test

Sun GlassFish Enterprise Server v3 管理ガイド

JSSE 証明書の管理

開発者プロファイルでは、Enterprise Server v3 はサーバー側で JSSE 形式を使用して証明書とキーストアを管理します。すべてのプロファイルで、クライアント側 (アプリケーションクライアントまたはスタンドアロン) は JSSE 形式を使用します。

J2SE SDK には JSSE (Java Secure Socket Extension) デジタル証明書を設定および操作することができる keytool ユーティリティーが付属しています。公開鍵と非公開鍵のペアおよび関連する証明書を管理し、通信しているピアの公開鍵を (証明書の形式で) キャッシュすることができます。

ここでは、次のテーマを取り上げます。

Procedurekeytool による証明書の生成

デフォルトでは、keytool ユーティリティーは実行元のディレクトリにキーストアファイルを作成します。

始める前に

keytool ユーティリティーを実行するには、シェル環境を設定して、J2SE の /bin ディレクトリがパスに含まれるようにする必要があります。そうでない場合は、ユーティリティーのフルパスをコマンド行に指定する必要があります。

  1. キーストアファイルおよびトラストストアファイルが格納されているディレクトリに移動します。

    証明書の生成は常に、キーストアファイルとトラストストアファイルが格納されているディレクトリ内で行います。デフォルトは、domain-dir/config です。

  2. 次のコマンド形式を使用して、キーストアファイル keystore.jks に証明書を生成します。


    keytool -genkey -alias keyAlias-keyalg RSA
 -keypass changeit
 -storepass changeit
keystore keystore.jks

    keyAlias には任意の一意名を指定します。キーストアまたは非公開鍵のパスワードをデフォルト (changeit) から変更している場合は、changeit を新しいパスワードで置き換えてください。デフォルトのキーパスワードエイリアスは s1as です。

    名前、組織、およびその他の情報を尋ねるプロンプトが表示されます。

  3. 次のコマンド形式を使用して、生成された証明書を server.cer ファイル (または、必要に応じて client.cer) にエクスポートします。


    keytool -export -alias keyAlias-storepass changeit
 -file server.cer
 -keystore keystore.jks

  4. 認証局によって署名された証明書が必要な場合は、keytool を使用して証明書に署名する」を参照してください。

  5. 次のコマンド形式を使用して、cacerts.jks トラストストアファイルを作成し、証明書をトラストストアに追加します。


    keytool -import -v -trustcacerts
-alias keyAlias
 -file server.cer
-keystore cacerts.jks
 -keypass changeit

    キーストアまたは非公開鍵のパスワードをデフォルト (changeit) から変更している場合は、新しいパスワードで置き換えてください。

    証明書に関する情報が表示され、証明書を信頼するかどうかを確認するプロンプトが表示されます。

  6. yes と入力し、続いて Enter キーを押します。

    次のような情報が表示されます。


    Certificate was added to keystore
[Saving cacerts.jks]

  7. 変更内容を適用するために、Enterprise Server を再起動します。「ドメインの再起動」を参照してください。

例 11–10 RSA 鍵アルゴリズムを使用した JKS キーストアへの自己署名付き証明書の作成

RSA は RSA Data Security, Inc. によって開発された、公開鍵暗号化テクノロジです。


keytool  -genkey -noprompt -trustcacerts -keyalg RSA -alias ${cert.alias} 
-dname  ${dn.name} -keypass ${key.pass} -keystore ${keystore.file} 
-storepass ${keystore.pass}
例 11–11 デフォルトの鍵アルゴリズムを使用した JKS キーストアへの自己署名付き証明書の作成


keytool -genkey -noprompt -trustcacerts -alias ${cert.alias} -dname  
${dn.name} -keypass ${key.pass} -keystore ${keystore.file} -storepass 
${keystore.pass}
例 11–12 JKS キーストア内の使用可能な証明書の表示


keytool -list -v  -keystore ${keystore.file} -storepass ${keystore.pass}
例 11–13 JKS キーストア内の証明書情報の表示


keytool -list -v  -alias ${cert.alias} -keystore ${keystore.file} 
-storepass ${keystore.pass}
参照

keytool の詳細は、keytool のドキュメント (http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html) を参照してください。

Procedurekeytool を使用して証明書に署名する

証明書の作成後、所有者は証明書に署名して偽造を防止する必要があります。E コマースのサイト、または ID の認証が重要であるサイトは、既知の証明書発行局 (CA) から証明書を購入できます。

注 –

認証に心配がない場合 (たとえば、非公開の安全な通信だけが必要な場合) は、自己署名付き証明書を使用して、CA 証明書の取得に必要な時間と費用を節約することができます。

  1. CA の Web サイトの指示に従って、証明書の鍵のペアを生成します。

  2. 生成された証明書の鍵のペアをダウンロードします。

    キーストアファイルとトラストストアファイルが格納されているディレクトリに、証明書を保存します。デフォルトは、domain-dir/config です。

  3. 使用しているシェルで、証明書を含むディレクトリに変更します。

  4. 次のコマンド形式を使用して、証明書をローカルキーストアと、必要な場合はローカルトラストストアにインポートします。


    keytool -import -v -trustcacerts
-alias keyAlias
 -file server.cer
-keystore cacerts.jks
 -keypass changeit
-storepass changeit

    キーストアまたは非公開鍵のパスワードがデフォルト以外の値である場合は、デフォルトのパスワード (changeit) を新しいパスワードで置き換えてください。

  5. 変更内容を適用するために、Enterprise Server を再起動します。「ドメインの再起動」を参照してください。

例 11–14 RFC/テキスト形式の証明書の JKS キーストアへのインポート

証明書は、バイナリエンコーディングではなく、RFC (Internet Request for Comments) 1421 標準によって定義された印刷可能なエンコーディング形式を使って格納されることがしばしばあります。Base 64 エンコーディングとしても知られるこの証明書形式を使用すれば、電子メールなどの機構を使って証明書をほかのアプリケーションにエクスポートしやすくなります。


keytool -import -noprompt -trustcacerts -alias ${cert.alias} -file 
${cert.file} -keystore ${keystore.file} -storepass ${keystore.pass}
例 11–15 JKS キーストアからの PKCS7 形式による証明書のエクスポート

「Public Key Cryptography Standards #7, Cryptographic Message Syntax Standard」によって定義された応答形式には、発行される証明書に加え、それをサポートする証明書チェーンも含まれます。


keytool -export -noprompt -alias ${cert.alias} -file ${cert.file} 
-keystore ${keystore.file} -storepass ${keystore.pass}
例 11–16 JKS キーストアからの RFC/テキスト形式による証明書のエクスポート


keytool -export -noprompt -rfc -alias ${cert.alias} -file 
${cert.file} -keystore ${keystore.file} -storepass ${keystore.pass}
参照

keytool の詳細は、keytool のドキュメント (http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html) を参照してください。

Procedurekeytool を使用して証明書を削除する

keytool -delete コマンドを使用して、既存の証明書を削除します。

  1. 次のコマンド形式を使用して、証明書を削除します。

    keytool -delete
 -alias keyAlias
 -keystore keystore-name
 -storepass password
例 11–17 JKS キーストアからの証明書の削除


keytool -delete -noprompt -alias ${cert.alias}  -keystore ${keystore.file} 
-storepass ${keystore.pass}
参照

keytool の詳細は、keytool のドキュメント (http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html) を参照してください。