18.1 cmcrtsslenv

名前

cmcrtsslenv － Interstage管理コンソールのSSL通信環境の構築

形式

cmcrtsslenv -ed Environment-directory [-cn CommonName] [-k {1024|2048|3072|4096} ] [-sa {SHA1|SHA256|SHA384|SHA512} ] [-UserPIN UserPIN] [-of CertOutputFileName]

機能説明

Interstage管理コンソールをインストール後、SSL通信を行う運用に変更する場合、cmcrtsslenvコマンドを実行します。
本コマンドは、Interstage管理コンソールのSSL通信に必要な証明書/鍵管理環境を構築します。また、Interstage管理コンソールのSSL通信用のサイト証明書を作成します。

-ed Environment-directory

Interstage管理コンソールのSSL通信環境を構築するディレクトリ(Environment-directory)をフルパスで指定します。以下のパス名を指定してください。

[Interstageインストールフォルダ]\gui\etc\cert

/etc/opt/FJSVisgui/cert

-cn CommonName: 証明書の”発行者名”に設定する文字列を英数字で指定します。証明書を利用するサーバのFQDNやドメイン名などを指定します。
省略時には、“CN=Interstage Application Server”が設定されます。

-k {1024|2048|3072|4096}

サイト証明書の鍵の長さを指定します。
  1024: 鍵長を1024bitとします。（省略時）
  2048: 鍵長を2048bitとします。（推奨）
  3072: 鍵長を3072bitとします。
  4096: 鍵長を4096bitとします。

今日では、マシンの処理性能の向上などにより、1024bitのRSA暗号アルゴリズムの鍵の利用は推奨されていません。鍵長はサーバの安全度にも関係しますので、2048bit以上を指定することを推奨します。運用上やむを得ず1024bitのRSA暗号アルゴリズムの鍵を使用する際には、その危険性を認識の上、ご使用ください。

-sa {SHA1|SHA256|SHA384|SHA512}

サイト証明書の署名アルゴリズムを指定します。
  SHA1: SHA1を使用します。(省略時)
  SHA256: SHA256を使用します。
  SHA384: SHA384を使用します。
  SHA512: SHA512を使用します。

今日では、マシンの処理性能の向上などにより、SHA-1ハッシュアルゴリズムの利用は推奨されていません。また、ブラウザベンダや業界団体(CA/Browser Forum)は、SHA-1証明書によるSSL通信を制限または拒否すること、SHA-1証明書を発行してはならないなどの指針を表明しています。SHA256以上(SHA-2証明書)を指定してください。

-UserPIN UserPIN

本製品では指定しないでください。

トークンに設定するUserPINを指定します。
省略時には、トークンに設定するUserPINが自動生成され、暗号化されて-edで指定したパス配下にファイル(sslssl)が出力されます。

-of CertOutputFileName: 作成された証明書をファイルに出力する場合は、出力先ファイル名(CertOutputFileName)をフルパスで指定します。
省略時には、ファイルへ出力されません。

備考

本コマンドは、以下のディレクトリにインストールされています。
%CommonProgramFiles%\Fujitsu Shared\F3FSSMEE

/opt/FJSVsme64/bin
/opt/FJSVsmee/bin
/opt/FJSVsmee64/bin

本コマンドで作成するサイト証明書は、以下の情報が設定されます。

証明書の情報	設定される情報
ニックネーム	SSLCERT
発行者名、所有者名	CN=Interstage Application Server または、CN=-cnで指定した文字列
有効期限	2049年12月31日23時59分59秒まで

証明書の情報

設定される情報

ニックネーム

SSLCERT

発行者名、所有者名

CN=Interstage Application Server

または、CN=-cnで指定した文字列

有効期限

2049年12月31日23時59分59秒まで

また、RSA暗号アルゴリズムの鍵は-kで指定した鍵長で生成され、署名は-saで指定したアルゴリズムが使用されます。
なお、-kと-saを省略した場合は、RSA暗号アルゴリズムの鍵は1024ビットで生成され、署名にはSHA-1が使用されます。

本コマンドで作成する鍵管理環境には、以下の情報が設定されます。
鍵管理環境の情報
設定される情報
トークンラベル
SSLTOKEN
-cnでは、以下の文字セットから最大255文字で指定可能です。
カテゴリ
文字
英字
ABCDEFGHIJKLMNOPQRSTUVWXYZ
abcdefghijklmnopqrstuvwxyz
数字
0123456789
記号
'+,-./:=?()
空白
' '
UserPINでは、以下の文字セットから6～128文字で指定可能です。
カテゴリ
文字
英字
ABCDEFGHIJKLMNOPQRSTUVWXYZ
abcdefghijklmnopqrstuvwxyz
数字
0123456789
記号
!"#%&'()*+,-./:;<=>?[\]^_{|}~
空白
' '

鍵管理環境の情報	設定される情報
トークンラベル	SSLTOKEN

カテゴリ	文字
英字	ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz
数字	0123456789
記号	'+,-./:=?()
空白	' '

カテゴリ	文字
英字	ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz
数字	0123456789
記号	!"#%&'()*+,-./:;<=>?[\]^_{\|}~
空白	' '

注意事項

Interstage管理コンソールのインストール時、SSL通信を行う運用を選択していた場合には、本コマンドを実行する必要はありません。
本コマンドを実行するためには、セキュア通信サービスパッケージが必要です。
本コマンドを実行後は、Interstage管理コンソールの設定の変更が必要です。詳細については“運用ガイド(基本編)”を参照してください。
本コマンドは、Administratorsグループに所属するユーザで実行してください。
本コマンドは、スーパユーザで実行してください。
UserPINは流出したり盗まれたりしないように管理してください。
また、名前や単語などの推測しやすい文字列や、すべて同じ文字を使用した文字列を設定しないようにしてください。英数字や記号を混在させた、できるだけ長い文字列を設定することを推奨します。
トークンラベルとUser-PINは、各サービスの環境構築時や運用開始時に指定する場合があります。忘れないようにしてください。