ほかのサーバー証明書の要求およびインストール
VeriSign のほかに、他の認証局からの証明書を要求し、インストールすることができます。会社または組織が独自の内部証明書を提供している場合もあります。この節では、ほかの種類のサーバー証明書を要求およびインストールする方法について説明します。
ここでは、次の内容について説明します。
必要な CA 情報
要求処理を始める前に、CA が必要とする情報を確認しておく必要があります。必要な情報のフォーマットは CA によって異なりますが、通常は、次に示される情報を設定するように指定されます。これらの情報のほとんどは、証明書の更新の場合には、通常必要ありません。
-
要求者の名前: 証明書が発行される対象の名前です。
-
電話番号:要求者の電話番号です。
-
共通名:DNS 検索で使用される完全修飾ホスト名である必要があります (たとえば、www.example.com)。
-
電子メールアドレス:ユーザーと CA との間の連絡に使用される、仕事の電子メールアドレスです。
-
組織:ユーザーの会社、教育機関、組織などの公式かつ法的な名前です。ほとんどの CA は、この情報をビジネスライセンスのコピーなどの法的文書で証明するように要求します。
-
組織単位:会社内の組織単位の説明です。
-
市区町村名:組織が所在する都市、郡、または国名の説明です。
-
都道府県名:会社が所在する都道府県名です。
-
国:国名の 2 文字の省略形 (ISOフォーマット) です。たとえば、米国の国コードは US になります。
すべての情報は、識別名 (DN) と呼ばれる、一連の属性と属性値のペアとして結合されており、これにより証明書の項目を一意に識別することができます。
商用の CA から証明書を購入する場合は、証明書が発行される前に、上記のほかにどんな情報が必要とされているのか知るために、事前に CA に確認しておく必要があります。ほとんどの CA では、識別情報の証明を要求します。たとえば、会社名や、会社によってサーバー管理者権限を与えられている人の名前を確認します。そして、場合によっては、提供した情報を使用する法的権利をユーザーが持っているかどうかを尋ねられることもあります。
一部の商用 CA では、さらに徹底した識別情報を提供した組織や個人に対して、さらに詳細で正確性の高い証明書を発行します。たとえば、個人が www.example.com というサイトのコンピュータの正当な管理者であるということを確認したことに加えて、企業が過去 3 年間にわたって運営されており、現在顧客と係争中の訴訟がないことを CA が確認したことが記述された証明書を購入することもできます。
ほかのサーバー証明書の要求
ほかのサーバー証明書を要求するには
-
管理サーバーまたはサーバーマネージャーにアクセスし、「Security」タブを選択します。
-
「Request Certificate」リンクをクリックします。
-
新しい証明書か証明書の更新かを選択します。
多くの証明書は、6 か月や 1 年などの一定期間が経過すると、有効期限が切れます。自動的に更新した証明書を送信してくる CA もあります。
-
証明書の要求を送信する方法を指定します。
-
「Cryptographic Module」ドロップダウンリストから、証明書を要求するときに使用する鍵ペアファイルの暗号化モジュールを選択します。
-
鍵ペアファイルのパスワードを入力します。
このパスワードは、「Internal」以外の暗号化モジュールを選択していないかぎり、信頼データベースを作成したときに指定したパスワードと同一です。サーバーは、このパスワードを使用して、ユーザーの非公開鍵を取得したり、CA に対するメッセージを暗号化したりします。そして、ユーザーの公開鍵と暗号化されたメッセージの両方を CA に送信します。CA は、公開鍵を使用してメッセージを復号化します。
-
名前や電話番号などの識別情報を入力します。
この情報のフォーマットは、CA によって異なります。これらの情報のほとんどは、証明書の更新の場合には、通常必要ありません。
-
正確に行うため、入力内容を見直して、「了解」をクリックします。
情報が正確であれば、証明書も早く承認されます。要求を証明書サーバーに送るとき、送信する前に、フォーム情報を確認するよう求めるプロンプトが表示されます。
サーバーは、入力した情報を含む証明書リクエストを作成します。要求には、ユーザーの非公開鍵を使用して作成されたデジタル署名が含まれます。CA は、デジタル署名を使用して、サーバーコンピュータから CA に送付されている間、その要求が不正に変更されていないことを確認します。まれに要求が不正に変更されたような場合には、通常 CA から電話で連絡があります。
要求を電子メールで送信する場合には、サーバーがその要求を含んだ電子メールメッセージを CA に送信します。通常、電子メールにより証明書が返されます。証明書サーバーに URL を指定した場合は、サーバーがその URL を使用して証明書サーバーにその要求を送信します。CA によって、電子メールで返信を受けるか、その他の手段になるかは異なります。
CA は、証明書を発行することに同意するかどうかを通知します。ほとんどの場合、CA は、電子メールで証明書を送信します。所属している組織が証明書サーバーを使用している場合には、証明書サーバーのフォームを使用して証明書を検索できます。
注 –商用 CA に証明書を要求しても、必ず証明書が発行されるとは限りません。多くの CA では、証明書の発行前に、ユーザーの識別情報の証明を要求します。また、承認されるまでには、1 日〜数週間かかることがあります。必要な情報をすべて迅速に CA に提供することが重要です。
証明書を受け取ったら、それをインストールします。それまでの間は、SSL を使用せずに Proxy Server を使用できます。
ほかのサーバー証明書のインストール
CA からの証明書は、ユーザーだけがこれを復号化できるように、公開鍵で暗号化されています。信頼データベースの正しいパスワードを入力しないと、証明書を復号化し、インストールすることはできません。
-
クライアントに提示するための、ユーザーのサーバーの証明書
-
証明書チェーンで使用される、CA の独自の証明書
-
信頼された CA の証明書
証明書チェーンは、連続した認証局によって署名された、一連の階層的証明書です。CA 証明書は、認証局を識別し、その認証局によって発行される証明書に署名するために使用されます。認証局証明書は同様に、親 CA の認証局証明書によって署名されます。このプロセスは、ルート認証局までさかのぼって行われます。
注 –
CA が CA の証明書を自動的にユーザーに送信しない場合には、証明書を要求してください。多くの CA は、ユーザーの証明書を電子メールで送信する際に CA 証明書も同時に送信してくるため、ユーザーのサーバーでは、両方の証明書が同時にインストールされます。
CA からの証明書は、ユーザーだけがこれを復号化できるように、公開鍵で暗号化されています。Proxy Server は、証明書をインストールする際、その証明書を復号するのに指定した鍵ペアファイルパスワードを使用します。サーバーがアクセス可能な場所にその電子メールを保存するか、またはその電子メールのテキストをコピーし、次の手順に説明する「Install Certificate」フォームにペーストできるようにします。
他のサーバー証明書をインストールするには
-
管理サーバーまたはサーバーマネージャーにアクセスし、「Security」タブを選択します。
-
「Install Certificate」リンクをクリックします。
-
「Certificate」の横のインストールする証明書の種類を選択します。
-
ドロップダウンリストから、暗号化モジュールを選択します。
-
鍵ペアファイルパスワードを入力します。
-
手順 3 で「Server Certificate Chain」または「Certification Authority」を選択した場合だけ、証明書の名前を入力します。
-
次のいずれかの方法で、証明書の情報を指定します。
-
「了解」をクリックします。
-
新しい証明書を追加するのか、既存の証明書を更新するのかを示します。
- © 2010, Oracle Corporation and/or its affiliates