ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris セキュリティーサービス開発ガイド Oracle Solaris 10 8/11 Information Library (日本語) |
1. Oracle Solaris の開発者向けセキュリティー機能 (概要)
3. PAM アプリケーションおよび PAM サービスの記述
8. Oracle Solaris 暗号化フレームワークの紹介
9. ユーザーレベルの暗号化アプリケーションとプロバイダの記述
一般に、証明書の要求はプロバイダの開発者が行います。しかし、システム管理者がサイトのセキュリティーポリシーの一環として、この要求を処理するように依頼されることもあります。
このコマンドは、証明書の要求に加えて非公開鍵の生成も行います。
% elfsign request -k private-keyfile -r certificate-request
非公開鍵の場所へのパス。この鍵は、あとでシステム管理者が Solaris 暗号化フレームワーク用にプロバイダに署名するときに必要となります。このディレクトリはセキュリティー保護しておく必要があります。Sun の証明書が保管されているディレクトリとは別のディレクトリを使用してください。
証明書要求へのパス
次の例は、一般的な要求が Sun にどのように送付されるかを示しています。
% elfsign request \ -k /securecrypt/private/MyCompany.private.key \ -r /reqcrypt/MyCompany.certrequest Enter Company Name / Stock Symbol or some other globally unique identifier. This will be the prefix of the Certificate DN:MYCORP The government of the United States of America restricts the export of "open cryptographic interfaces", also known as "crypto-with-a-hole". Due to this restriction, all providers for the Solaris cryptographic framework must be signed, regardless of the country of origin. The terms "retail" and "non-retail" refer to export classifications for products manufactured in the USA. These terms define the portion of the world where the product may be shipped. Roughly speaking, "retail" is worldwide (minus certain excluded nations) and "non-retail" is domestic only (plus some highly favored nations). If your provider is subject to USA export control, then you must obtain an export approval (classification) from the government of the USA before exporting your provider. It is critical that you specify the obtained (or expected, when used during development) classification to the following questions so that your provider will be appropriately signed. Do you have retail export approval for use without restrictions based on the caller (for example, IPsec)? [Yes/No] N If you have non-retail export approval for unrestricted use of your provider by callers, are you also planning to receive retail approval restricting which export sensitive callers (for example, IPsec) may use your provider? [Y/N] Y
非公開鍵は、指定したファイル名 (/etc/crypto/private/MyCompany.private.key ファイルなど) に格納されます。証明書要求も指定したファイル名 (/reqcrypt/MyCompany.certrequest ファイルなど) に格納されます。
証明書要求を次の電子メールアドレスに送信します。solaris-crypto-req_ww@oracle.com
Sun では、証明書要求ファイルから証明書を作成します。作成された証明書のコピーが返送されます。
安全のため、非公開鍵と証明書要求は別のディレクトリに格納するようにしてください。