ページの先頭行へ戻る
Interstage List Works for Modernization V11.0.0 帳票印刷配信機能インストールガイド
付録D SSLによる暗号化通信 > D.1 Interstage証明書環境の構築と利用 > D.1.2 環境の構築方法
前次

D.1.2 環境の構築方法

Interstage証明書環境は証明書、秘密鍵、CRLを管理する環境です。Interstage証明書環境は構築・更新にはコマンドを使用し、参照は、Interstage Application ServerのInterstage管理コンソールで行います。ここでは、CSR(証明書取得申請書)を利用した、Interstage証明書環境の構築方法について説明します。

  1. Interstage証明書環境のアクセス権限の設定

  2. Interstage証明書環境の構築とCSR(証明書取得申請書)の作成

  3. 証明書の発行依頼

  4. 証明書とCRLの登録

注意

  • Interstage管理コンソールが使用できるWebブラウザは以下のとおりです。

    • ChromiumベースのEdge

  • クライアント側でList Managerのために使用していたWebブラウザを一度終了させる必要があります。

  • コマンドはスーパーユーザで実行してください。

  • Interstage管理コンソールは、スーパーユーザでログインしてください。

  • 環境変数JAVA_HOMEにOpenJDKのインストールパスを設定して実行してください。

ポイント

  • Interstage証明書環境の資源は、以下にあります。

    • /etc/opt/FJSVisscs/security

  • PKCS#12データを利用した、Interstage証明書環境の構築方法およびInterstage証明書環境をバックアップする方法については、下記のURLから参照できるマニュアルをご覧ください。

        https://software.fujitsu.com/jp/manual/

(1) Interstage証明書環境のアクセス権限の設定

Interstage証明書環境を構築する前に、Interstage証明書環境へのアクセスを許可する、所有グループを作成しておく必要があります。Interstage証明書環境は、スーパーユーザによって構築され、特定の所有グループに属する実効ユーザがアクセスすることができます。実効ユーザは、利用するサービスによって異なります。各サービス指定の実効ユーザを所有グループに追加設定するようにしてください。

所有グループの作成や変更は、OS提供のツールから実行する方法もありますが、ここでは、コマンドで所有グループを作成する例を示します。

  1. Interstage証明書環境の所有グループを作成します。

    下記の実行例では、「iscertg」というグループを作成しています。

    # groupadd iscertg

  2. useraddまたはusermodコマンドで、実効ユーザをiscertgグループに登録します。

    下記の実行例では、iscertgに「nobody」を追加しています。

    # usermod -G iscertg nobody

コマンドの詳細については、使用しているOSのマニュアルを参照してください。

作成した所有グループは、Interstage証明書環境を構築時にscsmakeenvコマンドの-gオプションに指定してください。

注意

  • スーパユーザで実行してください。

  • Interstage HTTP ServerでSSLを利用する場合、Interstage証明書環境の所有グループに登録する実効ユーザは、Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに設定されているユーザを使用する必要があります。Userディレクティブに設定されているユーザの初期値は「nobody」です。

(2) Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成

SSLなど、署名や暗号処理を行うには、証明書を取得する必要があります。そのために、認証局へ証明書の発行を依頼するためのデータである、CSR(証明書取得申請書)を作成します。このとき、Interstage証明書環境が存在しなければ、同時にInterstage証明書環境も作成されます。存在している場合には、そのInterstage証明書環境が利用されます。

注意

CSRに指定したニックネームは、サイト証明書の登録時にも指定するため、忘れないようにしてください。なお、CSRに指定したニックネームの一覧は、scslistコマンドで確認することができます。また、Interstage証明書環境に登録済みのニックネームで新たな証明書を登録することはできません。

CSRを作成すると、Interstage証明書環境に秘密鍵が作成されます。秘密鍵を保護するために、証明書を入手するまでの間、Interstage証明書環境をバックアップしておいてください。
バックアップする方法については、下記のURLから参照できるマニュアルをご覧ください。

    https://software.fujitsu.com/jp/manual/

なお、バックアップしていないときにInterstage証明書環境が破壊された場合、秘密鍵がなくなってしまうため、Interstage証明書環境の作成(CSRの作成)と証明書の発行依頼を再度行うことになります。

CSRの作成例を以下に示します。

⇒scsmakeenvコマンドについては、“D.3 コマンド”を参照してください。

本製品に組み込まれているルートCA証明書(Interstage組み込み証明書)を使用する場合

CSRの作成と同時に、Interstage組み込み証明書に含まれるルート証明書の登録も行います。

> scsmakeenv -n SiteCert -c -f /usr/home/my_dir/my_csr.txt -g iscertg
New Password: *1
Retype: *1

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain *2
What is the name of your organizational unit?
[Unknown]:Interstage *2
What is the name of your organization?
[Unknown]:Fujitsu Ltd. *2
What is the name of your City or Locality?
[Unknown]:Yokohama *2
What is the name of your State or Province?
[Unknown]:Kanagawa *2
What is the two-letter country code for this unit?
[Un]:jp *2
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes *3
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt>
UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。

*1:
パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。

*2:
入力する内容については、“D.3 コマンド”を参照してください。

*3:
表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。

認証局から入手したルートCA証明書を使用する場合

本製品に組み込まれているルートCA証明書(Interstage組み込み証明書)を使用しない場合の手順となります。

> scsmakeenv -n SiteCert -f /usr/home/my_dir/my_csr.txt -g iscertg
New Password: *1
Retype: *1

