Systemwalker Operation Manager V16.0.1以前からの証明書の移行方法について説明します。

移行のために、移行元環境からPKCS#12データファイルの移出(取り出し)を行います。

資源の取り出しは、移行元環境のcmmkpfxコマンドで行います。

• cmmkpfxコマンドは、EE証明書(経路中の証明書も含む)および秘密鍵を取り出し、PKCS#12(PFX)データファイルを作成します。

• PKCS#12(PFX)データファイル出力時には、サイト証明書のニックネームを指定してください。

【Windows版】

運用管理ディレクトリがd:\sslenv\sslcert、移出対象の証明書および鍵が存在するスロットIDが1、サイト証明書のニックネームがMySiteCert、PKCS#12(PFX)データを格納するファイルがd:\sslenv\my_site_pfx.pfxの場合の例

【UNIX版】

運用管理ディレクトリが/export/home/sslcert、移出対象の証明書および鍵が存在するスロットIDが1、サイト証明書のニックネームがMySiteCert、PKCS#12(PFX)データを格納するファイルが/export/home/my_site_pfx.pfxの場合の例

コマンドの詳細については、移出元環境の“Systemwalker Operation Manager リファレンス集”の“cmmkpfxコマンド”を参照してください。

移出したPKCS#12(PFX)データファイルから、各ファイルを取り出します。各ファイルの取り出しにはopenssl pkcs12コマンドを利用し、以下の手順で取り出してください。

1. PKCS#12(PFX)データファイルから、“秘密鍵”を取り出します。

   【Windows版】

   Systemwalker Operation Managerインストールディレクトリ\MPWALKER.JM\mpahs\bin\openssl.exe pkcs12 -in <PKCS#12(PFX)データファイル名> -nocerts -out d:\mpahso\sslcert\<秘密鍵ファイル名>

   【UNIX版】

   /opt/FJSVftlo/mpahs/oss/openssl/bin/openssl pkcs12 -in <PKCS#12(PFX)データファイル名> -nocerts -out /export/home/mpahso/sslcert/<秘密鍵ファイル名>

2. PKCS#12(PFX)データファイルから、“サイト証明書”を取り出します。

   【Windows版】

   Systemwalker Operation Managerインストールディレクトリ\MPWALKER.JM\mpahs\bin\openssl.exe pkcs12 -in <PKCS#12(PFX)データファイル名> -clcerts -nokeys -out d:\mpahso\sslcert\cert\<サイト証明書ファイル名>

   【UNIX版】

   /opt/FJSVftlo/mpahs/oss/openssl/bin/openssl pkcs12 -in <PKCS#12(PFX)データファイル名> -clcerts -nokeys -out /export/home/mpahso/sslcert/cert/<サイト証明書ファイル名>

3. PKCS#12(PFX)データファイルから、“認証局の証明書”を取り出します。

   【Windows版】

   Systemwalker Operation Managerインストールディレクトリ\MPWALKER.JM\mpahs\bin\openssl.exe pkcs12 -in <PKCS#12(PFX)データファイル名> -cacerts -nokeys -out d:\mpahso\sslcert\cert\<認証局の証明書ファイル名>

   【UNIX版】

   /opt/FJSVftlo/mpahs/oss/openssl/bin/openssl pkcs12 -in <PKCS#12(PFX)データファイル名> -cacerts -nokeys -out /export/home/mpahso/sslcert/cert/<認証局の証明書ファイル名>

   認証局の証明書にはルートCA証明書が含まれますが、PKCS#12データによっては、ルートCA証明書だけではなく中間CA証明書が1つまたは複数含まれる場合があります。その場合は、先頭からルートCA証明書、中間CA証明書の順に並んでいます。

   以下に、ルートCA証明書と中間CA証明書を含む場合と、ルートCA証明書のみの場合の認証局の証明書の例を示します。

   • 認証局の証明書ファイル(ルートCA証明書と中間CA証明書2つを含む場合）

     Bag Attributes
         friendlyName: 
     subject=・・・
     issuer=・・・
     -----BEGIN CERTIFICATE-----
     … (ルートCA証明書データ) …
     -----END CERTIFICATE-----
     Bag Attributes
         friendlyName: 
     subject=・・・
     issuer=・・・
     -----BEGIN CERTIFICATE-----
     … (中間CA証明書1データ) …
     -----END CERTIFICATE-----
     Bag Attributes
         friendlyName: 
     subject=・・・
     issuer=・・・
     -----BEGIN CERTIFICATE-----
     … (中間CA証明書2データ) …
     -----END CERTIFICATE-----

