SSLによる暗号化通信を行う際に使用するコマンドについて説明します。
注意
登録した証明書を利用するには、Interstage管理コンソールでの設定変更や反映が必要です。
名前
scsmakeenv - CSR(証明書取得申請書)の作成、テスト用サイト証明書、Interstage証明書環境の作成
形式
[CSR(証明書取得申請書)作成]
scsmakeenv -n nickname -f filename [-c] [-k keysize] [-g group] [-p password] [-cn CommonName [-ou OrganizationalUnit] [-or Organization] [-lo Locality] [-st State] [-cc CountryCode]]
[テスト用サイト証明書作成]
scsmakeenv -n nickname [-c] [-k keysize] [-v valday] [-g group] [-p password] [-cn CommonName [-ou OrganizationalUnit] [-or Organization] [-lo Locality] [-st State] [-cc CountryCode]]
[Interstage証明書環境の作成、変更]
scsmakeenv -e [-p password] [-c] [-g group]
機能説明
scsmakeenvコマンドは、RSA暗号アルゴリズムの公開鍵・秘密鍵の鍵ペアを作成し、CSR(証明書取得申請書)をファイルへ出力します。また、オプション(-f filename)を省略することによりテスト用サイト証明書を作成することもできます。scsmakeenvコマンドで作成した、テスト用の鍵・サイト証明書はInterstage証明書環境に登録されます。本コマンドをシステムで初めて実行したとき、Interstage証明書環境を作成し、パスワードを設定します。以後は、その設定したパスワードでInterstage証明書環境を使用します。
CSR(証明書取得申請書)を作成してから自分のサイト証明書を入手し登録するまでの間にInterstage証明書環境が破壊されたり、秘密鍵が削除されてしまうと、自分のサイト証明書は使用できなくなります。そのため、本コマンドでInterstage証明書環境を構築した後は、秘密鍵の保護のためにInterstage証明書環境をバックアップしてください。
ポイント
本コマンドでInterstage証明書環境だけを作成する場合、Interstage証明書環境の変更を行う場合およびInterstage証明書環境をバックアップする方法については、下記のURLから参照できるマニュアルをご覧ください。
http://software.fujitsu.com/jp/manual/
指定可能なオプションを以下に示します。
-n nickname
秘密鍵のニックネームを指定します。英数字を先頭にし、後述する文字セットから1~32文字で指定してください。
認証局から取得したサイト証明書を登録する時、ここで指定したニックネームをscsenterコマンドに指定する必要があります。忘れないでください。
なお、すでに使用されているニックネームと同じニックネームは指定できません。また、ニックネームに指定する英字は大文字と小文字は区別されません。
ニックネームに指定可能な文字については以下を参照してください。
カテゴリ | 文字 |
|---|---|
英字 | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
数字 | 0123456789 |
記号 | ()-[]_ |
-f filename
作成されたCSR(証明書取得申請書)を格納するファイル名をフルパスで指定します。本オプションを指定した場合、CSRとRSA暗号アルゴリズムの鍵ペアが作成され、Interstage証明書環境に登録されます。本オプションを省略し、-nオプションを指定した場合は、テスト用サイト証明書が作成され、Interstage証明書環境に登録されます。
-c
本製品がサポートするパブリック認証局のルート証明書(CA証明書)を登録します。サポートするパブリック認証局から発行された証明書を利用する場合には、本オプションを指定する必要があります。
なお、一度本オプションを指定して実行した後は、scsdeleteコマンドで認証局証明書を削除しない限り有効です。本コマンドを再実行する時に再指定する必要はありません。本製品がサポートするパブリック認証局のルート証明書(CA証明書)については、“9.4.4 Interstage組み込み証明書一覧” を参照してください。
-k keysize
作成されるRSA暗号アルゴリズムの公開鍵と秘密鍵の鍵ペアの鍵の強度をビット長で指定します。省略時は2048bit長で作成されます。指定する場合は512、768、1024、2048、4096のどれかを指定してください。
なお、今日では、マシンの処理性能の向上などにより、512、768、1024ビットのRSA暗号アルゴリズムの鍵は必ずしも安全とは言えなくなっています。そのため、2048ビット以上を指定することを推奨します。運用上やむを得ず512、768、1024ビットのRSA暗号アルゴリズムの鍵を使用する際には、その危険性を認識の上、ご使用ください。
-v valday
テスト用サイト証明書の有効日数を1~7300の範囲で指定します。省略時は365日です。
