵を一括管理することができます。また、Interstage管理コンソールから参照することができます。

証明書と秘密鍵について説明します。

SSL通信など、署名や暗号の処理を行うためには、認証局の証明書(発行局証明書)、サイト証明書、それに対応する秘密鍵が必要となります。また、証明書の有効性を確認するために、CRL(証明書失効リスト)が利用されます。

X.509またはRFC2459に準拠し、RSA暗号アルゴリズムの鍵が使用されている証明書・CRLが使用できます。

• 認証局の証明書(発行局証明書)

  認証局が発行した証明書を保証するための、認証局自身の証明書です。CA証明書ともいいます。認証局が配下の認証局に証明書を発行することがあります。この場合、認証局自身の証明書に加え、配下の認証局に発行した証明書も、認証局の証明書と呼びます。また、配下の認証局に発行した証明書を特に中間CA証明書と呼びます。

• サイト証明書

  サーバやクライアントやサービスの身元を保証するために、認証局が発行した証明書です。利用者(サーバ/クライアント/サービス)に関する情報と認証局に関する情報が含まれています。
  サイト証明書は、必ずこれを発行した認証局の証明書を組み合わせて使用する必要があります。

  証明書には有効期間が設定されています。有効期間を過ぎた証明書は無効と判断され、利用することができなくなります。有効期間を過ぎる前に、証明書を更新し、新しい証明書を入手する必要があります。詳細については、“9.4.2.1 証明書を更新する(証明書の有効期限が切れる)場合”を参照してください。

• サイト証明書に対応する秘密鍵

  サイト証明書の中に含まれている秘密鍵と対になっています。

  注意

  秘密鍵をなくしたり、削除したりすると対応するサイト証明書は登録できなくなります。そのため必ずバックアップをとるようにしてください。バックアップする方法については、下記のURLから参照できるマニュアルをご覧ください。

      http://software.fujitsu.com/jp/manual/

• CRL(証明書失効リスト)

  CRLは認証局が発行し、その認証局が発行したが無効になった証明書の一覧が含まれています。証明書を無効にする(失効する)のは、秘密鍵が盗まれた場合や、利用資格がなくなった場合、などがあります。SSL通信で利用する場合には、接続先のサイトやクライアントの証明書が無効になっていないかを確認する場合に参照されます。CRLは定期的に発行され、認証局の管理しているWebサーバやディレクトリサーバなどに公開されます。公開方法は、認証局の運用によって異なるため、認証局に確認してください。なお、証明書の中に公開場所が記載されている場合もあります。

証明書と秘密鍵の配布や、バックアップなどの目的で、PKCS#12データが用いられることがあります。PKCS#12データには、証明書とそれに対応する秘密鍵と、その証明書の検証に必要な認証局証明書が含まれており、パスワード文字列で暗号化されています。

Interstage証明書環境では、以下のPKCS#12データを移入する(登録する)ことができます。

• Systemwalker PkiMGRで作成されたPKCS#12データ

• Interstage証明書環境からscsexppfxコマンドで移出された(取り出された)PKCS#12データ

• SMEEコマンドで構築された証明書/鍵管理環境からcmmkpfxコマンドで移出されたPKCS#12データ

また、Interstage証明書環境から移出されたPKCS#12データは、以下の環境に移入することができます。

• Interstage証明書環境(scsimppfxコマンドを利用)

• SMEEコマンドで構築された証明書/鍵管理環境(cmentpfxコマンドを利用)

    http://software.fujitsu.com/jp/manual/

証明書を作成するには認証局が必要です。

Interstage証明書環境では、以下で発行された証明書をサポートしています。

• プライベート認証局（社内用など、利用範囲を限定した証明書発行サービス）

  Systemwalker PkiMGR (インターネット/イントラネットで証明書管理を実現する、当社のソフトウェア)

• パブリック認証局（信頼された第三者として証明書発行サービスを行う認証局）

  合同会社シマンテック・ウェブサイトセキュリティ(旧社名：日本ベリサイン株式会社)

  • セキュア・サーバID、セキュア・サーバID EV(EV SSL証明書)

  サイバートラスト株式会社

  • SureServer for SSL証明書

  GMOグローバルサイン株式会社

  • クイック認証SSL、企業認証SSL

    Systemwalker PkiMGRについては、“Systemwalker PkiMGRのカタログやマニュアル”を参照してください。

Interstage証明書環境は証明書、秘密鍵、CRLを管理する環境です。Interstage証明書環境は構築・更新にはコマンドを使用し、参照は、Interstage Application ServerのInterstage管理コンソールで行います。ここでは、CSR(証明書取得申請書)を利用した、Interstage証明書環境の構築方法について説明します。

