証明書の管理

この項では、Directory ServerでSSL証明書を管理する方法について説明します。

Directory Server上でSSLを実行するには、自己署名付き証明書または公開鍵インフラストラクチャ(PKI)ソリューションを使用する必要があります。

PKIソリューションには、外部の認証局(CA)が関係します。PKIソリューションの場合、CA署名付きサーバー証明書が必要です。これには、公開鍵と秘密鍵の両方が含まれます。この証明書は、Directory Serverに固有のものです。また、公開鍵を含む信頼できるCA証明書も必要です。信頼できるCA証明書は、CAからのサーバー証明書がすべて信頼できることを示します。この証明書はCAルート鍵またはルート証明書と呼ばれることもあります。

この項で示す手順では、dsadmコマンドとdsconfコマンドを使用します。これらのコマンドについては、dsadm(1M)およびdsconf(1M)のマニュアル・ページを参照してください。

この節では、Directory Serverでの証明書の構成に関する次の情報について説明します。

• デフォルトの自己署名付き証明書を表示するには:

• 自己署名済証明書を管理するには:

• CA署名付きサーバー証明書をリクエストするには:

• CA署名付きサーバー証明書と信頼できるCA証明書を追加するには:

• 有効期限の切れたCA署名付きサーバー証明書を更新するには:

• CA署名付きサーバー証明書をエクスポートおよびインポートするには:

• 証明書データベース・パスワードの構成

• Directory Serverの証明書データベースのバックアップとリストア

デフォルトの自己署名付き証明書を表示するには:

Directory Serverインスタンスを初めて作成した場合、これには、デフォルトの自己署名付き証明書が含まれています。自己署名付き証明書は、公開鍵と秘密鍵のペアで、公開鍵が秘密鍵によって署名されています。自己署名付き証明書は、24か月間有効です。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

• デフォルトの自己署名付き証明書を表示するには、次のコマンドを使用します。

  $ dsadm show-cert instance-path defaultCert

自己署名済証明書を管理するには:

Directory Serverインスタンスを作成すると、デフォルトの自己署名付き証明書が自動的に用意されます。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. デフォルト設定以外の自己署名付き証明書を作成するには、次のコマンドを使用します。

   $ dsadm add-selfsign-cert instance-path cert-alias

   ここで、cert-aliasは、証明書を特定するために付ける名前です。

   このコマンドのオプションをすべて確認するには、dsadm(1M)のマニュアル・ページまたはコマンドラインのヘルプを参照してください。

   $ dsadm add-selfsign-cert --help

2. 自己署名付き証明書の期限が切れた場合は、サーバー・インスタンスを停止して、証明書を更新します。

   $ dsadm stop instance-path
   $ dsadm renew-selfsign-cert instance-path cert-alias

3. サーバー・インスタンスを再起動します。

   $ dsadm start instance-path

CA署名付きサーバー証明書をリクエストするには:

この手順は、Directory Serverで使用するCA署名付きサーバー証明書をリクエストし、インストールする方法を説明しています。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. CA署名付きサーバー証明書リクエストを生成します。

   $ dsadm request-cert [-i] [-W cert-pwd-file] {-S DN | --name name [--org org] \
     [--org-unit org-unit] [--city city] [--state state] [--country country]} \
     [--phone PHONE] [--email EMAIL] [--dns DOMAIN] [--keysize KEYSIZE] \
     [--sigalg SIGALG] [-F format] [-o output-file] instance-path

   たとえば、Example社のCA署名付きサーバー証明書をリクエストするには、次のコマンドを使用します。

   $ dsadm request-cert --name host1 --org Example --org-unit Marketing \
    -o my_cert_request_file /local/dsInst

   サーバーを完全に特定するために、認証局はこの例で示す属性すべてを必要とする場合があります。各属性の説明については、dsadm(1M)のマニュアル・ページを参照してください。

   dsadm request-certを使用して証明書をリクエストすると、出力形式としてASCIIを指定しないかぎり、作成される証明書リクエストはバイナリ証明書リクエストになります。ASCIIを指定すると、作成される証明書リクエストは、PEM形式のPKCS #10証明書リクエストになります。PEM(Privacy Enhanced Mail)は、RFC 1421～1424(http://www.ietf.org/rfc/rfc1421.txt)で指定されている形式で、base64でエンコードされた証明書リクエストをUS-ASCII文字で表すために使用されます。リクエストの内容は、次の例のようになります。

