以下の手順で、運用管理サーバ上でSystemwalker WebコンソールのSSL暗号化通信を有効にします。
SSL暗号化通信を有効化するときに使用するコマンド(SSL暗号化通信用コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
注意
証明書/鍵管理環境はバックアップ/リストアの対象となりません。
“証明書/鍵管理環境を退避・復元する”を参照して退避・復元し、退避・復元した時に“証明書/鍵管理環境の通信環境への反映”で定義したhttpd.confファイルの情報をリストアするコンピュータで再定義してください。
1.証明書/鍵管理環境の作成
証明書、秘密鍵管理には以下のディレクトリが必要なため、OS提供のコマンド等でディレクトリを作成します。
スロット情報ディレクトリ
運用管理ディレクトリ
証明書管理ディレクトリ
CRL管理ディレクトリ
作成例)
【Windows版】
mkdir d:\sslenv\slot スロット情報ディレクトリ mkdir d:\sslenv\sslcert 運用管理ディレクトリ mkdir d:\sslenv\sslcert\cert 証明書管理ディレクトリ mkdir d:\sslenv\sslcert\crl CRL管理ディレクトリ
【Solaris版/Linux版】
# mkdir /export/home/slot スロット情報ディレクトリ # mkdir /export/home/sslcert 運用管理ディレクトリ # mkdir /export/home/sslcert/cert 証明書管理ディレクトリ # mkdir /export/home/sslcert/crl CRL管理ディレクトリ
秘密鍵管理環境の作成と設定を行います。
makeslot(スロット生成コマンド)とmaketoken(トークン生成コマンド)を実行し、秘密鍵の管理に必要な秘密鍵管理環境の作成と設定を行います。
コマンド実行例)
【Windows版】
makeslot -d d:\sslenv\slot スロット情報ディレクトリの生成と初期化 maketoken -d d:\sslenv\slot -s 1 -t Token01 トークンの初期設定
【Solaris版/Linux版】
# makeslot -d /export/home/slot スロット情報ディレクトリの生成と初期化 # maketoken -d /export/home/slot -s 1 -t Token01 トークンの初期設定
証明書およびCRLの管理に必要な証明書/CRL管理環境の作成と設定を行います。
cmmkenv(証明書/鍵管理環境初期化コマンド)で証明書/鍵管理環境を初期化し、cmsetenv(証明書/鍵管理環境の日本語コード系設定コマンド)で証明書/鍵管理環境の日本語コード系を設定します。
コマンド実行例)
【Windows版】
cmmkenv d:\sslenv\sslcert -todir d:\sslenv\sslcert\cert,d:\sslenv\sslcert\crl 証明書/CRL管理環境の作成 cmsetenv d:\sslenv\sslcert -sd d:\sslenv\slot -jc 1 証明書/CRL管理環境の設定
【Solaris版/Linux版】
# cmmkenv /export/home/sslcert -todir /export/home/sslcert/cert,/export/home/sslcert/crl 証明書/CRL管理環境の作成 # cmsetenv /export/home/sslcert -sd /export/home/slot -jc 1 証明書/CRL管理環境の設定
なお、認証局の運営方針により、証明書の有効期間よりも早く、認証局証明書や中間CA証明書(中間認証局証明書)が更新または追加される場合があります。その場合には、各認証局のサイトを確認し、指示された手順に従って新しい認証局証明書や中間CA証明書を入手してください。入手した新しい認証局証明書や中間CA証明書は、cmentcertコマンドで「-ca」オプションを指定して登録する必要があります。
2. 秘密鍵の作成と証明書の取得
認証局(証明書発行局)に証明書の発行を依頼し、証明書を取得します。
認証局へ証明書の発行を依頼するための、証明書取得申請書を作成します。
cmmakecsr(証明書申請情報作成、出力コマンド)で、証明書申請情報を作成しファイルに出力します。
このとき、「-kt」、「-kb」オプションを指定すると、同時に秘密鍵が作成されます。
コマンド実行例)
【Windows版】
cmmakecsr -ed d:\sslenv\sslcert -sd d:\sslenv\slot -f TEXT -c jp -cn "www.infoproviderpro.com" -o fujitsu -ou 4-1f -l "Shizuoka-shi" -s "Shizuoka-ken" -kt RSA -kb 1024 -tl Token01 -of d:\sslenv\myCertRequest
【Solaris版/Linux版】
# cmmakecsr -ed /export/home/sslcert -sd /export/home/slot -f TEXT -c jp -cn "www.infoproviderpro.com" -o fujitsu -ou 4-1f -l "Shizuoka-shi" -s "Shizuoka-ken" -kt RSA -kb 1024 -tl Token01 -of /export/home/myCertRequest
コマンド実行後、以下の文字列が表示された場合は、ユーザPINを入力してください。なお、入力される文字はエコーバックされません。本コマンドで入力したユーザPINは、“4. ユーザPINの登録”でも使用します。
ENTER TOKEN PASSWORD=> *
注意
秘密鍵を保護するために、証明書を入手するまでの間、証明書/鍵管理環境のファイルをバックアップしておいてください。バックアップおよびリストア方法は、“証明書/鍵管理環境を退避・復元する”を参照してください。
なお、バックアップしていないときに証明書/鍵管理環境が破壊された場合、秘密鍵がなくなってしまうため、証明書/鍵管理環境の作成と、証明書取得申請書の作成を再度行うことになります。
証明書取得申請書を認証局へ送付し、サイト証明書の発行を依頼します。
依頼方法は認証局に従ってください。
認証局により署名された証明書を取得します。
取得方法は認証局に従ってください。以下の認証局が発行した証明書をサポートしています。
Systemwalker PKI Manager
Windows 版 V10.0L10以降
Solaris版 10.0以降
