ルート CA (証明書発行局) に証明書を要求し、証明書をインポートするには

次の手順で、証明書要求の生成、PKI (Public Key Infrastructure) の Web サイトへの要求の送信、証明書のインポートを行う方法について説明します。これらの手順では、証明書データベースが config ディレクトリに配置されていることを前提としています。

始める前に

証明書データベースとパスワードファイルは、両方とも同じディレクトリに常駐する必要があります。ここで示すデフォルトは config ディレクトリですが、別のディレクトリを選択することもできます。その場合は、このあとの手順を実行して別のパスパラメータを設定する必要があります。

1. スーパーユーザー (root) としてログインします。

2. bin ディレクトリに移動します。

   # cd /opt/SUNWics5/cal/bin

3. certutil を使用して、証明書発行局または PKI (Public Key Infrastructure) の Web サイトに適した証明書要求を作成します。次に例を示します。

   # ./certutil -R -s "CN=hostname.sesta.com, OU=hostname/ SSL Web Server, O=Sesta, C=US" -p "408-555-1234" -o hostnameCert.req -g 1024 -d /etc/opt/SUNWics5/config -f /etc/opt/SUNWics5/config/sslpassword.conf -z /etc/passwd -a

   ここで、“hostname.sesta.com” はサーバーホスト名です。

4. SSL Web サーバー用のテスト証明書を CA (証明書発行局) または PKI (Public Key Infrastructure) の Web サイトに要求します。hostnameCert.req ファイルの内容をコピーして証明書要求に貼り付けます。

   証明書への署名が完了し、準備が整った時点で通知が送信されてきます。

5. 証明書発行局証明書チェーンと SSL サーバー証明書をテキストファイルにコピーします。

6. 認証局証明書チェーンを証明書データベースにインポートし、認証チェーンを確立します。次に例を示します。

   # ./certutil -A -n "GTE CyberTrust Root" -t "TCu,TCu,TCuw" -d /etc/opt/SUNWics5/config -a -i /export/wspace/Certificates/CA_Certificate_1.txt -f /etc/opt/SUNWics5/config/sslpassword.conf # ./certutil -A -n "Sesta TEST Root CA" -t "TCu,TCu,TCuw" -d /etc/opt/SUNWics5/config -a -i /export/wspace/Certificates/CA_Certificate_2.txt -f /etc/opt/SUNWics5/config/sslpassword.conf

7. 署名された SSL サーバー証明書をインポートします。

   # ./certutil -A -n "hostname SSL Server Test Cert" -t "u,u,u" -d /etc/opt/SUNWics5/config -a -i /export/wspace/Certificates/SSL_Server_Certificate.txt -f /etc/opt/SUNWics5/config/sslpassword.conf

8. 証明書データベース内の証明書をリスト表示します。

   # ./certutil -L -d /etc/opt/SUNWics5/config

9. ics.conf ファイルで、署名された SSL サーバー証明書の SSL サーバーニックネームを設定します。例: “hostname SSL Server Test Cert”

   注: ics.conf ファイルの service.http.calendarhostname パラメータと service.http.ssl.sourceurl パラメータのホスト名は、SSL 証明書のホスト名と一致する必要があります (システムに複数のエイリアスがある場合)。例: calendar.sesta.com