Web サイトの資格を作成するには、ユーザーのサイト上でルート CA を作成する必要があります。ルート CA のユーザーは、ユーザー自身の資格を作成し、次にその資格を使用して鍵パッケージを作成しネットワーク上の Web サーバーの証明書に署名します。資格は、フェデレーテッドネーミングサービス (FNS) に格納して他のマシンから容易にアクセスできるようにしたり、またはルート CA マシン上のファイルにのみ格納してアクセスを制限したりできます。デフォルトでは資格は、/var/fn に格納されます。
(資格が作成される) ルート CA ホストは、Sun WebServer と同じマシンである必要はありません。むしろ、セキュリティ上の理由からルート CA の実行は、別のマシン上で行うか、ネットワークアクセスが全く行われないマシン上で行うことをお勧めします。
上記手順は自己署名による証明書の場合にのみ行う必要があり、第三者の証明書のみを使用する場合は行う必要はありません。
ルート CA ホストでは、root
(UID 0) を除く任意のユーザー名を使用してルート CA ユーザーになることができます。ルート CA ユーザーは、Web サイトの資格を作成できる唯一のユーザーです。ルート CA ユーザーは自分専用のパスワードで保護された資格を作成し、その資格下、自身が作成したすべての証明書に署名できます。
ルート CA 資格は、識別名 (DN) エントリにバインド (連結) されています。すべての資格は、識別名にバインド (連結) されています。ルート CA 識別名には、以下の属性を使用します。
属性タイプ | 略語 | 例 |
---|---|---|
一般名 | cn | cn=rootca |
Email アドレス | em | em=rootca@A.net |
シリアル番号 | serial | serial=no12345 |
部署 | ou | ou=web |
組織名 | o | o=A.net |
所在地 | l | l=internet |
州名 | st | st=California |
国名 | c | c=US |
識別名では属性の順序が重要です。識別名は最も固有性の高い属性で始まり、最も固有性の低い属性で終わらなければなりません。属性は、最も固有性の高いもの (一般名) から最も固有性の低いもの (国名) まで順に示されています。
すべての資格は、ルート CA ユーザーが所有するディレクトリに格納されます (第三者が読み取ることはできません)。ルート CA ユーザーの資格 (および各 Web サイトの資格) は、フェデレーテッドネーミングサービス (FNS) を介して取得することができます。
SSL または鍵パッケージを使用するすべてのコンピュータには、セキュリティツールパッケージをインストールする必要があります。以下の条件を満たすマシン ( ルート CA ホスト) が少なくとも 1 つ存在しなければなりません。
ルート CA のユーザー名が格納されている
ルート CA の資格が格納されている
FNS が正しくインストールされている
ルート CA は Web サイトの資格を作成し、このホストに格納します。
ルート CA ホスト上で Sun WebServer を動作させる必要はありません。Sun WebServer マシンは、ファイルを ルート CA ホストからコピーすることで、このマシンがホストしている Web サイトの資格にアクセスできます。