Interstage証明書環境を使用した、Interstage ディレクトリサービスのサーバ側の環境構築について説明します。

Interstage ディレクトリサービスのサーバ側で構築します。

ここでは、CSR(証明書取得申請書)を利用した、Interstage証明書環境の構築方法について説明します。

Interstage証明書環境は、以下の手順で構築します。

1. Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成

2. 証明書の発行依頼

3. 証明書とCRL(証明書失効リスト)の登録

なお、Interstage証明書環境を構築した後は、証明書を利用するための環境設定が必要です。詳細は、“4.1.2.2 証明書を利用するための設定(サーバ)”を参照してください。

以降で使用する各コマンドの詳細は、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。

SSL通信など、署名や暗号処理を行うには、証明書を取得する必要があります。そのために、本製品がサポートしている認証局のいずれかへ証明書の発行を依頼するためのデータである、CSR(証明書取得申請書)を作成します。
このとき、Interstage証明書環境が存在しなければ、同時にInterstage証明書環境も作成されます。存在している場合には、そのInterstage証明書環境が利用されます。

CSRの作成例を以下に示します。

• 本製品が確認済みのパブリック認証局の証明書を使用する場合

  CSRの作成と同時に、本製品がサポートしているパブリック認証局の証明書の登録も行います。

  
    サイト証明書のニックネーム  SiteCert
    申請書の出力先ファイル名  C:\sslenv\my_csr.txt
    名前  repository.fujitsu.com
    組織単位名  Interstage
    組織名  Fujitsu Ltd.
    都市名  Yokohama
    地方名  Kanagawa
    国名コード  jp

  scsmakeenv -n SiteCert -f C:\sslenv\my_csr.txt -c
  New Password: (注1)
  Retype: (注1)
  
  Input X.500 distinguished names.
  What is your first and last name?
  [Unknown]:repository.fujitsu.com (注2)
  What is the name of your organizational unit?
  [Unknown]:Interstage (注2)
  What is the name of your organization?
  [Unknown]:Fujitsu Ltd. (注2)
  What is the name of your City or Locality?
  [Unknown]:Yokohama (注2)
  What is the name of your State or Province?
  [Unknown]:Kanagawa (注2)
  What is the two-letter country code for this unit?
  [Un]:jp (注2)
  Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
  [no]:yes (注3)
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\sslenv\my_csr.txt>

  
    サイト証明書のニックネーム  SiteCert
    申請書の出力先ファイル名  /sslenv/my_csr.txt
    名前  repository.fujitsu.com
    組織単位名  Interstage
    組織名  Fujitsu Ltd.
    都市名  Yokohama
    地方名  Kanagawa
    国名コード  jp

  # scsmakeenv -n SiteCert -c -f /sslenv/my_csr.txt
  New Password: (注1)
  Retype: (注1)
  
  Input X.500 distinguished names.
  What is your first and last name?
  [Unknown]:repository.fujitsu.com (注2)
  What is the name of your organizational unit?
  [Unknown]:Interstage (注2)
  What is the name of your organization?
  [Unknown]:Fujitsu Ltd. (注2)
  What is the name of your City or Locality?
  [Unknown]:Yokohama (注2)
  What is the name of your State or Province?
  [Unknown]:Kanagawa (注2)
  What is the two-letter country code for this unit?
  [Un]:jp (注2)
  Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
  [no]:yes (注3)
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  証明書がキーストアに追加されました。
  UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</sslenv/my_csr.txt>

  注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
  注2) 入力する内容については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
  注3) 表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。

    

• 本製品が確認済みパブリック認証局以外の認証局から発行された証明書を使用する場合

  
    サイト証明書のニックネーム  SiteCert
    申請書の出力先ファイル名  C:\sslenv\my_csr.txt
    名前  repository.fujitsu.com
    組織単位名  Interstage
    組織名  Fujitsu Ltd.
    都市名  Yokohama
    地方名  Kanagawa
    国名コード  jp

  scsmakeenv -n SiteCert -f C:\sslenv\my_csr.txt
  New Password: (注1)
  Retype: (注1)
  
