取得した証明書とCRLを証明書/CRL管理環境に登録します。
登録したあとは、証明書/鍵管理環境をバックアップするようにしてください。バックアップ方法は、「運用ガイド(基本編)」の各サービスにおけるバックアップ方法を参照するか、または、「14.5 証明書/鍵管理環境の移行方法」の「1. 既存の資源(秘密鍵、証明書)を取り出す」を参照してください。
認証局の証明書(発行局証明書)の登録
取得した認証局の証明書を証明書/CRL管理環境へ登録します。
運用で使用する証明書(サイト証明書やクライアント証明書)を発行した認証局の証明書は、すべて登録してください。
証明書は、ルートCA証明書から順に登録してください。
ルートCA証明書を入手したら、登録する前にフィンガープリントを確認します。ルートCA証明書のフィンガープリントの情報は、認証局により安全な方法で提供されています。入手した認証局のルートCA証明書をcmdspcertコマンドで表示し、フィンガープリントが一致していることを確認してください。
なお、フィンガープリントは証明書の一部から算出されたハッシュ値であるため、証明書が偽物であったり改ざんされたりした場合には異なる値になります。算出するために利用するアルゴリズムによっても値が異なるため、同じアルゴリズムを用いて算出されたフィンガープリントを比較してください。
例
認証局から入手したルートCA証明書のフィンガープリントを表示する例を以下に示します。
認証局のルートCA証明書がd:\sslenv\ca-cert.derに格納されている場合の実行例を示します。
cmdspcert.exe -ed d:\sslenv\sslcert -fn d:\sslenv\ca-cert.der | find "FINGERPRINT"
FINGERPRINT(MD5): 40 79 98 2F 37 12 31 7C AE E7 B4 AB 78 C8 A2 28 FINGERPRINT(SHA1): 07 28 BE 26 94 89 6D F9 ... ←(16進数で20バイト分表示されます。) FINGERPRINT(SHA256): F7 16 00 6E A1 6E A2 14 ... ←(16進数で32バイト分表示されます。)
認証局のルートCA証明書が/export/home/ca-cert.derに格納されている場合の実行例を示します。
# cmdspcert -ed /export/home/sslcert -fn /export/home/ca-cert.der | grep FINGERPRINT
FINGERPRINT(MD5): 40 79 98 2F 37 12 31 7C AE E7 B4 AB 78 C8 A2 28 FINGERPRINT(SHA1): 07 28 BE 26 94 89 6D F9 ... ←(16進数で20バイト分表示されます。) FINGERPRINT(SHA256): F7 16 00 6E A1 6E A2 14 ... ←(16進数で32バイト分表示されます。)
FINGERPRINTは、MD5、SHA1、SHA256の3種類のアルゴリズムによる結果が表示されます。SHA256の値と比較してください。
もし認証局からSHA256のフィンガープリント情報が提供されていない場合には、SHA1の値と比較してください。
証明書を登録する例を以下に示します。
認証局の証明書がd:\sslenv\ca-cert.derに格納されている場合の実行例を示します。
cmentcert d:\sslenv\ca-cert.der -ed d:\sslenv\sslcert -ca -nn CACert
認証局の証明書が/export/home/ca-cert.derに格納されている場合の実行例を示します。
# cmentcert /export/home/ca-cert.der -ed /export/home/sslcert -ca -nn CACert
注意
SSL運用で使用する証明書(サイト証明書やクライアント証明書)を発行した認証局のルートCA証明書は、接続相手の製品でも登録されている必要があります。
CORBAサービスでは、SSLを使用するすべてのCORBAサーバ、CORBAクライアントで同一の認証局の証明書を登録する必要があります。
中間CA証明書(中間認証局証明書)の登録
認証局によっては、認証局の証明書とサイト証明書のほかに、中間CA証明書(中間認証局証明書)が用意されている場合がありますので、各認証局に確認し、中間CA証明書(中間認証局証明書)を入手してください。その場合、サイト証明書の登録の前に入手した中間CA証明書(中間認証局証明書)を登録してください。
なお、登録方法は認証局の証明書の場合と同じです。「認証局の証明書(発行局証明書)の登録」を参照してください。
サイト証明書の登録
認証局から発行されたサイト証明書を証明書/CRL管理環境へ登録します。
登録後は、証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。有効期間は、cmdspcertコマンドで確認できます。コマンドの詳細は、「リファレンスマニュアル(コマンド編)」を参照してください。なお、証明書の更新については、「証明書を更新する(証明書の有効期限が切れる)場合」を参照してください。
例
登録例を以下に示します。
サイト証明書がd:\sslenv\my_site_cert.derに格納されている場合の実行例を示します。
cmentcert d:\sslenv\my_site_cert.der -ed d:\sslenv\sslcert -own -nn MySiteCert
サイト証明書が/export/home/my_site_cert.derに格納されている場合の実行例を示します。
# cmentcert /export/home/my_site_cert.der -ed /export/home/sslcert -own -nn MySiteCert
注意
CORBAサービスでは、クライアント認証を行わない場合は、CORBAクライアントにおいてサイト証明書を登録する必要はありません。
CRLの登録
CRLで失効確認をしない場合には、CRLを登録する必要はありません。
CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてください。
例
登録例を以下に示します。
CRLがd:\sslenv\crl.derに格納されている場合の実行例を示します。
cmentcrl d:\sslenv\crl.der -ed d:\sslenv\sslcert
CRLが、/export/home/crl.derに格納されている場合の実行例を示します。
# cmentcrl /export/home/crl.der -ed /export/home/sslcert
