取得した証明書を証明書/鍵管理環境に配置します。
証明書は、サイト証明書を先頭にルートCA証明書に向かって順に並べ1つのファイルとしたものを、証明書/鍵管理環境の構築で作成したディレクトリに配置してください。運用で使用する証明書(サイト証明書)を発行した認証局の証明書は、すべて配置してください。
サイト証明書の配置
認証局から発行されたサイト証明書(server.pem)を証明書/CRL管理環境へ配置します。
move server.pem c:\ahs\sslenv\sslcert\cert
# mv server.pem /export/home/ahs/sslcert/cert
登録後は、証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。有効期間は、openssl x509コマンドで確認できます。
注意
サイト証明書および認証局の証明書(発行局証明書)には、有効期限があります。この有効期限が切れた状態でWebサーバ運用を続行した場合、クライアントからのSSL通信時に警告メッセージが表示されるようになります。openssl x509コマンドで証明書の有効期間を確認して、有効期限が切れる前に新しい証明書を取得して登録してください。登録後は、Webサーバを再起動する必要があります。
証明書の有効期間を確認する場合
c:\Interstage\F3FMahs\bin\openssl.exe x509 -noout -dates -in c:\ahs\sslenv\sslcert\cert\server.pem
証明書の有効期間を確認する場合
# /opt/FJSVahs/oss/openssl/bin/openssl x509 -noout -dates -in /export/home/ahs/sslcert/cert/server.pem
ルートCA証明書、中間CA証明書の配置
ルートCA証明書を入手したら、登録する前にフィンガープリントを確認します。ルートCA証明書のフィンガープリントの情報は、認証局により安全な方法で提供されています。入手した認証局のルートCA証明書をopenssl x509コマンドで表示し、フィンガープリントが一致していることを確認してください。
なお、フィンガープリントは証明書の一部から算出されたハッシュ値であるため、証明書が偽物であったり改ざんされたりした場合には異なる値になります。算出するために利用するアルゴリズムによっても値が異なるため、同じアルゴリズムを用いて算出されたフィンガープリントを比較してください。
例
認証局から入手したルートCA証明書のフィンガープリントを表示する例を以下に示します。
認証局のルートCA証明書がc:\ahs\sslenv\sslcert\server-root-ca.pemに格納されている場合の実行例を示します。
c:\Interstage\F3FMahs\bin\openssl.exe x509 [-sha1|-sha256|-md5] -fingerprint -noout -in c:\ahs\sslenv\sslcert\server-root-ca.pem
-md5オプション時: MD5 Fingerprint=40 79 98 2F 37 12 31 7C AE E7 B4 AB 78 C8 A2 28 -sha1オプション時: SHA1 Fingerprint=07 28 BE 26 94 89 6D F9 ... ←(16進数で20バイト分表示されます。) -sha256オプション時: SHA256 Fingerprint=F7 16 00 6E A1 6E A2 14 ... ←(16進数で32バイト分表示されます。)
認証局のルートCA証明書が/export/home/ahs/sslcert/server-root-ca.pemに格納されている場合の実行例を示します。
# /opt/FJSVahs/oss/openssl/bin/openssl x509 [-sha1|-sha256|-md5] -fingerprint -noout -in /export/home/ahs/sslcert/server-root-ca.pem
-md5オプション時: MD5 Fingerprint=40 79 98 2F 37 12 31 7C AE E7 B4 AB 78 C8 A2 28 -sha1オプション時: SHA1 Fingerprint=07 28 BE 26 94 89 6D F9 ... ←(16進数で20バイト分表示されます。) -sha256オプション時: SHA256 Fingerprint=F7 16 00 6E A1 6E A2 14 ... ←(16進数で32バイト分表示されます。)
認証局から提供されたフィンガープリント情報にあわせたオプション[-sha1|-sha256|-md5]を選択し、表示された値と比較してください。
認証局によっては、認証局のルートCA証明書とサイト証明書のほかに、中間CA証明書が用意されている場合がありますので、各認証局に確認し、中間CA証明書を入手してください。
中間CA証明書はサイト証明書ファイルにマージして使用します。中間CA証明書が複数用意されている場合は、ルートCA証明書に向かって順にマージします。
ルートCA証明書のマージは必須ではありませんが、ルートCA証明書を含めたpemファイルでの運用を推奨します。
以下に、中間CA証明書が1つ用意されている場合の例を示します。
ルートCA証明書(server-root-ca.pem)、中間CA証明書(server-chain-ca.pem)をサイト証明書にマージします。
type server-chain-ca.pem >> c:\ahs\sslenv\sslcert\cert\server.pem type server-root-ca.pem >> c:\ahs\sslenv\sslcert\cert\server.pem type c:\ahs\sslenv\sslcert\cert\server.pem (内容を表示します) -----BEGIN CERTIFICATE----- … (サイト証明書データ) … -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- … (中間CA証明書データ) … -----END CERTIFICATE----- -----BEGIN CERTIFICATE-----
… (ルートCA証明書データ) … -----END CERTIFICATE-----
# cat server-chain-ca.pem >> /export/home/ahs/sslcert/cert/server.pem # cat server-root-ca.pem >> /export/home/ahs/sslcert/cert/server.pem # cat /export/home/ahs/sslcert/server.pem (内容を表示します) -----BEGIN CERTIFICATE----- … (サイト証明書データ) … -----END CERTIFICATE----- -----BEGIN CERTIFICATE-----
… (中間CA証明書データ) … -----END CERTIFICATE----- -----BEGIN CERTIFICATE-----
… (ルートCA証明書データ) … -----END CERTIFICATE-----
鍵交換パラメータの設定
鍵交換でDHEを使用する場合はセキュリティ対策としてパラメータ長2048ビット以上に設定する必要があります。
RFC3526に記載されている推奨パラメータ(2048ビット)をサイト証明書にマージします。
以下のPEM形式パラメータをハイフンも含めてマージしてください。
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEA///////////JD9qiIWjCNMTGYouA3BzRKQJOCIpnzHQCC76mOxOb
IlFKCHmONATd75UZs806QxswKwpt8l8UN0/hNW1tUcJF5IW1dmJefsb0TELppjft
awv/XLb0Brft7jhr+1qJn6WunyQRfEsf5kkoZlHs5Fs9wgB8uKFjvwWY2kg2HFXT
mmkWP6j9JM9fg2VdI9yjrZYcYvNWIIVSu57VKQdwlpZtZww1Tkq8mATxdGwIyhgh
fDKQXkYuNs474553LBgOhgObJ4Oi7Aeij7XFXfBvTFLJ3ivL9pVYFxg5lUl86pVq
5RXSJhiY+gUQFXKOWoqsqmj//////////wIBAg==
-----END DH PARAMETERS-----