  Input X.500 distinguished names.
  What is your first and last name?
  [Unknown]:repository.fujitsu.com (注2)
  What is the name of your organizational unit?
  [Unknown]:Interstage (注2)
  What is the name of your organization?
  [Unknown]:Fujitsu Ltd. (注2)
  What is the name of your City or Locality?
  [Unknown]:Yokohama (注2)
  What is the name of your State or Province?
  [Unknown]:Kanagawa (注2)
  What is the two-letter country code for this unit?
  [Un]:jp (注2)
  Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
  [no]:yes (注3)
  SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\sslenv\my_csr.txt>

  
    サイト証明書のニックネーム  SiteCert
    申請書の出力先ファイル名  /sslenv/my_csr.txt
    名前  repository.fujitsu.com
    組織単位名  Interstage
    組織名  Fujitsu Ltd.
    都市名  Yokohama
    地方名  Kanagawa
    国名コード  jp

  # scsmakeenv -n SiteCert -f /sslenv/my_csr.txt
  New Password: (注1)
  Retype: (注1)
  
  Input X.500 distinguished names.
  What is your first and last name?
  [Unknown]:repository.fujitsu.com (注2)
  What is the name of your organizational unit?
  [Unknown]:Interstage (注2)
  What is the name of your organization?
  [Unknown]:Fujitsu Ltd. (注2)
  What is the name of your City or Locality?
  [Unknown]:Yokohama (注2)
  What is the name of your State or Province?
  [Unknown]:Kanagawa (注2)
  What is the two-letter country code for this unit?
  [Un]:jp (注2)
  Is <CN=repository.fujitsu.com, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
  [no]:yes (注3)
  UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</sslenv/my_csr.txt>

  注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
  注2) 入力する内容については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
  注3) 表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。

    

認証局に証明書の発行を依頼し、証明書を取得します。

scsmakeenvコマンドが正常に終了すると、申請書がscsmakeenvコマンドの-fオプションで指定した証明書取得申請書(CSR)を格納するファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。

認証局から取得した証明書とCRLをInterstage証明書環境に登録します。
証明書は、認証局自身の証明書から順に登録してください。

取得した認証局の証明書を登録します。

scsenter -n CA -f C:\sslenv\CA.der
Password: (注1)
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。

# scsenter -n CA -f /sslenv/CA.der
Password: (注1)
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

認証局によっては、認証局証明書とサイト証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合、サイト証明書の登録の前に、認証局から配布されている中間CA証明書を登録してください。
なお、登録方法は認証局証明書の場合と同じです。“■認証局の証明書の登録(サーバ)”を参照してください。ただし、中間CA証明書のニックネームは認証局証明書やサイト証明書と異なるものを指定してください。

発行された証明書をサイト証明書として登録します。

scsenter -n SiteCert -f C:\sslenv\SiteCert.der -o
Password: (注1)
証明書応答がキーストアにインストールされました。
SCS: 情報: scs0104: 証明書を登録しました。

# scsenter -n SiteCert -f /sslenv/SiteCert.der -o
Password: (注1)
証明書応答がキーストアにインストールされました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

取得したCRLを登録します。

scsenter -c -f C:\sslenv\CRL.der
Password: (注1)
SCS: 情報: scs0105: CRLを登録しました。

# scsenter -c -f /sslenv/CRL.der
Password: (注1)
UX: SCS: 情報: scs0105: CRLを登録しました。

取得した証明書・CRLを登録後は必ず、Interstage証明書環境をバックアップしてください。バックアップ方法については、“運用ガイド(基本編)”の“資源のバックアップとリストア”を参照してください。

なお、Interstage証明書環境をバックアップしていなかった場合にInterstage証明書環境が破壊されると、Interstage証明書環境の作成(CSRの作成)や、証明書の発行依頼を再度行うことになります。

mkdir X:\Backup\scs
xcopy /E C:\Interstage\etc\security X:\Backup\scs (注1)

# mkdir /backup/scs
# cp -rp /etc/opt/FJSVisscs/security /backup/scs (注1)

Interstage ディレクトリサービスのサーバ側で設定します。

Interstage証明書環境を構築後は、証明書を利用するための設定が必要です。その手順について、以降に説明します。

Interstage証明書環境に登録されている証明書は、Interstage管理コンソールの次の画面で参照できます。

[システム] > [セキュリティ] > [証明書] > [認証局証明書]画面、または
[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面

取得した証明書の内容が正しいか確認してください。

SSLで通信するためには、SSL定義を作成する必要があります。Interstage管理コンソールの次の画面でSSL定義を作成してください。

[システム] > [セキュリティ] > [SSL]の[新規作成]タブ