1. Interstage証明書環境のアクセス権限の設定

2. Interstage証明書環境の構築とCSR(証明書取得申請書)の作成

3. 証明書の発行依頼

4. 証明書とCRLの登録

Interstage証明書環境を構築する前に、Interstage証明書環境へのアクセスを許可する、所有グループを作成しておく必要があります。Interstage証明書環境は、スーパーユーザによって構築され、特定の所有グループに属する実効ユーザがアクセスすることができます。実効ユーザは、利用するサービスによって異なります。各サービス指定の実効ユーザを所有グループに追加設定するようにしてください。

所有グループの作成や変更は、OS提供のツールから実行する方法もありますが、ここでは、コマンドで所有グループを作成する例を示します。

1. Interstage証明書環境の所有グループを作成します。

   下記の実行例では、「iscertg」というグループを作成しています。

   # groupadd iscertg

2. useraddまたはusermodコマンドで、実効ユーザをiscertgグループに登録します。

   下記の実行例では、iscertgに「nobody」を追加しています。

   # usermod -G iscertg nobody

コマンドの詳細については、使用しているOSのマニュアルを参照してください。

作成した所有グループは、Interstage証明書環境を構築時にscsmakeenvコマンドの-gオプションに指定してください。

SSLなど、署名や暗号処理を行うには、証明書を取得する必要があります。そのために、認証局へ証明書の発行を依頼するためのデータである、CSR(証明書取得申請書)を作成します。このとき、Interstage証明書環境が存在しなければ、同時にInterstage証明書環境も作成されます。存在している場合には、そのInterstage証明書環境が利用されます。

    http://software.fujitsu.com/jp/manual/

CSRの作成例を以下に示します。

scsmakeenvコマンドについては、“9.4.3 コマンド”を参照してください。

CSRの作成と同時に、パブリック認証局のルート証明書の登録も行います。

> scsmakeenv -n SiteCert -c -f /usr/home/my_dir/my_csr.txt -g iscertg
New Password: *1
Retype: *1

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain *2
What is the name of your organizational unit?
[Unknown]:Interstage *2
What is the name of your organization?
[Unknown]:Fujitsu Ltd. *2
What is the name of your City or Locality?
[Unknown]:Yokohama *2
What is the name of your State or Province?
[Unknown]:Kanagawa *2
What is the two-letter country code for this unit?
[Un]:jp *2
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes *3
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt>
UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。

*1:
パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。

*2:
入力する内容については、“9.4.3 コマンド”を参照してください。

*3:
表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。

> scsmakeenv -n SiteCert -f /usr/home/my_dir/my_csr.txt -g iscertg
New Password: *1
Retype: *1

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain *2
What is the name of your organizational unit?
[Unknown]:Interstage *2
What is the name of your organization?
[Unknown]:Fujitsu Ltd. *2
What is the name of your City or Locality?
[Unknown]:Yokohama *2
What is the name of your State or Province?
[Unknown]:Kanagawa *2
What is the two-letter country code for this unit?
[Un]:jp *2
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes *3
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt>
UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。

*1:
パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。

*2:
入力する内容については、“9.4.3 コマンド”を参照してください。

*3:
表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。

> scsmakeenv -n testCert
Password: 

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain 
What is the name of your organizational unit?
[Unknown]:Interstage 
What is the name of your organization?
[Unknown]:Fujitsu Ltd. 
What is the name of your City or Locality?
[Unknown]:Yokohama 
What is the name of your State or Province?
[Unknown]:Kanagawa 
What is the two-letter country code for this unit?
[Un]:jp 
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes 
SCS: 情報: scs0102: 自己署名証明書を作成しました。

認証局に証明書の発行を依頼し、証明書を取得します。

証明書の発行依頼

scsmakeenvコマンドで作成したCSRを認証局へ送付し、証明書の発行を依頼します。
依頼は認証局の指定方法に従ってください。

証明書の取得

認証局により発行された証明書をバイナリデータ(DER形式)またはBase64エンコーディングデータ(PEM形式)で取得します。PEM形式の証明書は、以下のようなデータ形式をしています。

-----BEGIN CERTIFICATE-----
… (Base64エンコードされた証明書データ) …
-----END CERTIFICATE-----

なお、取得方法は認証局に従ってください。

認証局から取得した証明書とCRLをInterstage証明書環境に登録します。

証明書は、認証局自身の証明書から順に登録してください。

    http://software.fujitsu.com/jp/manual/

認証局の証明書の登録

取得した認証局の証明書を登録します。登録例を以下に示します。

>scsenter -n CA -f /usr/home/my_dir/CA.der
Password: *1
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

*1:パスワードを入力します。なお、入力した文字列はエコーバックされません。

認証局証明書は、Interstage管理コンソールでは[システム]－[セキュリティ]－[証明書]－[認証局証明書]で参照できます。

中間CA証明書の登録

認証局によっては、認証局証明書とサイト証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合、サイト証明書の登録の前に、認証局から配布されている中間CA証明書を登録してください。なお、登録方法は認証局証明書の場合と同じです。“認証局の証明書の登録”を参照してください。ただし、中間CA証明書のニックネームは認証局証明書やサイト証明書と異なるものを指定してください

