Sun ONE logo     前へ     目次     索引     次へ     
Sun ONE Portal Server, Secure Remote Access 6.0 インストールガイド



第 4 章   SSL 証明書のインストール


この章では、Secure Remote Access のインストール後に SSL 証明書をインストールする方法について説明します。

この章には、次の節があります。



SSL 証明書の概要

SSL 証明書は、公開キーと非公開キーの組み合わせを使用して、暗号化と複合化を行います。 ゲートウェイをインストールするときに証明書のインストールを選択すると、自己署名付き証明書が生成され、インストールされます。 インストール後に証明書を生成または取得して、インストールされている証明書と置換することもできます。 インストール時に証明書のインストールを選択していない場合には、自己署名付き証明書を生成してインストールすることも、あとで認証局 (CA) から取得した証明書をインストールすることもできます。

Secure Remote Access に用意されている certadmin というツールを使用すると、SSL 証明書を管理することができます。

詳細については、『Sun ONE Portal Server, Secure Remote Access 6.0 Administration Guide』の「Working With Certificates」を参照してください。



ゲートウェイをインストールするたびに、SSL 証明書を生成してインストールする必要があります。





自己署名付き証明書の生成



SSL 通信を行うサーバとゲートウェイコンポーネントに証明書を生成する必要があります。


インストール後に自己署名付き証明書を生成するには



certadmin は、複数バイトのエントリをサポートしていません。 certadmin ツールを開始して質問が表示されたときに、複数バイトの値で応答すると、certadmin は値を拒否します。

他のユーティリティで複数バイトのエントリを使用して証明書署名要求 (CSR) を発行した場合には、certadmin は要求に署名し、証明書を処理します。



  1. 証明書を生成するゲートウェイコンピュータで、root ユーザとして certadmin スクリプトを実行します。

    インストールするディレクトリ/SUNWps/bin/certadmin -n プロファイル名

    証明書管理メニューが表示されます。


    1) 自己署名証明書を生成
    2) 証明書署名要求 (CSR) を生成
    3) ルート CA 証明書を追加
    4) 認証局 (CA) から証明書をインストール
    5) 証明書の信頼属性を変更 (PDC を使用する場合など)
    6) ルート CA 証明書一覧を表示
    7) すべての証明書を表示
    8) 終了
    -------------------------------------

    選択: [8] 1

  2. 1」を入力して、自己署名付き証明書を生成します。

    証明書管理スクリプトが、既存のデータベースファイルを維持するかどうかを確認します。


    既存の証明書データベースファイルを保存しますか? [y]/n

  3. y」と応答すると、組織固有の情報、トークン名、証明書の名前を入力するように指示されます。

    ワイルドカードを使用する場合には、ホストの完全修飾 DNS 名に * を指定する必要があります。 たとえば、ホストの完全修飾 DNS 名が abc.sesta.com の場合、*.sesta.com と指定します。 sesta.com ドメイン内のすべてのホスト名で、生成された証明書が有効になります。




    このホストの完全修飾 DNS 名を指定してください。 [host_name.domain_name]
    組織名はなんですか (例: 会社)? []
    組織の単位の名前はなんですか (例: 部)? []
    都市名または地域名はなんですか? []
    州または地域名を指定してください。省略形は使用できません。 []
    この単位の 2 文字の国番号はなんですか? []
    デフォルトの内部 (ソフトウェア) 暗号化モジュールを使用しない場合にはトークン 名が必要です。たとえば、暗号化カードなどを使用する場合には、トークン名を一覧 表示できます: modutil -dbdir /etc/opt/SUNWps/cert/default -list);
    そうでない場合は、Return キーを押してください。
    トークン名を入力してください。[]
    この証明書の名前を入力してください。

    トークン名 (デフォルトでは空) と証明書の名前は、/etc/opt/SUNWps/cert の下の .nickname ファイルに格納されます。

  4. 「既存の証明書データベースファイルを保存しますか?」という質問に「n」と応答すると、オリジナルの証明書ディレクトリがバックアップされ、組織固有の名前、トークン名、証明書の名前を入力するように要求されます。

    また、パスフレーズの入力も要求されます。 新しい証明書、キー、暗号化モジュール データベース ファイルのセットが作成されるため、パスフレーズが必要になります。 パスフレーズは、/etc/opt/SUNWps/cert の下の .jsspass ファイルに格納されます。


    パスフレーズを入力してください。[]

    自己署名付き証明書が生成され、プロンプトに戻ります。

  5. 証明書を有効にするために、ゲートウェイを再起動します。

    ゲートウェイを再起動するには、次のコマンドを入力します。

    インストールするディレクトリ/SUNWps/bin/gateway -n 新しいプロファイル名 start



認証局から取得した証明書のインストール

認証局 (CA) から証明書を取得してインストールするには、次の手順で行います。

  1. 証明書署名要求 (CSR) を発行するには

  2. CA から証明書を取得するには

  3. CA から取得した証明書をインストールするには


証明書署名要求 (CSR) を発行するには

CA から証明書を取得する前に、CA が必要とする情報を含む証明書署名要求を発行する必要があります。

  1. root ユーザとして certadmin スクリプトを実行します。

    インストールするディレクトリ/SUNWps/bin/certadmin -n プロファイル名

    証明書管理メニューが表示されます。


    1) 自己署名証明書を生成
    2) 証明書署名要求 (CSR) を生成
    3) ルート CA 証明書を追加
    4) 認証局 (CA) から証明書をインストール
    5) 証明書の信頼属性を変更 (PDC を使用する場合など)
    6) ルート CA 証明書一覧を表示
    7) すべての証明書を表示
    8) 終了