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain *2
What is the name of your organizational unit?
[Unknown]:Interstage *2
What is the name of your organization?
[Unknown]:Fujitsu Ltd. *2
What is the name of your City or Locality?
[Unknown]:Yokohama *2
What is the name of your State or Province?
[Unknown]:Kanagawa *2
What is the two-letter country code for this unit?
[Un]:jp *2
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes *3
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt>
UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。

*1:
パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。

*2:
入力する内容については、“D.3 コマンド”を参照してください。

*3:
表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。

テスト用サイト証明書を作成する場合

> scsmakeenv -n testCert
Password: *1

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain *2
What is the name of your organizational unit?
[Unknown]:Interstage *2
What is the name of your organization?
[Unknown]:Fujitsu Ltd. *2
What is the name of your City or Locality?
[Unknown]:Yokohama *2
What is the name of your State or Province?
[Unknown]:Kanagawa *2
What is the two-letter country code for this unit?
[Un]:jp *2
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes *3
SCS: 情報: scs0102: 自己署名証明書を作成しました。

*1:
パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。

*2:
入力する内容については、“D.3 コマンド”を参照してください。

*3:
表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。

注意

  • -nオプションに指定したニックネームは、サイト証明書の登録時にも指定します。忘れないでください。

  • テスト用証明書を作成後は、証明書の発行依頼、証明書・CRLの登録を実行する必要はありません。“D.1.3 証明書を利用するための設定”の“(1) 証明書の利用設定”以降を実行してください。

(3) 証明書の発行依頼

認証局に証明書の発行を依頼し、証明書を取得します。

証明書の発行依頼

scsmakeenvコマンドで作成したCSRを認証局へ送付し、証明書の発行を依頼します。
依頼は認証局の指定方法に従ってください。

証明書の取得

認証局により発行された証明書をバイナリデータ(DER形式)またはBase64エンコーディングデータ(PEM形式)で取得します。PEM形式の証明書は、以下のようなデータ形式をしています。

-----BEGIN CERTIFICATE-----
… (Base64エンコードされた証明書データ) …
-----END CERTIFICATE-----

なお、取得方法は認証局に従ってください。

(4) 証明書・CRLの登録

認証局から取得した証明書とCRLをInterstage証明書環境に登録します。

証明書は、認証局自身の証明書から順に登録してください。

注意

取得した証明書・CRLを登録後は必ず、Interstage証明書環境をバックアップしてください。バックアップする方法については、下記のURLから参照できるマニュアルをご覧ください。

    https://software.fujitsu.com/jp/manual/

なお、Interstage証明書環境をバックアップしていなかった場合にInterstage証明書環境が破壊されると、Interstage証明書環境の作成(CSRの作成)や、証明書の発行依頼を再度行うことになります。

認証局の証明書の登録

取得した認証局の証明書を登録します。登録例を以下に示します。

>scsenter -n CA -f /usr/home/my_dir/CA.der
Password: *1
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

*1:パスワードを入力します。なお、入力した文字列はエコーバックされません。

認証局証明書は、Interstage管理コンソールでは[システム]-[セキュリティ]-[証明書]-[認証局証明書]で参照できます。

中間CA証明書の登録

認証局によっては、認証局証明書とサイト証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合、サイト証明書の登録の前に、認証局から配布されている中間CA証明書を登録してください。なお、登録方法は認証局証明書の場合と同じです。“認証局の証明書の登録”を参照してください。ただし、中間CA証明書のニックネームは認証局証明書やサイト証明書と異なるものを指定してください

サイト証明書の登録

発行された証明書をサイト証明書として登録します。登録例を以下に示します。

>scsenter -n SiteCert -f /usr/home/my_dir/SiteCert.der -o
Password: *1
証明書応答がキーストアにインストールされました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

*1:パスワードを入力します。なお、入力した文字列はエコーバックされません。

サイト証明書は、Interstage管理コンソールでは[システム]-[セキュリティ]-[証明書]-[サイト証明書]で参照できます。証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。なお、証明書の更新については“D.2.1 証明書を更新する(証明書の有効期限が切れる)場合”を参照してください。

注意

-nオプションには、CSRを作成したときと同じニックネームを指定してください。

信頼する他のサイトの証明書の登録

信頼する他のサイトの証明書を登録します。登録例を以下に示します。

>scsenter -n OtherSiteCert -f /usr/home/my_dir/OtherSiteCert.der -e
Password: *1
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。

*1:パスワードを入力します。なお、入力した文字列はエコーバックされません。

信頼する他のサイトの証明書は、Interstage管理コンソールでは[システム]-[セキュリティ]-[証明書]-[認証局証明書]で参照できます。

CRLの登録

CRLで失効確認をしない場合には、CRLを登録する必要はありません。CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてください。登録例を以下に示します。

>scsenter -c -f /usr/home/my_dir/CRL.der
Password: *1
UX: SCS: 情報: scs0105: CRLを登録しました。

*1:パスワードを入力します。なお、入力した文字列はエコーバックされません。

前次
Copyright 2012-2024 Fujitsu Limited