サイト証明書の登録

発行された証明書をサイト証明書として登録します。登録例を以下に示します。

>scsenter -n SiteCert -f /usr/home/my_dir/SiteCert.der -o
Password: *1
証明書応答がキーストアにインストールされました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

*1:パスワードを入力します。なお、入力した文字列はエコーバックされません。

サイト証明書は、Interstage管理コンソールでは[システム]－[セキュリティ]－[証明書]－[サイト証明書]で参照できます。証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。なお、証明書の更新については“9.4.2.1 証明書を更新する(証明書の有効期限が切れる)場合”を参照してください。

注意

-nオプションには、CSRを作成したときと同じニックネームを指定してください。

信頼する他のサイトの証明書の登録

信頼する他のサイトの証明書を登録します。登録例を以下に示します。

>scsenter -n OtherSiteCert -f /usr/home/my_dir/OtherSiteCert.der -e
Password: *1
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

*1:パスワードを入力します。なお、入力した文字列はエコーバックされません。

信頼する他のサイトの証明書は、Interstage管理コンソールでは[システム]－[セキュリティ]－[証明書]－[認証局証明書]で参照できます。

CRLの登録

CRLで失効確認をしない場合には、CRLを登録する必要はありません。CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてください。登録例を以下に示します。

>scsenter -c -f /usr/home/my_dir/CRL.der
Password: *1
UX: SCS: 情報: scs0105: CRLを登録しました。

*1:パスワードを入力します。なお、入力した文字列はエコーバックされません。

Interstage証明書環境を構築後は、証明書を利用するための設定が必要です。その手順について、以降に説明します。

1. 証明書の利用設定

2. 各サービスの環境設定

3. 認証局の証明書のWebブラウザへの登録

Interstage証明書環境に登録されている証明書は、Interstage管理コンソールの[システム]－[セキュリティ]－[証明書]－[認証局証明書]画面、または、[システム]－[セキュリティ]－[証明書]－[サイト証明書]画面で参照できます。取得した証明書の内容が正しいか確認してください。また、証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。なお、証明書の更新については、“9.4.2.1 証明書を更新する(証明書の有効期限が切れる)場合”を参照してください。

なお、SSL通信を行うためには、SSL定義を作成する必要があります。Interstage管理コンソールの[システム]－[セキュリティ]－[SSL]－[新規作成]タブでSSL定義を作成してください。また、証明書には有効期間がありますので、確認しておいてください。証明書が期限切れになると、運用や機能が停止してしまう場合があります。そのため、期限切れになる前に、事前に新しい証明書を入手しておく必要があります。詳細については“9.4.2 証明書の管理”を参照してください。

SSLを利用するためにInterstage管理コンソールを利用してInterstage HTTP Serverについて環境設定を行う必要があります。以下に、Interstage HTTP Serverで設定するInterstage管理コンソール画面上の項目名を示します。

• Interstage HTTP Server

  [システム]－[サービス]－[Webサーバ]－[Webサーバ名]－[環境設定]タブ－[詳細設定[表示]]－[SSL]

    http://software.fujitsu.com/jp/manual/

Systemwalker PkiMGRを使用した認証局に発行されたサイト証明書を使用してWebブラウザとSSLを使用した通信を行うためには、サイト証明書を発行した認証局の証明書をWebブラウザに登録する必要があります。登録方法を以下に示します。

WebサーバのSSLを使用しない公開ページに認証局の証明書を公開し、初回だけWebブラウザに認証局の証明書を登録してもらいます。
登録後、WebブラウザはSSLを使用したWebサーバのサービスを利用できるようになります。

認証局の証明書を登録するためのHTMLの例

<HTML>
<BODY>
<A HREF="cacert.der">認証局の証明書</A>
・
・
・
</BODY>
</HTML>

Webブラウザよりリンクをクリックすることにより、認証局の証明書がWebサーバよりダウンロードされWebブラウザに登録されます。

注意

• 認証局の証明書のデータタイプは、「application/x-x509-ca-cert」です。以下に示すデータタイプとファイルの拡張子の関連を指定するファイルに「application/x-x509-ca-cert」の定義があり、作成した認証局の証明書のファイルの拡張子が関連付けられていることを確認してください。

      /var/opt/FJSVihs/servers/(Webサーバ名)/conf/mime.types

• 認証局の証明書は、SSLを使用しないWebサーバを使って取出せるような場所に格納しておいてください。

• 認証局の証明書をダウンロードするためのWebサーバは、必ずしもSSL通信を行うWebサーバと同じサーバである必要はありません。

• 証明書の有効期限切れなどの理由で認証局の証明書を更新した場合は、認証局の古い証明書をいったんWebブラウザ内から削除した後、新しい証明書をWebブラウザにダウンロードして登録し直す必要があります。