SSL をサポートする Java CAPS の構成

PKCS12 形式のキーストアの作成

この節では、JSSE で使用できる PKCS12 キーストアの作成方法について説明します。実際の稼動環境では、顧客が既存の非公開鍵と証明書 (既知の CA によって署名済み) をすでに保持している場合があります。その場合、ユーザーは keytool を使用しての非公開鍵のインポート、エクスポートいずれもできないため、JKS 形式は使用できません。非公開鍵とその証明書から成る PKCS12 データベースの生成が必要です。

生成された PKCS12 データベースは、アダプタのキーストアとして使用できます。現在、keytool ユーティリティーには、PKCS12 データベースへの書き込み機能はありませんが、PKCS12 データベースから読み取ることはできます。


注 –

PKCS12 証明書を生成できる他社製のツールを代わりに使用することもできます。


次の例では、openssl を使用して PKCS12 キーストアを生成しています。


cat mykey.pem.txt mycertificate.pem.txt>mykeycertificate.pem.txt

既存のキーは、mykey.pem.txt ファイルに PEM 形式で格納されています。証明書は mycertificate.pem.txt にあり、これも PEM 形式です。キーおよびそのあとに続く証明書を含むテキストファイルを次のように作成します。


openssl pkcs12 -export -in mykeycertificate.pem.txt -out mykeystore.pkcs12 
-name myAlias -noiter -nomaciter

このコマンドは、ユーザーにパスワードの入力を要求します。パスワードは必須です。パスワードがないと、キーストアは JSSE で動作しません。このパスワードは、アダプタのキーストアパスワード用のパスワードとしても指定します。

このコマンドでは、openssl pkcs12 コマンドを使用して、非公開鍵と証明書を持つ PKCS12 キーストアも生成します。生成されるキーストアは mykeystore.pkcs12 で、myAlias エイリアスで指定されたエントリが格納されます。このエントリには、-in 引数で指定した非公開鍵と証明書が含まれます。noiter オプションと nomaciter オプションを指定して、生成されるキーストアが JSSE によって正しく認識されるようにします。