有効期間を過ぎると、その証明書は使用できません。そのため、テスト完了予定日までの期間を指定することを推奨します。
-e
本コマンドでInterstage証明書環境だけを作成する場合に指定します。本オプションを指定した場合にはCSR(証明書取得申請書)およびテスト用サイト証明書は作成されません。本コマンドをシステムで初めて実行した時に本オプションを指定した場合、ひきつづき、scsimppfxコマンドでサイト証明書と秘密鍵を移入してください。
すでにInterstage証明書環境が作成されている場合に本オプションを指定すると、Interstage証明書環境の変更を行うことができます。-cオプションとともに指定すると、合同会社シマンテック・ウェブサイトセキュリティ(旧社名:日本ベリサイン株式会社)、サイバートラスト株式会社、およびGMOグローバルサイン株式会社の認証局証明書を追加登録します。-gオプションとともに指定すると、所有グループを変更します。
-p password
Interstage証明書環境にアクセスするためのパスワードを登録、もしくは登録したパスワードを指定します。
登録するパスワードは備考に記載する文字セットから6~128文字で指定してください。本オプションを省略すると、パスワード入力を求めるプロンプトが表示されます。本オプションで指定するパスワードはInterstage証明書環境へアクセスする際の認証情報です。
従って、バッチファイルなどに本オプションを記載する場合、バッチファイルの覗き見などによるパスワードの漏えいを防止するために、その格納場所や権限などファイルの取り扱いに十分注意するようにしてください。
-g group
Interstage証明書環境へのアクセスを許可する、所有グループまたは所有グループのIDを指定します。本コマンドをシステムで初めて実行するとき(Interstage証明書環境を作成するとき)に省略した場合は、本コマンドを実行したユーザの所属するグループが設定されます。
また、Interstage証明書環境がすでに存在する場合に本オプションを指定した場合には、Interstage証明書環境の所有グループを、指定されたグループに変更します。本オプションを省略した場合には、所有グループは変更されません。
以降は、テスト用サイト証明書、およびCSR(証明書取得申請書)発行時に指定できるDN情報オプションです。省略するとDN情報の入力を求めるプロンプトが表示されます。
-cn CommonName
テスト用サイト証明書、およびCSR(証明書取得申請書)の名前(CommonName)を指定します。本オプションを指定すると、DN情報の入力を求めるプロンプトが表示されなくなります。-ou、-or、-lo、-st、および-ccのいずれかを指定した場合、本オプションを省略できません。後述する文字セットから、1~256文字で指定できます。
なお、空白のみを指定することはできません。
-ou OrganizationalUnit
テスト用サイト証明書、およびCSR(証明書取得申請書)の組織単位名(OrganizationalUnit)を指定します。-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。後述する文字セットから、1~1024文字で指定できます。
なお、空白のみを指定することはできません。
-or Organization
テスト用サイト証明書、およびCSR(証明書取得申請書)の組織名(Organization)を指定します。-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。後述する文字セットから、1~1024文字で指定できます。
なお、空白のみを指定することはできません。
-lo Locality
テスト用サイト証明書、およびCSR(証明書取得申請書)の地域名(Locality)を指定します。-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。後述する文字セットから、1~1024文字で指定できます。
なお、空白のみを指定することはできません。
-st State
テスト用サイト証明書、およびCSR(証明書取得申請書)の地方名(State)を指定します。-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。後述する文字セットから、1~1024文字で指定できます。
なお、空白のみを指定することはできません。
-cc CountryCode
テスト用サイト証明書、およびCSR(証明書取得申請書)の国名コード(CountryCode)を指定します。国名コード(ISO3166)は英字2文字で指定してください。-cnを指定し、かつ、本オプションを省略した場合、テスト用サイト証明書、およびCSR(証明書取得申請書)に当該情報が設定されません。
なお、空白のみを指定することはできません。
備考
コマンドを実行すると、名前などの情報の入力が求められます。以下の情報を入力してください。
省略はしないでください。(省略すると“Unknown”が指定されたものとみなされます。なお、国名コードを省略すると“Un”が指定されたものとみなされます。)
項目 | 入力を求めるメッセージ | DN情報オプション | 入力する情報 |
|---|---|---|---|
