cmmakecsr  －  証明書/CRL取得申請

cmmakecsr  [-ed Environment-directory] -sd Slot-directory -tl TokenLabel -of OutFile
           [-f {TEXT|NOHEAD|V2} ] {-df DNInputFile | [-c Country] [-cn CommonName] [-o Organization]
           [-ou OrganizationUnit] [-ea EMailAddress] [-t Title] [-tel Phone] 
           [-l Locality] [-s State] [-fp]} [-sa {SHA1|MD5|SHA256|SHA384|SHA512} ]
           { -kl KeyLabel | [-kt RSA] [-kb {512|768|1024|2048|3072|4096} ] } [-p UserPIN]

cmmakecsrコマンドは、指定された識別名情報を持つ証明書取得申請情報(CSR)を作成し、ファイルに出力します。
UTF-8の文字を含む識別名情報を指定する場合には-dfを指定します。
鍵ペアを新規作成して申請書を作成する場合、-ktまたは-kbのどちらかを必ず指定します。-kbオプションには2048bit以上を指定することを推奨します。
すでに存在する鍵ペアを使用して申請書を作成する場合は-klだけを指定します。
指定可能なオプションを以下に示します。

-ed Environment-directory

運用管理ディレクトリ(Environment-directory)をフルパスで指定します。
省略された場合、環境変数“CMIPATH”に設定されている情報が有効となります。

-sd Slot-directory

スロット情報ディレクトリ(Slot-directory)をフルパスで指定します。

-tl TokenLabel

使用する鍵の存在している、または、新規作成した鍵を登録します。トークンラベル(TokenLabel)を指定します。

-of OutFile

申請書の出力先ファイル名(OutFile)をフルパスで指定します。

-f {TEXT|NOHEAD|V2}

出力フォーマットを指定します。
  TEXT : CSR形式で出力します。(省略時)
  NOHEAD: ヘッダを付けずに出力します。
  V2 : S/MIME形式で、application/pkcs10ヘッダを付けて出力します。(非推奨)

-df DNInputFile

識別名情報をファイルから入力する場合に指定します。
指定方法については、「識別名情報の入力ファイル」を参照してください。

-c Country

国名(Country)を指定します。

-cn CommonName

氏名(CommonName)を指定します。

-o Organization

組織名(Organization)を指定します。

-ou OrganizationUnit

組織単位名(OrganizationUnit)を指定します。

-ea EMailAddress

メールアドレス(EMailAddress)を指定します。

-t Title

肩書き(Title)を指定します。

-tel Phone

電話番号(Phone)を指定します。

-l Locality

市区町村名(Locality)を指定します。

-s State

都道府県名(State)を指定します。

-fp

-cn,-o,-ou,-t,-l,-sオプションで指定した文字列にPrintableString(後述)以外の記号が含まれていても、文字種がPrintableStringの識別名情報を含む証明書申請情報が生成されます。Interstage Application Server V11.1.1/Interstage Web Server Express V11.1.1以前の本コマンドが生成する証明書申請情報と互換性がありますが、本オプションの指定は非推奨です。
証明書を発行する認証局において、文字種がUTF-8の識別名情報を含む証明書申請情報を受付けられない場合に指定します。
指定時には、-cn,-o,-ou,-t,-l,-sオプションにUTF-8の文字を含むことができません。

-sa {SHA1|MD5|SHA256|SHA384|SHA512}

署名アルゴリズムを指定します。
  SHA1: SHA1を使用します。(省略時)
  MD5 : MD5を使用します。
  SHA256: SHA256を使用します。

  SHA384: SHA384を使用します。

  SHA512: SHA512を使用します。

MD5は安全でないため利用しないでください。また、SHA1よりSHA256、SHA384、SHA512のほうが安全ですが、認証局が受付け可能か確認してから選択してください。

-kl KeyLabel

使用する鍵についているラベル(KeyLabel)を指定します。

-kt RSA

鍵を新規作成する場合、鍵のタイプを指定します。
  RSA: RSA暗号アルゴリズムの鍵ペアを作成します。(省略時)

-kb {512|768|1024|2048|3072|4096}

鍵を新規作成する場合、鍵の長さを指定します。
  512: 鍵長を512bitとします。
  768: 鍵長を768bitとします。
  1024: 鍵長を1024bitとします。
  2048: 鍵長を2048bitとします。(省略時)
  3072: 鍵長を3072bitとします。
  4096: 鍵長を4096bitとします。

