test

Sun Java System Web Server 7.0 管理ガイド

証明書の管理

証明書の要求

証明書は、個人、企業、またはその他の実体の名前を指定するデジタルデータで構成されており、証明書に含まれている公開鍵がその個人に属していることを証明します。SSL 対応のサーバーは証明書を持つ必要があり、クライアントはオプションで証明書を持つことができます。

証明書は、認証局つまり CA によって発行され、デジタル署名されます。CA は、インターネット経由で証明書を販売する企業の場合も、企業でイントラネットやエクストラネットの証明書の発行を担当する部門の場合もあります。他人の身元の証明者として十分に信頼できる CA はどれであるかを決定します。

証明書の要求を作成し、それを認証局 (CA) に提出できます。会社に独自の内部 CA がある場合には、そこから発行される証明書を要求します。商用 CA からの証明書購入を予定している場合には、CA を選定し、CA が必要とする情報の特定のフォーマットを入手してください。サーバーの自己署名付き証明書を作成することもできます。自己署名付き証明書は、インターネットとの接点を持つ配備には適しませんが、開発やテストには非常に役立ちます。なぜなら、CA を通さずにテストサーバーを設定できるからです。

前述したように、証明書には実体 (この場合は Web サーバー) の公開鍵が含まれています。公開鍵は、ある特定のアルゴリズム (このアルゴリズムのタイプも証明書内に復号化される) に基づいて生成されます。次の節では、Web Server でキー用にサポートされているアルゴリズムタイプの背景について説明します。

Procedure証明書を要求する

  1. 「サーバー証明書」タブ>「要求」ボタンをクリックします。

  2. 構成を選択します

    証明書をインストールする必要がある構成を、構成のリストから選択します。

  3. トークンを選択します

    キーを含むトークン (暗号化デバイス) を選択します。Sun Java System Web Server 7.0 によって維持されるローカルキーデータベース内にキーが格納されている場合には、「Internal」を選択します。スマートカードなど、外部のデバイスやエンジンにキーが格納されている場合には、その外部トークンの名前をドロップダウンリストボックスから選択します。選択されたトークンのパスワードを入力します。

  4. 詳細を入力します

    要求処理を開始する前に、CA が必要とする情報が明確になっているか確認してください。サーバー証明書を民間の CA、内部 CA のいずれに要求する場合でも、次の情報を提供する必要があります。

    • サーバー名: www.sun.com など、DNS 検索で使用される完全修飾ホスト名でなければいけません。これは、サイトへの接続時にブラウザが使用する URL に含まれるホスト名になります。これら 2 つの名前が一致しない場合、証明書の名前とサイトの名前が一致しないことがクライアントに通知され、証明書の信頼性が疑われることになります。

      内部 CA が発行する証明書を要求する場合には、このフィールドにワイルドカードや正規表現も入力できます。ほとんどのベンダーは、共通名にワイルドカードや正規表現が入力された証明書の要求を承認しません。

    • 組織: 企業、教育機関、提携先などの正式な法律上の名前です。CA の多くは、ここに入力された情報を、営業許可証の複写などの法的文書で確認することを要求します。

    • 組織単位: 省略可能なフィールドであり、企業内の組織を記述します。また、Inc.Corp. を省略するなど、より非公式な企業名をここに記載することもできます。

    • 地域: 省略可能なフィールドであり、通常は組織の市区町村を記述します。

    • 都道府県: 省略可能なフィールドです。

    • 国名: 国名を表す 2 文字の略号 (ISO 形式) です。米国の国コードは US です。

    これらすべての情報が、識別名 (DN) と呼ばれる一連の属性と値のペアとして結合され、その DN が証明書のサブジェクトとなります。

  5. 証明書オプションを選択します

    キー情報の入力を求められます。キーの種類としては、RSA または ECC を選択できます。キーの種類が RSA の場合、キーサイズは 1024、2048、または 4098 になります。キーの種類が ECC の場合は曲線も選択する必要があります。新しい鍵ペアの生成には時間がかかることに注意してください。キーの長さが長いほど、ウィザードでキーを生成する時間も長くなります。

    注意 – 注意 –

    キーの種類は、あとで署名要求を送る CA がサポートしている種類を必ず選択するようにしてください。

  6. 証明書タイプを選択します

    証明書の認証局 (CSA) を選択します (自己署名付き、CA 署名付きのいずれか)。自己署名付き証明書を選択する場合、証明書に HTTP リスナーを関連付けることもできます。このアクションをあとで実行することもできます。

  7. 要求を生成します

    CA 署名付き証明書の場合、生成された証明書要求が ASCII 形式で利用可能になります。自己署名付き証明書の場合、証明書は直接インストールされます。タイプが自己署名付きの場合、セキュア要求を処理するためのニックネーム、有効期間 (月)、および HTTP リスナー名の値を入力します。