   • 認証局の証明書ファイル(ルートCA証明書のみの場合)

     Bag Attributes
         friendlyName: 
     subject=・・・
     issuer=・・・
     -----BEGIN CERTIFICATE-----
     … (ルートCA証明書データ) …
     -----END CERTIFICATE-----

4. 手順3.で取り出した認証局の証明書を、ルートCA証明書と中間CA証明書のファイルに分割します。

   取り出した認証局の証明書に含まれる証明書が1つ(ルートCA証明書)のみの場合は、この手順は不要です。手順6.に進んでください。

   以下に、認証局の証明書に中間CA証明書が2つ含まれる場合を例に説明します。

   
   

   取り出した認証局の証明書を、テキストエディタなどを使用してルートCA証明書、中間CA証明書1、中間CA証明書2の各ファイルに分割します。

   • ルートCA証明書のファイル

     Bag Attributes
         friendlyName: 
     subject=・・・
     issuer=・・・
     -----BEGIN CERTIFICATE-----
     … (ルートCA証明書データ) …
     -----END CERTIFICATE-----

   • 中間CA証明書1のファイル

     Bag Attributes
         friendlyName: 
     subject=・・・
     issuer=・・・
     -----BEGIN CERTIFICATE-----
     … (中間CA証明書1データ) …
     -----END CERTIFICATE-----

   • 中間CA証明書2のファイル

     Bag Attributes
         friendlyName: 
     subject=・・・
     issuer=・・・
     -----BEGIN CERTIFICATE-----
     … (中間CA証明書2データ) …
     -----END CERTIFICATE-----

5. 手順4.で分割した中間CA証明書のファイルを、サイト証明書のファイルに、中間CA証明書2、中間CA証明書1の順でマージします。

   【Windows版】

   type <中間CA証明書2ファイル名> >> d:\mpahso\sslcert\cert\<サイト証明書ファイル名>
   type <中間CA証明書1ファイル名> >> d:\mpahso\sslcert\cert\<サイト証明書ファイル名>

   【UNIX版】

   # cat <中間CA証明書2ファイル名> >> /export/home/mpahso/sslcert/cert/<サイト証明書ファイル名>
   # cat <中間CA証明書1ファイル名> >> /export/home/mpahso/sslcert/cert/<サイト証明書ファイル名>

6. ルートCA証明書をサイト証明書にマージします。

   • 認証局の証明書に中間CA証明書が含まれる場合

     手順4.で分割したルートCA証明書のファイルを、サイト証明書のファイルにマージします。

     【Windows版】

     type <ルートCA証明書ファイル名> >> d:\mpahso\sslcert\cert\<サイト証明書ファイル名>

     【UNIX版】

     # cat <ルートCA証明書ファイル名> >> /export/home/mpahso/sslcert/cert/<サイト証明書ファイル名>

   • 認証局の証明書に含まれる証明書がルートCA証明書のみの場合

     【Windows版】

     type <認証局の証明書ファイル名> >> d:\mpahso\sslcert\cert\<サイト証明書ファイル名>

     【UNIX版】

     # cat <認証局の証明書ファイル名> >> /export/home/mpahso/sslcert/cert/<サイト証明書ファイル名>

7. 出力したファイルは、httpd.confの以下のディレクティブに設定してください。

   【Windows版】

   # サイトの秘密鍵ファイル
   SSLCertificateKeyFile  d:\mpahso\sslcert\<秘密鍵ファイル名>
   
   # サイト証明書ファイル
   SSLCertificateFile d:\mpahso\sslcert\cert\<サイト証明書ファイル名>

   【UNIX版】

   # サイトの秘密鍵ファイル
   SSLCertificateKeyFile  /export/home/mpahso/sslcert/<秘密鍵ファイル名>
   
   # サイト証明書ファイル
   SSLCertificateFile /export/home/mpahso/sslcert/cert/<サイト証明書ファイル名>