この手順は、PKCS #10 証明書署名要求 (CSR) に署名するために使用されます。PEM または DER 形式の CSR を使用できます。署名プロセスによって X.509 v3 証明書が発行されます。PKCS #10 CSR を生成するには、pktool(1) のマニュアルページを参照してください。
始める前に
この手順では、自身が認証局 (CA) であり、CSR を受信しており、それがファイル内に格納されてると想定します。
署名者の鍵を PKCS #11 キーストア内に格納した場合、signkey は、この非公開鍵を取得するラベルです。
署名者の鍵を NSS キーストアまたはファイルキーストア内に格納した場合、signkey は、この非公開鍵を保持するファイル名です。
CSR のファイル名を指定します。
署名される証明書のシリアル番号を指定します。
署名される証明書のファイル名を指定します。
自分の CA 発行者名を識別名 (DN) 形式で指定します。
signcsr サブコマンドのオプションの引数については、pktool(1) のマニュアルページを参照してください。
たとえば、次のコマンドは、PKCS #11 リポジトリにある署名者の鍵を使用して証明書に署名します。
# pktool signcsr signkey=CASigningKey \ csr=fromExampleCoCSR \ serial=0x12345678 \ outcert=ExampleCoCert2010 \ issuer="O=Oracle Corporation, \ OU=Oracle Solaris Security Technology, L=Redwood City, ST=CA, C=US, \ CN=rootsign Oracle"
次のコマンドは、ファイルにある署名者の鍵を使用して証明書に署名します。
# pktool signcsr signkey=CASigningKey \ csr=fromExampleCoCSR \ serial=0x12345678 \ outcert=ExampleCoCert2010 \ issuer="O=Oracle Corporation, \ OU=Oracle Solaris Security Technology, L=Redwood City, ST=CA, C=US, \ CN=rootsign Oracle"
電子メール、Web サイト、またはその他のメカニズムを使用すると証明書を要求者に配信できます。
たとえば、電子メールを使用して ExampleCoCert2010 ファイルを要求者に送信できます。