クライアント証明書を登録する手順について以下に示します。
注意
クライアント証明書なしでの運用を行う場合、本操作を行う必要はありません。
認証局(証明書発行局)から証明書を取得し、登録します。
証明書の取得
認証局(証明書発行局)が発行した証明書を使用する場合は、認証局(証明書発行局)に証明書の発行を依頼し、証明書を取得する必要があります。認証局(証明書発行局)から証明書を取得する手順を以下に示します。
証明書取得申請書の作成
認証局(証明書発行局)へ証明書の発行を依頼するための証明書取得申請書を作成します。
keytoolコマンドの-genkeypairオプションを使用して鍵のペア(公開鍵および関連する非公開鍵)を生成します。生成した公開鍵には、自己署名証明書が含まれています。
keytoolコマンドの-certreqオプションを使用して証明書取得申請書を作成します。
例
証明書申請情報をファイル「C:\sslenv\myCertRequest」に出力します。
keytool -genkeypair -alias porbkey -keyalg RSA -keysize 2048 -keystore "%PORB_HOME%"\etc\keystore -validity 365 キーストアのパスワードを入力してください: (注1) 姓名を入力してください。 [Unknown]: hanako fujitsu (注2) 組織単位名を入力してください。 [Unknown]: interstage (注2) 組織名を入力してください。 [Unknown]: fujitsu (注2) 都市名または地域名を入力してください。 [Unknown]: yokohama (注2) 州名または地方名を入力してください。 [Unknown]: kanagawa (注2) この単位に該当する 2 文字の国番号を入力してください。 [Unknown]: jp (注2) CN=hanako fujitsu, OU=interstage, O=fujitsu, L=yokohama, ST=kanagawa, C=jp でよろしいですか? [no]: yes (注3) <porbkey> の鍵パスワードを入力してください。 (キーストアのパスワードと同じ場合は RETURN を押してください): (注4) keytool -certreq -alias porbkey -file C:\sslenv\myCertRequest -keystore "%PORB_HOME%"\etc\keystore キーストアのパスワードを入力してください: (注1) <porbkey> の鍵パスワードを入力してください。 (注4)
注1) キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
注2) 表示に従い、作成者名、組織単位名、組織名、都市名などを入力します。
注3) 注2で入力した情報が正しい場合は、「yes」を入力します。
注4) 鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します(省略時は、キーストアのパスワードと同一)。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
例
証明書申請情報をファイル「/home/ssluser/myCertRequest」に出力します。
keytool -genkeypair -alias porbkey -keyalg RSA -keysize 2048 -keystore $PORB_HOME/etc/keystore -validity 365 キーストアのパスワードを入力してください: (注1) 姓名を入力してください。 [Unknown]: hanako fujitsu (注2) 組織単位名を入力してください。 [Unknown]: interstage (注2) 組織名を入力してください。 [Unknown]: fujitsu (注2) 都市名または地域名を入力してください。 [Unknown]: yokohama (注2) 州名または地方名を入力してください。 [Unknown]: kanagawa (注2) この単位に該当する 2 文字の国番号を入力してください。 [Unknown]: jp (注2) CN=hanako fujitsu, OU=interstage, O=fujitsu, L=yokohama, ST=kanagawa, C=jp でよろしいですか? [no]: yes (注3) <porbkey> の鍵パスワードを入力してください。 (キーストアのパスワードと同じ場合は RETURN を押してください): (注4) keytool -certreq -alias porbkey -file /home/ssluser/myCertRequest -keystore $PORB_HOME/etc/keystore キーストアのパスワードを入力してください: (注1) <porbkey> の鍵パスワードを入力してください。 (注4)
注1) キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
注2) 表示に従い、作成者名、組織単位名、組織名、都市名などを入力します。
注3) 注2で入力した情報が正しい場合は、「yes」を入力します。
注4) 鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します(省略時は、キーストアのパスワードと同一)。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
証明書の発行依頼