当社のインターネット/イントラネットで証明書管理を実現するソフトウェアです。
日本ベリサイン株式会社
セキュア・サーバID、セキュア・サーバID EV(EV SSL証明書)をサポートしています。
サイバートラスト株式会社
SureServer for SSL証明書をサポートしています。
3. 証明書とCRLの登録
取得した証明書とCRLを証明書/CRL管理環境に登録します。
登録後、証明書/鍵管理環境をバックアップしてください。バックアップおよびリストア方法は、“証明書/鍵管理環境を退避・復元する”を参照してください。
取得した認証局の証明書を証明書/CRL管理環境へ登録します。
cmentcert(証明書登録コマンド)で、運用で利用する証明書を発行した認証局の証明書をすべて登録してください。
証明書は、ルート証明書から順に登録してください。
登録例)
【Windows版】
認証局の証明書がd:\sslenv\ca-cert.derに格納されている場合
cmentcert d:\sslenv\ca-cert.der -ed d:\sslenv\sslcert -ca -nn CACert
【Solaris版/Linux版】
認証局の証明書が/export/home/ca-cert.derに格納されている場合
# cmentcert /export/home/ca-cert.der -ed /export/home/sslcert -ca -nn CACert
中間CA証明書(中間認証局証明書)を登録します。
認証局によっては、認証局証明書とサイト証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合、サイト証明書の登録の前に、認証局から配布されている中間CA証明書を登録してください。
登録方法は、手順1の認証局の証明書の登録手順と同じです。
認証局から発行されたサイト証明書を証明書/CRL管理環境へ登録します。
登録後は、証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。有効期間は、cmdspcert(証明書の編集、出力コマンド)で確認することができます。
なお、証明書の更新については、“証明書を更新する”を参照してください。
登録例)
【Windows版】
サイト証明書がd:\sslenv\my_site_cert.derに格納されている場合
cmentcert d:\sslenv\my_site_cert.der -ed d:\sslenv\sslcert -own -nn MySiteCert
【Solaris版/Linux版】
サイト証明書が/export/home/my_site_cert.derに格納されている場合
# cmentcert /export/home/my_site_cert.der -ed /export/home/sslcert -own -nn MySiteCert
CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録します。
CRLで失効確認をしない場合には、CRLを登録する必要はありません。
登録例)
【Windows版】
CRLがd:\sslenv\crl.derに格納されている場合
cmentcrl d:\sslenv\crl.der -ed d:\sslenv\sslcert
【Solaris版/Linux版】
CRLが、/export/home/crl.derに格納されている場合
# cmentcrl /export/home/crl.der -ed /export/home/sslcert
4. ユーザPINの登録
ユーザPINを、ユーザPIN管理ファイルに登録します。
ihsregistupin(ユーザPIN管理ファイル作成コマンド)に、ユーザPINとユーザPIN管理ファイルを指定することで、ユーザPINが暗号化されてユーザPIN管理ファイルに登録されます。
ここでは、“2. 秘密鍵の作成と証明書の取得”で使用したユーザPINを指定します。
登録例)
【Windows版】
ユーザPIN(対話入力)を暗号化して、ユーザPIN管理ファイル「d:\ssl\upinfile」に登録する場合
ihsregistupin -f d:\ssl\upinfile -d d:\sslenv\slot
【Solaris版/Linux版】
ユーザPIN(対話入力)を暗号化して、ユーザPIN管理ファイル「/export/home/ssl/upinfile」に登録する場合
ihsregistupin -f /export/home/ssl/upinfile -d /export/home/slot
5. 証明書/鍵管理環境の通信環境への反映
作成した証明書/鍵管理環境を通信環境に反映します。
以下のファイルをテキストエディタで開きます。
【Windows版】
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpahs\conf\httpd.conf |
【Solaris版/Linux版】
/opt/FJSVftlc/mpahs/conf/httpd.conf |
以下の定義を追加します。
ディレクティブ | 定義内容 |
|---|---|
SSLExec | SSLを使用するかを指定します。
|
SSLSlotDir | 秘密鍵管理環境のスロット情報ディレクトリを絶対パスで指定します。 |
SSLTokenLabel | サーバの秘密鍵を登録したトークンのトークンラベルを32文字以内で指定します。 |
SSLUserPINFile | ユーザPIN管理ファイルを絶対パスで指定します。 |
SSLEnvDir | 運用管理ディレクトリを絶対パスで指定します。 |
SSLCertName | 証明書/CRL管理環境に登録したサイト証明書のニックネームを128文字以内で指定します。 |
例)
SSLExec on SSLSlotDir "d:/sslenv/slot" SSLTokenLabel Token01 SSLUserPINFile "d:/ssl/upinfile" SSLEnvDir "d:/sslenv/sslcert" SSLCertName MySiteCert
追加した後に変更を反映するためSystemwalker Centric Managerを再起動します。
6. 認証局の証明書(発行局証明書)のWebブラウザへの登録
Systemwalker PKI Managerを使用した認証局(証明書発行局)に発行されたサイト証明書を使用してWebブラウザとSSLを使用した通信を行うためには、サイト証明書を承認した認証局の証明書をWebブラウザに登録する必要があります。
手順の詳細については、Systemwalker PKI Managerのマニュアルを参照してください。