   -----BEGIN NEW CERTIFICATE REQUEST-----
   MIIBrjCCARcCAQAwbjELMAkGA1UBhMCVXMxEzARBgNVBAgTCkNBElGT1JOSUExLD
   AqBgVBAoTI25ldHNjYXBlIGNvb11bmljYXRpb25zIGNvcnBvcmF0aWuMRwwGgYDV
   QQDExNtZWxsb24umV0c2NhcGUuY29tMIGfMA0GCSqGSIb3DQEBAUAA4GNADCBiQK
   BgCwAbskGh6SKYOgHy+UCSLnm3ok3X3u83Us7u0EfgSLR0f+K41eNqqWRftGR83e
   mqPLDOf0ZLTLjVGJaHJn4l1gG+JDf/n/zMyahxtV7+T8GOFFigFfuxJaxMjr2j7I
   vELlxQ4IfZgwqCm4qQecv3G+N9YdbjveMVXW0v4XwIDAQABAAwDQYJKoZIhvcNAQ
   EEBQADgYEAZyZAm8UmP9PQYwNy4Pmypk79t2nvzKbwKVb97G+MT/gw1pLRsuBoKi
   nMfLgKp1Q38K5Py2VGW1E47/rhm3yVQrIiwV+Z8Lcc=
   -----END NEW CERTIFICATE REQUEST-----

   リクエストは、将来参照するためにセキュアな場所に保存する必要があります。更新のリクエストが必要な場合があります。

2. 手順に従って、証明書リクエストを認証局に転送します。

   認証局証明書を入手するプロセスは、使用する認証局によって異なります。商用CAのなかには、証明書を自動的にダウンロードできるWebサイトを備えているものもあります。その他のCAは、リクエストに応じて電子メールで証明書を送信します。

   証明書リクエストを送信したら、証明書に関するCAからの回答を待つ必要があります。リクエストに対する回答が届くまでの時間は、状況によって異なります。たとえば、CAが社内にある場合は、リクエストに対する回答は1～2日しかかからないこともあります。CAが社外にある場合は、数週間かかることもあります。

3. 認証局から受け取った証明書を保存します。

   証明書を安全な場所にバックアップします。これにより、証明書を失っても、このバックアップ・ファイルを使用して証明書を再インストールできます。証明書はテキスト・ファイルに保存できます。次に、PEM形式のPKCS #11証明書の例を示します。

   -----BEGIN CERTIFICATE-----
   MIICjCCAZugAwIBAgICCEEwDQYJKoZIhKqvcNAQFBQAwfDELMAkGA1UEBhMCVVMx
   IzAhBgNVBAoGlBhbG9a2FWaWxsZGwSBXaWRnZXRzLCBJbmMuMR0wGwYDVQQLExRX
   aWRnZXQgTW3FrZXJzICdSJyBVczEpMCcGAx1UEAxgVGVzdCBUXN0IFRlc3QgVGVz
   dCBUZXN0IFlc3QgQ0EswHhcNOTgwMzEyMDIzMzUWhcNOTgwMzI2MDIzMpzU3WjBP
   MQswCYDDVQQGEwJVUzEoMCYGA1UEChMfTmV0c2NhcGUgRGlyZN0b3J5VIFB1Ymxp
   Y2F0aW9uczEWMB4QGA1UEAxMNZHVgh49dq2tLNvbjTBaMA0GCSqGSIb3DQEBAQUA
   A0kAMEYkCQCksMR/aLGdfp4m0OiGgijG5KgOsyRNvwGYW7kfW+8mmijDtZaRjYNj
   jcgpF3VnlbxbclX9LVjjNLC5737XZdAgEDozYwpNDARBglghkgBhvhCEAQEEBAMC
   APAwHkwYDVR0jBBgwFAU67URjwCaGqZHUpSpdLxlzwJKiMwDQYJKoZIhQvcNAQEF
   BQADgYEAJ+BfVem3vBOPBveNdLGfjlb9hucgmaMcQa9FA/db8qimKT/ue9UGOJqL
   bwbMKBBopsDn56p2yV3PLIsBgrcuSoBCuFFnxBnqSiTS7YiYgCWqWaUA0ExJFmD6
   6hBLseqkSWulk+hXHN7L/NrViO+7zNtKcaZLlFPf7d7j2MgX4Bo=
   -----END CERTIFICATE-----

CA署名付きサーバー証明書と信頼できるCA証明書を追加するには:

この手順は、Directory Serverで使用するために、CA署名付きサーバー証明書と信頼できるCA証明書をインストールする方法を説明しています。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. CA署名付きサーバー証明書を追加します。

