証明書、秘密鍵の作成

SSL使用時の動作環境である証明書 /鍵管理環境を作成します。
1. 管理ディレクトリの作成証明書、秘密鍵管理用のディレクトリを４つ作成します。
  以下、作成例を示します。
  スロット情報ディレクトリを作成します。
  mkdir d:\sslenv\slot
  運用管理ディレクトリを作成します。
  mkdir d:\sslenv\sslcert
  証明書管理ディレクトリを作成します。
  mkdir d:\sslenv\sslcert\cert
  CRL管理ディレクトリを作成します。
  mkdir d:\sslenv\sslcert\crl
2. 秘密鍵の管理に必要な秘密鍵管理環境の作成と設定を行います。
  以下、作成例を示します。
  スロット情報ディレクトリの作成と、初期化を行います。
  makeslot -d d:\sslenv\slot
  トークンの初期設定を行います。
  maketoken -d d:\sslenv\slot -s 1 -t Token01
3. 証明書および CRLの管理に必要な証明書 /CRL管理環境の作成と設定を行います。
  本製品がサポートするパブリック認証局の証明書を使用する場合は、ルート証明書(CA 証明書)の登録を行います。
  
  以下、作成例を示します。
  証明書/CRL管理環境を作成します。
  cmmkenv d:\sslenv\sslcert -todir d:\sslenv\sslcert\cert,d:\sslenv\sslcert\crl
  証明書/CRL管理環境の設定をします。
  cmsetenv d:\sslenv\sslcert -sd d:\sslenv\slot -jc 1
  注意
  証明書/CRL管理環境の作成完了後、証明書/CRL管理環境のすべてのディレクトリ名の変更はできません。
秘密鍵の作成と証明書を取得します。
認証局(証明書発行局)に証明書の発行を依頼し、証明書を取得します
1. 認証局へ証明書の発行を依頼するための証明書取得申請書と秘密鍵を同時に作成します。
  
  注意
  
  証明書を入手するまでの間、秘密鍵を保護するために、証明書/鍵管理環境のファイルをバックアップしておいてください。
  
  バックアップを行っておらず、証明書/鍵管理環境が破壊された場合は、秘密鍵がなくなってしまうため、証明書/鍵管理環境の作成と、証明書取得申請書の作成を再度行うことになります。
  以下、作成例を示します。
  cmmakecsr -ed d:\sslenv\sslcert -sd d:\sslenv\slot -f TEXT -c JP -cn "www.InterstageApplicationServer.com" -o fujitsu -ou unit1 -l "Shizuoka-shi" -s "Shizuoka-ken" -kt RSA -kb 2048 -tl Token01 -of d:\sslenv\myCertRequest ENTER TOKEN PASSWORD=> *
  注意
  [ENTER TOKEN PASSWORD]には、ユーザーPINを入力してください。入力する文字は表示されません。
2. 証明書の発行依頼をします。
  証明書取得申請書を認証局へ送付し、サイト証明書の発行を依頼します。依頼方法は認証局に従ってください。
3. 証明書の取得をします。
  認証局により署名された証明書を取得します。取得方法は認証局に従ってください。
参考
インターネットへの接続が不要なプライベートなネットワークの場合は、プライベートCAを使用することで、認証局への証明書の発行依頼が不要になります。プライベートCAの構築方法は、各機能のマニュアルを参照してください。
取得した証明書とCRLを、証明書/CRL管理環境に登録します。
登録後、証明書/鍵管理環境のバックアップを実行してください。バックアップ方法は、 C.3 証明書、秘密鍵のバックアップを参照してください。
1. 認証局の証明書(発行局証明書)を登録します。
  取得した認証局の証明書を証明書/CRL管理環境へ登録します。運用で使用する証明書(サイト証明書やクライアント証明書)を発行した認証局の証明書は、すべて登録してください。
  
