署名付き証明書の要求
第三者の CA によって署名された Web サイトの証明書を取得することは、サイト識別情報に関して独立した監査役の確認を取得することと同等です。クライアントが信頼する CA が資格に「デジタル署名」していない限り、クライアントは、サイトが本当に安全だとは信頼できません。
Sun WebServer は現在、第三者による CA として VeriSign のみをサポートしています。Sun WebServer に付属しているツールを使用すると、証明書および証明書の署名要求 (CSR) を公共の Web サイトから VeriSign に送信できます。
署名付き Web サイト証明書を要求するには
-
ローカルのルート CA は資格を作成し、それを Sun WebServer マシンに格納しなければなりません。
詳細は、「資格の作成」および 「Web サイト上の SSL を有効にする」を参照してください。
-
スーパーユーザーとして (
root) Sun WebServer マシンにログインします。 -
send_request ユーティリティを実行して、CA に送信する証明書を作成します。
コマンド行で、証明書に署名してもらいたいサイトの IP アドレスを指定しなければなりません。移動可能な証明書は、-o を使って別のディレクトリ (このディレクトリはすでに存在していなければなりません) を指定しない限り、/tmp 中のファイルに格納されます。
# mkdir /var/SSL_CERTS/requests # /usr/http/bin/send_request -o /var/SSL_CERTS/requests 121.122.123.12
-
Web サイトの鍵パッケージパスワードを入力します。
このパスワードは、 ルート CA の鍵パッケージパスワードではありません。このパスワードは、setup_creds を実行したときに作成したパスワードです。
-
証明書の署名要求が指定ディレクトリに格納されるか、または cert.request という名前のファイル中の /tmp に格納されます。
このファイルの内容は、Web サイトから VeriSign に送信できます。
-
CA の手順に従って、署名された証明書を要求する必要があります。ある時点で、作成された証明書ファイルを CA に与える必要があります。
VeriSign 証明書を要求するには、http://www.verisign.com/idcenter/new/ にアクセスします。Sun Microsystems のサーバーソフトウェアのサーバー証明書を要求する必要があります。
-
CA が署名済み証明書を送信したら、それをファイルに保存します。
たとえば、応答を /tmp/121.122.123.12.cert に保存します。
注意 - CA からの証明書は、資格を格納するためにルート CA が使用するディレクトリに保存してはなりません。
-
ルートで /usr/http/bin/install_external を実行して、署名済み証明書を SSL に対して使用可能にします。
- © 2010, Oracle Corporation and/or its affiliates