Interstage証明書環境は証明書、秘密鍵、CRLを管理する環境です。Interstage証明書環境は構築・更新にはコマンドを使用し、参照は、Interstage Application ServerのInterstage管理コンソールで行います。ここでは、CSR(証明書取得申請書)を利用した、Interstage証明書環境の構築方法について説明します。
Interstage証明書環境の構築とCSR(証明書取得申請書)の作成
証明書の発行依頼
証明書とCRLの登録
なお、Interstage証明書環境を構築した後は、openssl証明書環境への移行が必要です。詳細は、“A.2 証明書環境の移行”を参照してください。
注意
Interstage管理コンソールが使用できるWebブラウザは以下のとおりです。
ChromiumベースのEdge
Webクライアント側でWeb連携機能のために使用していたWebブラウザを一度終了させる必要があります。
コマンドはスーパーユーザで実行してください。環境変数JAVA_HOMEにOpenJDKのインストールパスを設定して実行してください。
Interstage管理コンソールは、Webブラウザで以下に示すURLを指定して、Administrators権限のあるユーザでログインします。
https://hostname:port/IsAdmin (注)
注) hostnameにはWebゲートウェイサーバのホスト名を指定してください。SSL暗号化通信を使用しない設定を行った場合は、“https”の部分を“http”に置き換えて指定してください。portにはInterstage管理コンソールのポート番号を指定します。デフォルトは12000です。
SSLによる暗号化通信を行うために、Interstage管理コンソールを使用しています。その他の目的でInterstage管理コンソールは使用しないでください。
ポイント
Interstage証明書環境の資源は、以下にあります。
/etc/opt/FJSVisscs/security
PKCS#12データを利用した、Interstage証明書環境の構築方法およびInterstage証明書環境をバックアップする方法については、Interstage Application Serverのマニュアルをご覧ください。
■Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成
SSLなど、署名や暗号処理を行うには、証明書を取得する必要があります。そのために、認証局へ証明書の発行を依頼するためのデータである、CSR(証明書取得申請書)を作成します。このとき、Interstage証明書環境が存在しなければ、同時にInterstage証明書環境も作成されます。存在している場合には、そのInterstage証明書環境が利用されます。
注意
CSRに指定したニックネームは、サイト証明書の登録時にも指定するため、忘れないようにしてください。なお、CSRに指定したニックネームの一覧は、scslistコマンドで確認することができます。また、Interstage証明書環境に登録済みのニックネームで新たな証明書を登録することはできません。
CSRを作成すると、Interstage証明書環境に秘密鍵が作成されます。秘密鍵を保護するために、証明書を入手するまでの間、Interstage証明書環境をバックアップしておいてください。
バックアップする方法については、Interstage Application Serverのマニュアルをご覧ください。
なお、バックアップしていないときにInterstage証明書環境が破壊された場合、秘密鍵がなくなってしまうため、Interstage証明書環境の作成(CSRの作成)と証明書の発行依頼を再度行うことになります。
CSRの作成例を以下に示します。
参照
scsmakeenvコマンドについては、“A.3.4 scsmakeenv”を参照してください。
CSRの作成と同時に、Interstage組み込み証明書に含まれるルート証明書の登録も行います。
# scsmakeenv -n SiteCert -c -f /usr/home/my_dir/my_csr.txt -g iscertg New Password: (注1) Retype: (注1) Input X.500 distinguished names. What is your first and last name? [Unknown]:SiteName.domain (注2) What is the name of your organizational unit? [Unknown]:Interstage (注2) What is the name of your organization? [Unknown]:Fujitsu Ltd.(注2) What is the name of your City or Locality? [Unknown]:Yokohama (注2) What is the name of your State or Province? [Unknown]:Kanagawa (注2) What is the two-letter country code for this unit? [Un]:jp (注2) Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct? [no]:yes(注3) 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 証明書がキーストアに追加されました。 UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。 </usr/home/my_dir/my_csr.txt> UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。
注1)
パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
注2)
入力する内容については、“A.3.4 scsmakeenv”を参照してください。
注3)
表示された内容が正しければ、「yes」を入力してください。再度やり直したい場合には、「no」を入力してください。
Interstage Application Serverに組み込まれているルートCA証明書(Interstage組み込み証明書)を使用しない場合の手順となります。