   $ dsadm add-cert instance-path cert-alias cert-file

   ここで、cert-aliasは証明書を特定するために付ける名前です。cert-fileは、PEM形式のPKCS #11証明書を含むテキスト・ファイルです。

   たとえば、CA署名付きサーバー証明書をインストールするには、次のようなコマンドを使用します。

   $ dsadm add-cert /local/dsInst server-cert /local/safeplace/serv-cert-file

   これで、証明書がインストールされますが、まだ信頼されていません。CA署名付きサーバー証明書を信頼するには、認証局証明書をインストールする必要があります。

2. 信頼できる認証局証明書を追加します。

   $ dsadm add-cert --ca instance-path cert-alias cert-file

   --caオプションは、証明書が信頼できる認証局証明書であることを示します。

   たとえば、認証局からの信頼できる証明書をインストールするには、次のようなコマンドを使用します。

   $ dsadm add-cert --ca /local/dsInst CA-cert /local/safeplace/ca-cert-file

3. (オプション)インストールした証明書を確認します。

   • サーバー証明書をすべて一覧表示して、有効期限と別名を表示するには、次のように入力します。

     $ dsadm list-certs instance-path

     たとえば、次のようになります。

     $ dsadm list-certs /local/ds1
     Enter the certificate database password:
     Alias       Valid from Expires on Self-   Issued by          Issued to
                                       signed?                                     
     ----------- ---------- ---------- ------- -----------------  -----------------
     serverCert  2000/11/10 2011/02/10 n       CN=CA-Signed Cert, CN=Test Cert,
                 18:13      18:13              OU=CA,O=com        dc=example,dc=com
     defaultCert 2006/05/18 2006/08/18 y       CN=host1,CN=DS,    Same as issuer
                 16:28      16:28              dc=example,dc=com
     2 certificates found

     デフォルトで、Directory Serverのインスタンスには、defaultCertと呼ばれるデフォルトのサーバー証明書が含まれます。Same as issuerは、デフォルト証明書が自己署名付きサーバー証明書であることを示します。

   • 信頼できるCA証明書をリストするには、次のように入力します。

     $ dsadm list-certs -C instance-path

     たとえば、次のようになります。

     $ dsadm list-certs -C /local/ds1
     Enter the certificate database password:
     Alias   Valid from Expires on Self-   Issued by           Issued to
                                   signed?                                   
     ------- ---------- ---------- ------- -----------------   --------------
     CA-cert 2000/11/10 2011/02/10 y       CN=Trusted CA Cert, Same as issuer
             18:12      18:12              OU=CA,O=com
     1 certificate found

   • 証明書の有効期限を含む、証明書の詳細を表示するには、次のように入力します。

     $ dsadm show-cert instance-path cert-alias

     たとえば、サーバー証明書を表示するには、次のように入力します。

     $ dsadm show-cert /local/ds1 "Server-Cert"
     
     Enter the certificate database password:
     Certificate:
         Data:
             Version: 3 (0x2)
             Serial Number: 2 (0x2)
             Signature Algorithm: PKCS #1 MD5 With RSA Encryption
             Issuer:
                 "CN=Server-Cert,O=Sun,C=US"
             Validity:
                 Not Before: Fri Nov 10 18:12:20 2000
                 Not After : Thu Feb 10 18:12:20 2011
             Subject:
                 "CN=CA Server Cert,OU=ICNC,O=Sun,C=FR"
             Subject Public Key Info:
                 Public Key Algorithm: PKCS #1 RSA Encryption
                 RSA Public Key:
                     Modulus:
                         bd:76:fc:29:ca:06:45:df:cd:1b:f1:ce:bb:cc:3a:f7:
                         77:63:5a:82:69:56:5f:3d:3a:1c:02:98:72:44:36:e4:
                         68:8c:22:2b:f0:a2:cb:15:7a:c4:c6:44:0d:97:2d:13:
                         b7:e3:bf:4e:be:b5:6a:df:ce:c4:c3:a4:8a:1d:fa:cf:
                         99:dc:4a:17:61:e0:37:2b:7f:90:cb:31:02:97:e4:30:
                         93:5d:91:f7:ef:b0:5a:c7:d4:de:d8:0e:b8:06:06:23:
                         ed:5f:33:f3:f8:7e:09:c5:de:a5:32:2a:1b:6a:75:c5:
                         0b:e3:a5:f2:7a:df:3e:3d:93:bf:ca:1f:d9:8d:24:ed
                     Exponent: 65537 (0x10001)
         Signature Algorithm: PKCS #1 MD5 With RSA Encryption
         Signature:
             85:92:42:1e:e3:04:4d:e5:a8:79:12:7d:72:c0:bf:45:
             ea:c8:f8:af:f5:95:f0:f5:83:23:15:0b:02:73:82:24:
             3d:de:1e:95:04:fb:b5:08:17:04:1c:9d:9c:9b:bd:c7:
             e6:57:6c:64:38:8b:df:a2:67:f0:39:f9:70:e9:07:1f:
             33:48:ea:2c:18:1d:f0:30:d8:ca:e1:29:ec:be:a3:43:
             6f:df:03:d5:43:94:8f:ec:ea:9a:02:82:99:5a:54:c9:
             e4:1f:8c:ae:e2:e8:3d:50:20:46:e2:c8:44:a6:32:4e:
             51:48:15:d6:44:8c:e6:d2:0d:5f:77:9b:62:80:1e:30
         Fingerprint (MD5):
             D9:FB:74:9F:C3:EC:5A:89:8F:2C:37:47:2F:1B:D8:8F
         Fingerprint (SHA1):
             2E:CA:B8:BE:B6:A0:8C:84:0D:62:57:85:C6:73:14:DE:67:4E:09:56
     