証明書取得申請書を認証局(証明書発行局)へ送付し、クライアント証明書の発行を依頼します。依頼方法は、各認証局(証明書発行局)での方法に従ってください。
なお、認証局(証明書発行局)はCORBAサーバと同一のものを使用してください。
証明書の取得
認証局(証明書発行局)により署名された証明書を取得します。取得方法は、各認証局(証明書発行局)での方法に従ってください。
クライアント証明書の登録
認証局(証明書発行局)から送付されたクライアント証明書をキーストアに登録します。
注意
クライアント証明書を発行している認証局が、中間認証局の証明書(中間CA証明書)を用意している場合には、クライアント証明書の登録の前に、認証局の証明書(発行局証明書)の他に、中間認証局の証明書(中間CA証明書)を登録しておく必要があります。
登録には、keytoolコマンドの-importcertオプションを使用します。
認証局として、CORBAサーバと別の認証局を使用している場合は、クライアント証明書の登録の前に、Portable-ORBクライアントで取得した認証局の証明書(発行局証明書)を登録しておく必要があります。
証明書を登録する際は、ルートとなる証明書(発行局証明書)から順に登録してください。
クライアント証明書は、keytoolコマンドの-importcertオプションを使用して、証明書取得申請書を取得する際に使用した別名(alias)を指定して登録します。
例
PKCS#7形式のクライアント証明書「C:\sslenv\porbcert.p7c」を登録(別名はporbkey)します。
keytool -importcert -alias porbkey -file C:\sslenv\porbcert.p7c -keystore "%PORB_HOME%"\etc\keystore キーストアのパスワードを入力してください: (注1) <porbkey>の鍵パスワードを入力してください。 (注2) 証明書応答がキーストアにインストールされました。
注1) キーストアのパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
注2) 鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
例
PKCS#7形式のクライアント証明書「/home/ssluser/porbcert.p7c」を登録(別名はporbkey)します。
keytool -importcert -alias porbkey -file /home/ssluser/porbcert.p7c -keystore $PORB_HOME/etc/keystore キーストアのパスワードを入力してください: (注1) <porbkey>の鍵パスワードを入力してください。 (注2) 証明書応答がキーストアにインストールされました。
注1) キーストアのパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
注2) 鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
注意
Portable-ORBクライアントでSSLを使用する場合、認証局(証明書発行局)としてCORBAサーバと同一のものを使用します。このため、通常、認証局の証明書(発行局証明書)はすでに登録済みになっています。
Portable-ORBクライアントの認証局(証明書発行局)としてCORBAサーバと同一のものが使用されなかった場合は、以下のメッセージ(認証局の証明書(発行局証明書)が未登録である場合に出力されるメッセージ)が出力されることがあります。この場合の対処について説明します。
PKCS#7形式のクライアント証明書を登録する場合
応答したトップレベルの証明書: 所有者: CN=Infoca, O=Fujitsu, C=jp 実行者: CN=Infoca, O=Fujitsu, C=jp シリアル番号: 4c 有効日: Thu Oct 25 18:09:30 JST 2001 有効期限: Wed Oct 25 18:09:30 JST 2006 証明書のフィンガープリント: MD5: 05:9F:5F:43:81:58:94:6A:93:F7:E9:2C:2E:6A:5C:42 SHA1: 38:FD:54:C9:46:8F:49:D5:32:4D:FD:DD:F9:EE:99:C2:30:49:F5:D5 ...は信頼されていません。応答をインストールしますか? [no]:
ユーザの対処
本メッセージに対して、「yes」を入力します。
「証明書応答がキーストアにインストールされました。」と表示され、クライアント証明書がキーストア内に登録されます。
また、CORBAサーバ側の環境設定を見直してください。CORBAサーバ側にPortable-ORBクライアントで取得した認証局の証明書(発行局証明書)が登録されていない場合は、登録してください。
DER(バイナリ)形式またはBase64エンコード形式のクライアント証明書を登録する場合
keytool エラー: java.lang.Exception: 応答から連鎖を確立できませんでした。
ユーザの対処
Portable-ORBクライアントで取得した認証局の証明書(発行局証明書)を登録した後、クライアント証明書を登録してください(認証局が中間認証局の証明書を用意している場合は、認証局の証明書(発行局証明書)の他に、中間認証局の証明書(中間CA証明書)の登録も必要となります)。
また、CORBAサーバ側の環境設定を見直してください。CORBAサーバ側にPortable-ORBクライアントで取得した認証局の証明書(発行局証明書)が登録されていない場合は、登録してください。
