運用開始後も、証明書や秘密鍵やCRLを管理する必要があります。そのため、証明書の管理を行うための以下のコマンドを用意しています。
scsmakeenv | Interstage証明書環境を構築・変更します。また、CSRやテスト用証明書を作成することができます。 |
scsenter | 証明書またはCRLをInterstage証明書環境に登録します。 |
scslistcrl | Interstage証明書環境に登録されているCRLの概要を表示します。 |
scsdelete | サイト証明書とそれに対応する秘密鍵、または認証局の証明書をInterstage証明書環境から削除します。 注) |
scsexppfx | Interstage証明書環境からPKCS#12データで移出(取り出し)します。 |
scsimppfx | Interstage証明書環境にPKCS#12データを移入(登録)します。 |
scslist | Interstage証明書環境の登録状況を表示します。 |
以降に示すような場面に、コマンドが利用できます。
注意
登録した証明書を利用するには、Interstage管理コンソールでの設定変更や反映が必要です。
ポイント
scsenter、scslistcrl、scsdelete、scsexppfx、scsimppfx、scslistコマンドについては下記のURLから参照できるマニュアルをご覧ください。
http://software.fujitsu.com/jp/manual/
有効期限が切れると、運用や機能が停止してしまう場合があります。有効期限が切れる前に、事前に新しい証明書を入手し、登録しておく必要があります。新しい証明書を入手したら、使用する証明書を新しい証明書に切り替えるのが一般的な運用です。その際、今まで使用していた古い証明書は、削除せずにそのまま残しておいてください。手順は、“9.4.1.2 環境の構築方法”を再度実行することになります。
注意
証明書を更新する際、scsmakeenvコマンドでCSRを作成しますが、古い証明書と同じニックネームを指定することはできません。
なお、認証局の運営方針(ポリシー)により、証明書の有効期間よりも早く、認証局証明書や中間CA証明書(中間認証局証明書)が更新される場合があります。その場合には、各認証局のサイトを確認し、指示された手順に従って新しい認証局証明書や中間CA証明書を入手してください。それらをscsenterコマンドで登録した後で、新しいサイト証明書を登録するようにしてください。その際、新しい認証局証明書や中間CA証明書には、既に登録されている証明書と重ならない、任意のニックネームが指定できます。
なお、合同会社シマンテック・ウェブサイトセキュリティ(旧社名:日本ベリサイン株式会社)で発行されるセキュア・サーバIDは、2007年3月以降に仕様が変更され、中間CA証明書も提供されるようになりました。バージョン8.0以前の本製品で作成したInterstage証明書環境を利用していて、サイト証明書を更新した場合には、中間CA証明書を登録してから新しいサイト証明書を登録してください。本製品の本バージョンでは、“9.4.4 Interstage組み込み証明書一覧”に記載されている証明書を組み込んでいます。本製品に組み込まれている中間CA証明書は、Interstage証明書環境の構築時にscsmakeenvコマンドで-cオプションを指定すれば、認証局証明書と一緒にInterstage証明書環境に登録されます。
運用変更により、本製品がサポートするパブリック認証局の発行する証明書も使用することになった場合、scsmakeenvコマンドで-cオプションを指定し、CSRを作成してください。手順は、“9.4.1.2 環境の構築方法”を再度実行することになります。
運用開始時よりも利用する証明書が増えた時など、新たに証明書を発行してもらった場合や、新しいCRLを入手した場合は、scsenterコマンドでInterstage証明書環境に登録してください。
運用開始前や証明書の発行依頼中に、テスト用サイト証明書でシステム構築し動作確認を行うことができます。
scsmakeenvコマンドでテスト用サイト証明書を作成できます。なお、この場合、テスト用サイト証明書はInterstage証明書環境に自動的に登録されますので、scsenterコマンドで証明書を登録する必要はありません。
注意
テスト用サイト証明書を利用可能な機能は、Interstage HTTP Serverでのサーバ認証です。なお、証明書はテスト用ですので、実際の運用では利用しないでください。
テスト用の証明書が誤って運用で利用されてしまうことを防ぐために、テストが終わったらテスト用証明書を削除することを推奨します。テスト用証明書の認証局証明書も、同様に削除することを推奨します。
scsmakeenvコマンドで登録した合同会社シマンテック・ウェブサイトセキュリティのルート証明書には、「テスト用ルート証明書」は含まれていません。そのため、「テスト用セキュア・サーバID」を使用する場合には、合同会社シマンテック・ウェブサイトセキュリティから「テスト用ルート証明書」を入手し、scsenterコマンドで登録しておいてください。「テスト用ルート証明書」が登録されていないと、証明書検証に失敗するため、「テスト用セキュア・サーバID」の登録は失敗します。
なお、合同会社シマンテック・ウェブサイトセキュリティの発行する証明書は、2007年3月以降に仕様が変更されました。それまではルート証明書とサイト証明書の2階層となっていましたが、変更後は、ルート証明書と中間CA証明書(中間認証局証明書)とサイト証明書の3階層の構成となりました。テスト用証明書に関しても同様となるため、テスト用セキュア・サーバIDを使用する場合には、「テスト用ルート証明書」、「テスト用中間CA証明書」、「テスト用セキュア・サーバID」の3つを、順番に登録してください。「テスト用ルート証明書」と「テスト用中間CA証明書(中間認証局証明書)」は合同会社シマンテック・ウェブサイトセキュリティのサイトから入手してください。
証明書はテスト用ですので、実際の運用では利用しないでください。テスト用の証明書が誤って運用で利用されてしまうことを防ぐために、テストが終わったらテスト用証明書を削除することを推奨します。テスト用証明書の認証局証明書も、同様に削除することを推奨します。
使用されなくなった証明書を削除することができます。
サイト証明書を削除すると、対応する秘密鍵も削除されます。秘密鍵がなくなると、二度とサイト証明書として登録できなくなります。また、認証局証明書を削除すると、その認証局の発行した認証局証明書やサイト証明書は使用できなくなります。十分注意のうえ、scsdeleteコマンドで削除してください。
なお、使用されなくなった証明書をそのまま残しておいても問題はありません。
ポイント
バックアップする方法については、下記のURLから参照できるマニュアルをご覧ください。
http://software.fujitsu.com/jp/manual/
サイト証明書とそれに対応する秘密鍵と、サイト証明書の検証に必要な認証局証明書を、PKCS#12データでバックアップすることができます。その場合、scsexppfxコマンドを使用します。作成されたPKCS#12データはパスワードで暗号化されているため、秘密鍵を安全に保管できます。
バックアップしたPKCS#12データをscsimppfxコマンドでリストアすることができます。また、scsimppfxコマンドで移行することもできます。
ただし、PKCS#12データには、信頼する他のサイト証明書を含めることはできません。
ポイント
Interstage証明書環境全体のバックアップをする場合には、下記のURLから参照できるマニュアルをご覧ください。
http://software.fujitsu.com/jp/manual/