         Certificate Trust Flags:
             SSL Flags:
                 Valid CA
                 Trusted CA
                 User
                 Trusted Client CA
             Email Flags:
                 User
             Object Signing Flags:
                 User

有効期限の切れたCA署名付きサーバー証明書を更新するには:

CA署名付きサーバー証明書(公開鍵と秘密鍵)の有効期限が切れた場合は、次の手順に従って更新します。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. 認証局から更新されたCA署名付きサーバー証明書を入手します。
2. 更新された証明書を受け取ったら、サーバー・インスタンスを停止して、証明書をインストールします。

   $ dsadm stop instance-path
   $ dsadm renew-cert instance-path cert-alias cert-file

3. サーバー・インスタンスを再起動します。

   $ dsadm start instance-path

CA署名付きサーバー証明書をエクスポートおよびインポートするには:

場合によって、後で証明書をインポートできるように、証明書の公開鍵と秘密鍵をエクスポートすることがあります。たとえば、別のサーバーで使用する証明書が必要な場合があります。

この手順のコマンドは、"cn=*,o=example"のようなワイルドカードを含む証明書で使用できます。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. 証明書をエクスポートします。

   $ dsadm export-cert [-o output-file] instance-path cert-alias

   たとえば、次のようになります。

   $ dsadm export-cert -o /tmp/first-certificate /local/ds1 "First Certificate"
   $ dsadm export-cert -o /tmp/first-ca-server-certificate /local/ds1/ defaultCert
   
   Choose the PKCS#12 file password:
   Confirm the PKCS#12 file password:
   
   $ ls /tmp
   first-ca-server-certificate
    

2. 証明書をインポートします。

   $ dsadm import-cert instance-path cert-file

   たとえば、サーバー・インスタンスに証明書をインポートするには、次のように入力します。

   $ dsadm import-cert /local/ds2 /tmp/first-ca-server-certificate
   Enter the PKCS#12 file password:
    

3. (オプション)サーバーに証明書をインポートしたら、インポートした証明書を使用するようサーバーを構成します。

   $ dsconf set-server-prop -e -h host -p port ssl-rsa-cert-name:server-cert

証明書データベース・パスワードの構成

デフォルトで、Directory Serverは保存されたパスワードを使用してSSL証明書データベースのパスワードを内部的に管理します。証明書を管理する場合に、ユーザーは証明書パスワードを入力したり、パスワード・ファイルを指定したりする必要はありません。パスワードは暗号化されているのではなく、非表示になっているだけなので、このオプションはあまりセキュアではありません。

より安全に証明書の使用を管理する場合には、コマンドラインでユーザーがパスワード入力を求められるようにサーバーを構成できます。この場合、ユーザーはautostart、backup、disable-service、enable-service、info、reindex、restoreおよびstop以外のdsadmのすべてのサブコマンドに対して証明書データベースのパスワードを入力する必要があります。証明書データベースは、ディレクトリinstance-path/aliasにあります。

ユーザーが証明書のパスワード入力を求められるようにサーバーを構成するには:

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. サーバーを停止します。

   $ dsadm stop instance-path

2. パスワード・プロンプト・フラグをonに設定します。

   $ dsadm set-flags instance-path cert-pwd-prompt=on

   新しい証明書のパスワードを選択するよう求められます。

3. サーバーを起動します。

   $ dsadm start instance-path

Directory Serverの証明書データベースのバックアップとリストア

Directory Serverのインスタンスをバックアップする場合、Directory Serverの構成と証明書をバックアップします。バックアップされた証明書はarchive-path/aliasディレクトリに格納されます。

Directory Serverのバックアップとリストアの方法については、「障害時リカバリ用のバックアップを作成するには:」を参照してください。