今日では、マシンの処理性能の向上などにより、512、768bitのRSA暗号アルゴリズムの鍵は安全でないため利用しないでください。また、1024bitの鍵の利用も推奨されていません。鍵長はサーバの安全度にも関係しますので、2048bit以上を指定することを推奨します。運用上やむを得ず512、768、1024bitのRSA暗号アルゴリズムの鍵を使用する際には、その危険性を認識の上、ご使用ください。

-p UserPIN

トークンをアクセスするためのUser-PINを指定します。空白文字は指定できません。なお、User-PINの入力を求めるプロンプトは表示されません。
本オプションは、コマンドのUsageには表示されません。

-dfパラメタで指定する識別名情報の入力ファイルでは、以下の形式で指定します。指定可能な識別名情報は、cn,c,ea,o,ou,title,telephoneNumber,st,lです。

• 識別名情報cに設定する文字列はISO3166の国コード2文字で指定します。

• 識別名情報cn、o、ou、title、l、stに設定する文字列はUTF-8の文字を含めることができます。なお、PrintableString以外の文字を含む場合は、指定した文字コードがそのまま、文字種がUTF-8の識別名情報として扱われます。

• 識別名情報ea、telephoneNumberに設定する文字列は、それぞれ-eaオプション、-telオプションと同じ文字が指定できます。

• 記入上の注意事項

  • 先頭文字が'#'の行や空行は、コメント行となり、証明書申請情報に含まれません。

  • 同じ識別名情報を複数指定することができません。

  • '='の後に、改行または空白(半角)だけの場合は、その行は証明書申請情報に含まれません。

  • 識別名情報の前後に設定された空白（半角)は無視され、証明書申請情報に含まれません。

    例）「cn= fujitsu.com 」では、識別名情報は、「cn=fujitsu.com」となります。

• -cnには、Webサーバホスト名を指定してください。

• -kt, -kbオプションのどれかが指定された場合は、新規に鍵ペアが作成されます。

• -klオプションが指定された場合は、指定されたラベルの鍵が使用されます。

• -dfオプションを指定しない場合は、-c,-cn,-o,-ou,-ea,-t,-tel,-l,-sオプションは、このうちのどれか1つを必ず指定してください。

• 証明書申請情報を作成する場合に必須な識別名情報については、証明書を発行してもらう認証局に確認してください。

• PrintableStringは以下の文字セットです。

  カテゴリ	文字
  英字	ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz
  数字	0123456789
  記号	'()+,-./:=?
  空白	' '

• -cn,-o,-ou,-t,-l,-sオプションに、PrintableString以外の文字を指定した場合は、指定した文字コードがそのまま、UTF-8の文字種の識別名情報として扱われます。

• -fpオプションを指定した場合、cn、o、ou、t、l、オプションでは、以下の文字セットから指定します。

  カテゴリ	文字
  英字	ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz
  数字	0123456789
  記号	!"#%&'()*+,-./:;<=>?[\]^_{|}~
  空白	' '

• -eaオプションでは、以下の文字セットから指定します。

  カテゴリ	文字
  英字	ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz
  数字	0123456789
  記号	!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~

• -telオプションでは、以下の文字セットから指定します。

  カテゴリ	文字
  数字	0123456789
  記号	+-()
  空白	' '

• -kbオプションにおいて、コマンドのUsageには指定可能なすべての鍵の長さが表示されますが、mkslt/mktknコマンドで作成された鍵管理環境を使用する場合は、3072、4096は指定できません。makeslot/maketokenコマンドで作成された鍵管理環境を使用してください。

• -saオプションにおいて、コマンドのUsageには指定可能なすべての署名アルゴリズムが表示されますが、mkslt/mktknコマンドで作成された鍵管理環境を使用する場合は、SHA256、SHA384、SHA512が使用できません。makeslot/maketokenコマンドで作成された鍵管理環境を使用してください。

• -kbオプションに512(非推奨値)を指定した場合、-saオプションにSHA384、SHA512を指定できません。

• 合同会社シマンテック・ウェブサイトセキュリティ(旧社名：日本ベリサイン株式会社)に証明書の発行を依頼するときには「セキュア・サーバID」、「セキュア・サーバID EV (EV SSL証明書)」のどちらかを選択してください。

• サイバートラスト株式会社に証明書の発行を依頼するときには「SureServer for SSL証明書」を選択してください。

• GMOグローバルサイン株式会社に証明書の発行を依頼するときには「クイック認証SSL」、「企業認証SSL」のどちらかを選択してください。