6.13.2 サーバ側のSSL通信環境のセットアップ
SSL通信を使用するためにサーバ側で必要となる秘密鍵の作成や,サーバ証明書およびルート証明書の発行について説明します。作業の流れは次のとおりです。
-
秘密鍵の作成
-
CSR(証明書署名要求)の作成
-
サーバ証明書およびルート証明書の発行
-
秘密鍵,サーバ証明書,およびルート証明書の配置
秘密鍵およびCSR(証明書署名要求)の作成には,OpenSSLのコマンドを使用します。OpenSSLのコマンドについては,「15. コマンド」の「openssl」を参照してください。
- 〈この項の構成〉
(1) 秘密鍵を作成する
-
openssl genrsaコマンドで秘密鍵を作成する。
2,048ビットの秘密鍵を作成します。コマンド実行例を次に示します。
openssl genrsa -out 秘密鍵ファイル名
(2) CSR(証明書署名要求)を作成する
-
openssl reqコマンドでCSR(証明書署名要求)を作成する。
作成した秘密鍵を指定してCSR(証明書署名要求)を作成します。1年間有効な証明書のCSR(証明書署名要求)を作成する場合のコマンド実行例を次に示します。
openssl req -new -days 365 -key 秘密鍵ファイル名 -out CSRファイル名
-
証明書に登録するDN(識別名情報)を対話形式で入力する。
コマンドプロンプト画面の入力例:
C:\Program Files (x86)\Hitachi\JP1Base\ssl_\32mt\bin>openssl req -new -days 365 -key server.key -out server.csr Loading 'screen' into random state - done You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Kanagawa Locality Name (eg, city) []:Yokohama Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hitachi Organizational Unit Name (eg, section) []:JP1 Common Name (e.g. server FQDN or YOUR name) []:hostjp1.example.com Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
CSR(証明書署名要求)が作成されます。
(3) サーバ証明書およびルート証明書の発行を申請する
作成したCSR(証明書署名要求)をCA(認証局)に送付して,サーバ証明書とルート証明書を発行してもらいます。
(4) 秘密鍵,サーバ証明書,およびルート証明書を配置する
秘密鍵,サーバ証明書,およびルート証明書をサーバ側の任意のフォルダに格納します。なお,各ファイルのファイル名および格納先は,「6.13.4 JP1/Baseの通信暗号化機能の設定」で作成するSSL通信定義ファイルの定義内容と合わせてください。