Common Name (CN) | What is your first and last name? | -cn | 名前。サイト証明書の場合はドメイン名またはIPアドレス。 |
Organization alUnit Name (OU) | What is the name of your organizational unit? | -ou | 組織単位名(例:部署名) |
Organization Name(O) | What is the name of your organization? | -or | 組織名(例:会社名) |
Locality Name (L) | What is the name of your City or Locality? | -lo | 都市名または地域名(例:市区町村名) |
State or Province Name (ST) | What is the name of your State or Province? | -st | 州名または地方名(例:都道府県名) |
Country (C) | What is the two-letter country code for this unit? | -cc | 国名コード(ISO3166)。日本の場合は"jp" |
以下の文字が指定できます。ただし、国名コード(ISO3166)は英字2文字で指定してください。
カテゴリ | 文字 |
|---|---|
英字 | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
数字 | 0123456789 |
記号 | (),-./:?'+=#;<> 注) 上記以外の記号を指定した場合、JDKが正常動作しない場合があります。 |
空白 | ' ' 注) 先頭と末尾に空白を指定した場合、その空白は削除されます。また、空白を複数個連続して指定した場合や空白だけを指定した場合、JDKが正常動作しない場合があります。 |
コマンドを実行すると、パスワードの入力が求められます。本コマンドを初めて実行した時は、Interstage証明書環境へアクセスするためのパスワードとして登録します。後述する文字セットから6~128文字で指定してください。パスワードはInterstage証明書環境へアクセスするために必須ですから、忘れないでください。本コマンドを実行するのが初めてではない場合、登録したパスワードを入力してください。
カテゴリ | 文字 |
|---|---|
英字 | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
数字 | 0123456789 |
記号 | !"#%&'()*+,-./:;<=>?[\]^_{|}~ |
空白 | ' ' |
合同会社シマンテック・ウェブサイトセキュリティ(旧社名:日本ベリサイン株式会社)に証明書の発行を依頼するときには「セキュア・サーバID」、「セキュア・サーバID EV(EV SSL証明書)」のいずれかを選択してください。
サイバートラスト株式会社に証明書の発行を依頼するときには「SureServer for SSL証明書」を選択してください。
GMOグローバルサイン株式会社に証明書の発行を依頼するときには「クイック認証SSL」、「企業認証SSL」のいずれかを選択してください。
注意
CSR(証明書取得申請書)を作成しサイト証明書を入手し登録するまでの間、秘密鍵の保護のためにInterstage証明書環境をバックアップしてください。バックアップする方法については、下記のURLから参照できるマニュアルをご覧ください。
http://software.fujitsu.com/jp/manual/
本コマンドを最初に実行したときに設定したパスワードは、忘れないでください。忘れると、scsmakeenv、scsenter、scsdelete、scslistcrl、scsexppfx、scsimppfx、scslistコマンドは実行できなくなります。
パスワードは流出したり盗まれたりしないように管理してください。
また、名前や単語などの推測しやすい文字列や、すべて同じ文字を使用した文字列を設定しないようにしてください。英数字や記号を混在させた、できるだけ長い文字列を設定することを推奨します。
コマンドで作成したサイト証明書は、テスト用証明書として使用できます。ただし、作成された証明書はテスト環境でのみ信用できるものであり、外部環境(例えばインターネットなど)に対しての信頼性を保証できるものではありません。従って、実際の運用でそのまま使用されてしまうことのないよう、十分に注意してください。
テスト用証明書を作成後は、証明書の発行依頼、証明書・CRLの登録を実行する必要はありません。“9.4.1.3 証明書を利用するための設定”の“(1) 証明書の利用設定”以降を実行してください。
本コマンドを初めて実行したときにエラー終了すると、Interstage証明書環境が正しく作成されない場合があります。その場合には、Interstage証明書環境を削除し、再度scsmakeenvコマンドを実行してInterstage証明書環境を作成しなおしてください。
Interstage証明書環境のパス名と、Interstage証明書環境の再作成前に削除する資源は以下のとおりです。
Interstage証明書環境
/etc/opt/FJSVisscs/security
再作成前に削除する資源
