test

Oracle Solaris セキュリティーサービス開発ガイド

Procedureプロバイダに署名するための証明書を要求するには

一般に、証明書の要求はプロバイダの開発者が行います。しかし、システム管理者がサイトのセキュリティーポリシーの一環として、この要求を処理するように依頼されることもあります。

  1. elfsign request コマンドを使用して、Sun の証明書を要求します。

    このコマンドは、証明書の要求に加えて非公開鍵の生成も行います。


    % elfsign request -k private-keyfile -r certificate-request
    private-keyfile

    非公開鍵の場所へのパス。この鍵は、あとでシステム管理者が Solaris 暗号化フレームワーク用にプロバイダに署名するときに必要となります。このディレクトリはセキュリティー保護しておく必要があります。Sun の証明書が保管されているディレクトリとは別のディレクトリを使用してください。

    certificate-request

    証明書要求へのパス

    次の例は、一般的な要求が Sun にどのように送付されるかを示しています。


    % elfsign request \
-k /securecrypt/private/MyCompany.private.key \
-r /reqcrypt/MyCompany.certrequest

Enter Company Name / Stock Symbol or some other globally unique identifier.
This will be the prefix of the Certificate DN:MYCORP

The government of the United States of America restricts the export of 
"open cryptographic interfaces", also known as "crypto-with-a-hole".
Due to this restriction, all providers for the Solaris cryptographic
framework must be signed, regardless of the country of origin.

The terms "retail" and "non-retail" refer to export classifications 
for products manufactured in the USA.  These terms define the portion of the
world where the product may be shipped.  Roughly speaking, "retail" is 
worldwide (minus certain excluded nations) and "non-retail" is domestic 
only (plus some highly favored nations).  If your provider is subject to
USA export control, then you must obtain an export approval (classification)
from the government of the USA before exporting your provider.  It is
critical that you specify the obtained (or expected, when used during 
development) classification to the following questions so that your provider
will be appropriately signed.

Do you have retail export approval for use without restrictions based
on the caller (for example, IPsec)? [Yes/No] N

If you have non-retail export approval for unrestricted use of your
provider by callers, are you also planning to receive retail approval
restricting which export sensitive callers (for example, IPsec) may
use your provider? [Y/N] Y

    非公開鍵は、指定したファイル名 (/etc/crypto/private/MyCompany.private.key ファイルなど) に格納されます。証明書要求も指定したファイル名 (/reqcrypt/MyCompany.certrequest ファイルなど) に格納されます。

  2. 証明書要求を Sun に送付します。

    証明書要求を次の電子メールアドレスに送信します。 solaris-crypto-req@sun.com

    Sun では、証明書要求ファイルから証明書を作成します。作成された証明書のコピーが返送されます。

  3. Sun から受け取った証明書を /etc/crypto/certs ディレクトリに格納します。

    安全のため、非公開鍵と証明書要求は別のディレクトリに格納するようにしてください。