    選択: [8] 2

  2. メニューで「2」を入力して、証明書署名要求 (CSR) を発行します。

    組織固有の情報、Webmaster の電子メールアドレス、電話暗号、トークン名などの入力が要求されます。

    ホストの完全修飾 DNS 名を指定してください。


    このホストの完全修飾 DNS 名を指定してください。[snape.sesta.com]
    組織名はなんですか (例: 会社)? []
    組織の単位の名前はなんですか (例: 部)? []
    都市名または地域名はなんですか? []
    州または地域名を指定してください。省略形は使用できません。 []
    この単位の 2 文字の国番号はなんですか? []


    証明書が生成されたマシンの Webmaster の連絡先を入力してください。

    このサーバの管理者 / Webmaster の電子メールアドレスを入力してください。
    このサーバの管理者 / Webmaster の電話番号を指定してください。

    デフォルトの内部 (ソフトウェア) 暗号化モジュールを使用しない場合にはトークン 名が必要です。たとえば、暗号化カードなどを使用する場合には、トークン名を一覧 表示できます: modutil -dbdir /etc/opt/SUNWps/cert/default -list); そうでない場合は、Return キーを押してください。

    トークン名を入力してください。 []

  3. 必要な情報をすべて入力します。



    Webmasterの電子メールアドレスと電話番号はブランクにしないでください。 この情報は、有効な CSR を取得するために必要です。



生成された CSR は、/tmp/csr.ホスト名ファイルに格納されます。 CSR は画面にも表示されます。 CA から証明書を取得するときに、CSR を直接コピーして貼り付けることができます。


CA から証明書を取得するには

証明書署名要求 (CSR) を生成した後で、CSR を使用して CA から証明書を取得する必要があります。

  1. 認証局の Web サイトに移動して、証明書を取得します。

  2. CA の要求に従って、「証明書署名要求 (CSR) の発行」で取得した CSR を提供します。 CA から要求された情報がほかにある場合には、その情報を提供してください。

    CA から証明書を受信し、ファイルに保存します。 ファイルに証明書を保存するときには、"BEGIN CERTIFICATE" という行と "END CERTIFICATE" 行も保存してください。

    次の例では、実際の証明書データは省略しています。


    -----BEGIN CERTIFICATE-----
    証明書の内容...
    ----END CERTIFICATE-----


CA から取得した証明書をインストールするには

certadmin スクリプトを使用して、CA から取得した証明書を /etc/opt/SUNWps/cert にあるローカルのデータベースファイルにインストールします。

  1. root ユーザとして certadmin スクリプトを実行します。

    インストールするディレクトリ/SUNWps/bin/certadmin -n プロファイル名

    証明書管理メニューが表示されます。


    1) 自己署名証明書を生成
    2) 証明書署名要求 (CSR) を生成
    3) ルート CA 証明書を追加
    4) 認証局 (CA) から証明書をインストール
    5) 証明書の信頼属性を変更 (PDC を使用する場合など)
    6) ルート CA 証明書一覧を表示
    7) すべての証明書を表示
    8) 終了
    選択: [8] 4

  2. メニューで「4」と入力し、CA から取得した証明書をインストールします。

    証明書ファイルの名前、証明書の名前、トークン名を入力するように要求されます。


    証明書のあるファイル名 (パス名も含む) を指定してください。
    この証明書の CSR を作成するときに使用したトークン名を入力してください。 []

  3. 必要な情報をすべて入力します。

    証明書が /etc/opt/SUNWps/cert にインストールされ、プロンプトに戻ります。

  4. 証明書を有効にするために、ゲートウェイを再起動します。 次のコマンドを実行します。

    インストールするディレクトリ/SUNWps/bin/gateway -n プロファイル名 start



ルート CA 証明書のインストール

ゲートウェイ証明書データベースに存在しない CA が署名した証明書がクライアントサイトにインストールされていると、SSL ハンドシェークに失敗します。

この問題を回避するには、証明書データベースにルート CA 証明書をインポートする必要があります。 これにより、この CA はゲートウェイに認識されます。

CA の Web サイトをブラウズして、その CA のルート証明書を取得します。 certadmin ユーティリティを実行するときに、ルート証明書のファイル名とパスを指定する必要があります。


ルート CA 証明書をインポートするには

  1. root ユーザとして certadmin スクリプトを実行します。

    インストールするディレクトリ/SUNWps/bin/certadmin -n プロファイル名

    証明書管理メニューが表示されます。


    1) 自己署名証明書を生成
    2) 証明書署名要求 (CSR) を生成
    3) ルート CA 証明書を追加
    4) 認証局 (CA) から証明書をインストール
    5) 証明書の信頼属性を変更 (PDC を使用する場合など)
    6) ルート CA 証明書一覧を表示
    7) すべての証明書を表示
    8) 終了
    選択: [8] 3

  2. 証明書管理メニューで「3」を選択します。

  3. ルート証明書のあるファイル名を入力し、証明書の名前を入力します。

    ルート CA 証明書が証明書データベースに追加されます。



    証明書の詳細は、gwcertutil ツールで確認できます。 これは、NSS/JSS から提供された certutil ツールのラッパーです。




前へ     目次     索引     次へ     
Copyright 2002 Sun Microsystems, Inc. All rights reserved.

最終更新日 2002 年 9 月 23 日