/etc/opt/FJSVisscs/security/env配下
なお、Interstage証明書環境を作成後に環境が破壊された場合は、Interstage証明書環境を復元するようにしてください。なお復元方法については、下記のURLから参照できるマニュアルをご覧ください。
http://software.fujitsu.com/jp/manual/
本コマンドの実行時には環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定してください。
本コマンドは、スーパーユーザで実行してください。
-gオプションで所有グループを変更する場合には、すべてのサービスを停止してから変更してください。また、変更前のグループに所属しているユーザは、変更後のグループに所属するように変更しないと、サービスの起動に失敗する場合があります。
-gオプションで指定するInterstage証明書環境の所有グループに関する詳細については、下記のURLから参照できるマニュアルをご覧ください。
http://software.fujitsu.com/jp/manual/
使用例
注意
CSRを作成する際に指定するニックネームは、認証局から取得したサイト証明書を登録する時に必要になるため、忘れないようにしてください。
> scsmakeenv -n SiteCert -f /usr/home/my_dir/my_csr.txt -c -g iscertg Password: *1 Input X.500 distinguished names. What is your first and last name? [Unknown]:SiteName.domain *2 What is the name of your organizational unit? [Unknown]:Interstage *2 What is the name of your organization? [Unknown]:Fujitsu Ltd. *2 What is the name of your City or Locality? [Unknown]:Yokohama *2 What is the name of your State or Province? [Unknown]:Kanagawa *2 What is the two-letter country code for this unit? [Un]:jp *2 Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct? [no]:yes *3 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt> UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。
*1:
入力したパスワードは表示されません。なお、初回はパスワード登録となり、以下のプロンプト表示となります。入力したパスワードの確認のため、再入力(Retype)してください。
New Password: Retype:
*2:
注意事項を参照し、入力してください。
*3:
表示された情報でCSRを作成する場合、“yes”を入力してください。再度入力しなおしたい場合には、“no”を入力してください。
> scsmakeenv -n testCert Password: *1 Input X.500 distinguished names. What is your first and last name? [Unknown]:SiteName.domain *2 What is the name of your organizational unit? [Unknown]:Interstage *2 What is the name of your organization? [Unknown]:Fujitsu Ltd. *2 What is the name of your City or Locality? [Unknown]:Yokohama *2 What is the name of your State or Province? [Unknown]:Kanagawa *2 What is the two-letter country code for this unit? [Un]:jp *2 Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct? [no]:yes *3 SCS: 情報: scs0102: 自己署名証明書を作成しました。
*1:
入力したパスワードは表示されません。なお、初回はパスワード登録となります。入力したパスワードの確認のため、再入力(Retype)してください。
*2:
注意事項を参照し、入力してください。
*3:
表示された情報で証明書を作成する場合、“yes”を入力してください。再度入力しなおしたい場合には、“no”を入力してください。
> scsmakeenv -e -g iscertg2 Password: *1 UX: SCS: 情報: scs0181: 既にInterstage証明書環境は作成されています。 UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。
*1:
入力したパスワードは表示されません。