  本製品がサポートするパブリック認証局の証明書は、cmsetenvコマンドで登録してください。
  
  証明書は、ルート証明書から順に登録してください。
  以下、登録例を示します。
  認証局の証明書がd:\sslenv\root.crtの場合
  cmentcert d:\sslenv\root.crt -ed d:\sslenv\sslcert -ca -nn RootCert
2. 中間CA証明書(中間認証局証明書)を登録します。
  認証局によっては、認証局証明書とサイト証明書のほかに、中間CA証明書(中間認証局証明書)が用意されている場合がありますので、各認証局に確認し、中間CA証明書(中間認証局証明書)を入手してください。その場合、サイト証明書の登録の前に入手した中間CA証明書(中間認証局証明書)を登録してください。
  中間CA証明書(中間認証局証明書)がd:\sslenv\intermediate.crt
  cmentcert d:\sslenv\intermediate.crt -ed d:\sslenv\sslcert -ca -nn INTCert
3. 認証局から発行されたサイト証明書を証明書/CRL管理環境へ登録します。
  サイト証明書がd:\sslenv\site.crtの場合
  cmentcert d:\sslenv\site.crt -ed d:\sslenv\sslcert -own -nn SiteCert
  登録後は、証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。有効期間は、cmdspcertコマンドで確認できます。
  参考
  cmdspcert
  
  形式
  
  cmdspcert [-ed Environment-directory ] {-id CertID | -nn NickName | -fn FileName } [-sl Select] [-oc OutCODE][-of OutFile]
  
  説明
  
  証明書の内容を項目ごとに編集、標準出力、またはファイルに出力します。
  
  オプション
  
  -ed Environment-directory
  
  運用管理ディレクトリ(Environment-directory)をフルパスで指定します。省略された場合、環境変数“CMIPATH”に設定されている情報が有効となります。
  
  -id CertID
  
  登録済みの証明書を表示する場合だけ、cmlistcertコマンドで表示された証明書識別名(CertID)を指定します。
  
  -nn NickName
  
  登録済みの証明書を表示する場合だけ、登録時に指定したニックネーム(NickName)を指定します。
  
  -fn FileName
  
  未登録の証明書を表示する場合だけ、証明書ファイル名(FileName)を指定します。
  
  DER形式、およびBASE64形式のファイルを指定することができます。
  
  -sl Select
  
  表示形式(Select)を指定します。
  
  0 : 項目ごとの表示(デフォルト)
  
  1 : 鍵の表示
  
  -oc OutCODE
  
  表示結果を出力する際の日本語コード系(OutCODE)を指定します。
  
  0 : JIS
  
  1 : SJIS(デフォルト)
  
  2 : EUC
  
  -of OutFile
  
  表示結果を出力するファイル名(OutFile)をフルパスで指定します。
  
  省略すると標準出力に出力します。指定するファイルは未使用のものを指定します。
  
  備考
  
  -id、-nn、-fnのどれかを指定する必要があります。
  
  証明書の有効期間は「VALIDITY」行で確認できます。
  「開始日時(YYYYMMDDHHMMSS)-終了日時(YYYYMMDDHHMMSS)」の形式で世界標準時で表示されます。
  
  証明書ファイルにBASE64形式の証明書を指定した場合、かつ以下のヘッダ、フッタがついている場合は、その行は読み飛ばされます。なお、以下の形式以外では、エラー終了します。また、指定された証明書ファイル内に複数の証明書が含まれている場合は、先頭のデータだけ対象となります。
  ヘッダ：-----BEGINで始まる行
  
  フッタ：-----ENDで始まる行
  
  識別名情報が設定されていない項目は表示しません。
  なお、証明書の更新については、「証明書を更新する(証明書の有効期限が切れる)場合」を参照してください。
  以下、登録例を示します。
  サイト証明書がd:\sslenv\my_site_cert.derに格納されている場合
  cmentcert d:\sslenv\my_site_cert.der -ed d:\sslenv\sslcert -own -nn MySiteCert
4. 必要に応じCRLを登録してください。
  CRLで失効確認をしない場合には、CRLの登録は不要です。
  
  CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録してください。

C.2 証明書、秘密鍵の作成