# scsmakeenv -n SiteCert -f /usr/home/my_dir/my_csr.txt -g iscertg New Password: (注1) Retype: (注1) Input X.500 distinguished names. What is your first and last name? [Unknown]:SiteName.domain (注2) What is the name of your organizational unit? [Unknown]:Interstage (注2) What is the name of your organization? [Unknown]:Fujitsu Ltd.(注2) What is the name of your City or Locality? [Unknown]:Yokohama (注2) What is the name of your State or Province? [Unknown]:Kanagawa (注2) What is the two-letter country code for this unit? [Un]:jp (注2) Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct? [no]:yes (注3) UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。 </usr/home/my_dir/my_csr.txt> UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。
注1)
パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
注2)
入力する内容については、“A.3.4 scsmakeenv”を参照してください。
注3)
表示された内容が正しければ、「yes」を入力してください。再度やり直したい場合には、「no」を入力してください。
■証明書の発行依頼
認証局に証明書の発行を依頼し、証明書を取得します。
scsmakeenvコマンドで作成したCSRを認証局へ送付し、証明書の発行を依頼します。
依頼は認証局の指定方法に従ってください。
認証局により発行された証明書をバイナリデータ(DER形式)またはBase64エンコーディングデータ(PEM形式)で取得します。PEM形式の証明書は、以下のようなデータ形式をしています。
-----BEGIN CERTIFICATE----- … (Base64エンコードされた証明書データ) … -----END CERTIFICATE-----
なお、取得方法は認証局に従ってください。
■証明書・CRLの登録
認証局から取得した証明書とCRLをInterstage証明書環境に登録します。
証明書は、認証局自身の証明書から順に登録してください。
注意
取得した証明書・CRLを登録後は必ず、Interstage証明書環境をバックアップしてください。バックアップする方法については、Interstage Application Serverのマニュアルをご覧ください。
なお、Interstage証明書環境をバックアップしていなかった場合にInterstage証明書環境が破壊されると、Interstage証明書環境の作成(CSRの作成)や、証明書の発行依頼を再度行うことになります。
取得した認証局の証明書を登録します。登録例を以下に示します。
# scsenter -n CA -f /usr/home/my_dir/CA.der Password: (注1) 証明書がキーストアに追加されました。 UX: SCS: 情報: scs0104: 証明書を登録しました。
注1)パスワードを入力します。なお、入力した文字列はエコーバックされません。
認証局証明書は、Interstage管理コンソールでは【システム】-【セキュリティ】-【証明書】-【認証局証明書】で参照できます。
認証局によっては、認証局証明書とサイト証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合、サイト証明書の登録の前に、認証局から配布されている中間CA証明書を登録してください。
なお、登録方法は認証局証明書の場合と同じです。“◆認証局の証明書の登録”を参照してください。ただし、中間CA証明書のニックネームは認証局証明書やサイト証明書と異なるものを指定してください。
発行された証明書をサイト証明書として登録します。登録例を以下に示します。
# scsenter -n SiteCert -f /usr/home/my_dir/SiteCert.der -o Password: (注1) 証明書応答がキーストアにインストールされました。 UX: SCS: 情報: scs0104: 証明書を登録しました。
注1)パスワードを入力します。なお、入力した文字列はエコーバックされません。
サイト証明書は、Interstage管理コンソールでは【システム】-【セキュリティ】-【証明書】-【サイト証明書】で参照できます。証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。なお、証明書の更新については、Interstage Application Serverのマニュアルを参照してください。
注意
-nオプションには、CSRを作成したときと同じニックネームを指定してください。
信頼する他のサイトの証明書を登録します。登録例を以下に示します。
# scsenter -n OtherSiteCert -f /usr/home/my_dir/OtherSiteCert.der -e Password:(注1) 証明書がキーストアに追加されました。 UX: SCS: 情報: scs0104: 証明書を登録しました。
注1)パスワードを入力します。なお、入力した文字列はエコーバックされません。
信頼する他のサイトの証明書は、Interstage管理コンソールでは【システム】-【セキュリティ】-【証明書】-【認証局証明書】で参照できます。
CRLで失効確認をしない場合には、CRLを登録する必要はありません。CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてください。登録例を以下に示します。
# scsenter -c -f /usr/home/my_dir/CRL.der Password:(注1) UX: SCS: 情報: scs0105: CRLを登録しました。
注1)パスワードを入力します。なお、入力した文字列はエコーバックされません。