  8. 結果を表示します

    このページには、選択したオプションの概要が表示されます。要求の生成を完了させるには、「完了」をクリックします。

    注 –

    CLI の使用

    CLI 経由で証明書を要求するには、次のコマンドを実行します。


    wadm> create-cert-request --user=admin --password-file=admin.pwd 
--host=serverhost --port=8989 --config=config1 --server-name=servername.org 
--org=sun --country=ABC --state=DEF --locality=XYZ --token=internal

    CLI リファレンスの create-cert-request(1) を参照してください。

証明書のインストール

CA から証明書を取得したら、管理コンソールを使ってその証明書をある構成用としてインストールできます。

Procedure証明書をインストールする

  1. 「サーバー証明書」タブ>「インストール」ボタンをクリックします。

  2. 構成を選択します

    証明書をインストールする必要がある構成を、構成のリストから選択します。

  3. トークンを選択します

    キーを含むトークン (暗号化デバイス) を選択します。Sun Java System Web Server 7.0 によって維持されるローカルキーデータベース内にキーが格納されている場合には、「Internal」を選択します。スマートカードなど、外部のデバイスやエンジンにキーが格納されている場合には、その外部トークンの名前をドロップダウンリストボックスから選択します。選択されたトークンのパスワードを入力します。

  4. 証明書のデータを入力します

    提供されたテキスト領域に、証明書のテキストをペーストします。テキストをコピーしてペーストするときは、必ず、開始と終了のハイフンを含む「Begin Certificate」および「End Certificate」というヘッダーを含めてください。「参照」ボタンをクリックし、.DER ファイルを手動で選択することもできます。

  5. 証明書の詳細を入力します

    証明書で使用されるニックネームを入力します。選択可能なリストから、セキュア要求を処理するための HTTP リスナーを選択します。

  6. 結果を表示します

    このページには、選択したオプションの概要が表示されます。インストール処理を完了させるには、「完了」をクリックします。

    注 –

    CLI の使用

    CLI 経由で証明書をインストールするには、次のコマンドを実行します。


    wadm> install-cert --user=admin --port=8989  --password-file=admin.pwd 
--config=config1 --token=internal --cert-type=server --nickname=cert1 cert.req

    ここで、cert.req には証明書データが含まれています。

    CLI リファレンスの install-cert(1) を参照してください。

証明書の更新

次の手順に従えば、既存の証明書を更新できます。

Procedure証明書を更新する

  1. 「サーバー証明書」タブ>「証明書名」>「更新」ボタンをクリックします。

  2. トークン情報を入力します

    必要に応じてトークンのパスワードを入力します。それ以外の場合は、「次へ」をクリックして処理を続行します。

  3. 証明書の詳細を更新します

    証明書の詳細を確認し、有効期間を月数で入力します。

  4. キー情報を更新します

    キーの種類としては、RSA または ECC を選択できます。キーの種類が RSA の場合、キーサイズは 1024、2048、または 4098 になります。キーの種類が ECC の場合は曲線も選択する必要があります。新しい鍵ペアの生成には時間がかかることに注意してください。

  5. 概要を表示します

    このページには、選択したオプションの概要が表示されます。更新処理を完了させるには、「完了」をクリックします。

証明書の削除

構成を削除するには、次のタスクを実行します。

Procedure証明書を削除する

  1. 「サーバー証明書」タブをクリックします。

  2. 証明書を選択します

    証明書のリストから証明書名を選択します。

  3. 証明書を削除します

    選択した証明書を削除するには、「削除」ボタンをクリックします。

    注 –

    CLI の使用

    CLI 経由で証明書を削除するには、次のコマンドを実行します。


    wadm> delete-cert --user=admin --port=8989  --password-file=admin.pwd 
--token=internal --config=config1 cert1

    CLI リファレンスの delete-cert(1) を参照してください。

管理サーバー証明書の更新

管理サーバー証明書を更新するには、renew-admin-certs CLI コマンドを実行します。このコマンドは、ニックネーム Admin-CA-Cert Admin-Server-Cert、および Admin-Client-Cert を含む管理サーバー証明書を更新する場合に使用します。このコマンドは、現在稼働している、更新後の証明書を使ってアクセス可能なノードの更新も行います。

このコマンドの実行後、新しい証明書が有効になるように、管理サーバーと各ノードを再起動することをお勧めします。証明書の更新中にオフラインになっていた (停止中であったか、ネットワークの問題でアクセス不能になっていた) ノードについては、登録し直す必要があります。管理サーバー証明書を更新するには、次のコマンドを実行します。


wadm> renew-admin-certs --user=admin --password-file=admin.pwd --host=serverhost 
--port=8989 --validity=120

CLI リファレンスの renew-admin-certs(1) を参照してください。