test

Sun N1 Service Provisioning System 5.1 インストールガイド

HTTPS 接続のキーストアファイルとキーストアパスワードの作成

HTTPS では SSL 証明書が必要です。SSL 証明書を生成すると、ブラウザインタフェース がマスターサーバーに接続するときに使用されるキーストアファイルとキーストアパスワードが作成されます。

認証局に証明書に署名してもらうか、自己署名付き証明書を使用するかを選択できます。認証局によって署名された証明書は、ブラウザによって信頼されます。このため、ブラウザはユーザーがマスターサーバー上のブラウザインタフェースに接続する場合に警告を出しません。一般に、認証局は証明書の署名に費用を請求します。自己署名付き証明書は認証局による署名を待つ必要がないため、生成後すぐに使用できます。ただし、ブラウザは自己署名付き証明書を信用しないため、ユーザーがマスターサーバーに接続するたびに警告を発します。

ProcedureSSL 証明書の生成方法

ブラウザインタフェースに SSL を使用させるには、初めに SSL 証明書を生成する必要があります。キーストアファイルとキーストアパスワードは、SSL 証明書を生成中に作成します。

始める前に

キーストアファイルとキーストアパスワードを作成するには、keytool を使用します。keytool は、JRE で使用可能なセキュリティーツールです。keytool がインストールされていない場合は、HTTPS を使用するようにプロビジョニングシステムを構成する前に keytool をインストールする必要があります。JRE は、N1 Service Provisioning System によってインストールされます。プロビジョニングシステムをインストールしたあとに HTTPS を構成する場合、keytool はシステム上にインストールされています。

手順

  1. JRE をインストールしたディレクトリに移動します。


    % cd JAVA-HOME/bin

    JAVA-HOME には、JRE をインストールしたディレクトリを指定します。N1 Service Provisioning System 5.1 でインストールした場合、JRE は N1SPS5.1-home/common/jre/bin ディレクトリにインストールされます。

  2. 証明書を生成します。


    % keytool -genkey -alias tomcat -keyalg RSA -keystore /keystore-location
-storepass password

    /keystore-location に生成されたキーを格納するキーストアファイルの場所とファイル名を設定します。

    password にキーストアパスワードとして使用する何らかのパスワードを設定します。

  3. メッセージに従って操作を進めます。

    組織名には区切り文字を入れないようにしていください。区切り文字が入ると、Java Certificate ツールは要求の生成に失敗します。共通名 (Common Name: CN) は、ドメイン名、URI のコンポーネントを含む完全修飾のホスト名である必要があります。

ProcedureSSL 証明書の署名を取得する

認証局によって署名された証明書を使用する場合は、この手順に従って証明書を認証局に提出し、署名を依頼してください。

手順

  1. 証明書要求を生成します。


    % keytool -certreq -v -alias tomcat -keyalg RSA -keystore /keystore-location

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。

  2. この証明書要求を認証局へ送信します。

    認証局の指示に従います。認証局から、証明書応答 (Certificate Reply) が返送されてきます。

  3. 証明書応答をファイルに保存します。

  4. 証明書応答を確認します。


    % keytool -printcert -file certificate-reply-file

    certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。

  5. 証明書応答ファイルを keystore ファイルにインポートします。


    % keytool -v -import -trustcacerts -keystore /keystore-location
-file certificate-reply-file -alias tomcat

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。

  6. インポートされた証明書応答を確認します。


    % keytool -v -list -keystore /keystore-location

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。