1.5.1 テスト運用のサーバ証明書を作成する
テスト運用の期間中に,サーバ証明書の代わりに使用する証明書を作成します。この証明書を自己署名サーバ証明書と呼びます。自己署名サーバ証明書の作成には,秘密鍵とCSR(証明書発行要求)が必要です。
(1) テスト運用の秘密鍵を作成する
自己署名サーバ証明書の作成に必要な秘密鍵を作成します。
前提条件
この作業は,システム管理者がJP1/DH - ServerをインストールしたマシンにビルトインAdministratorユーザでログインし,コマンドプロンプトを起動して実施します。
操作手順
-
コマンドプロンプトを起動します。
コマンドプロンプトは,秘密鍵を作成するバッチコマンドを格納している次の場所で起動してください。
インストールフォルダ\bin\
-
必要な引数を指定してselfsignedkeygen.batを実行します。
selfsignedkeygen.bat -out 秘密鍵ファイル名 〔-bits {512 | 1024 | 2048 | 4096}〕引数は次のとおりです。
- -out 秘密鍵ファイル名
-
作成した秘密鍵を出力するファイル名を指定します。
- 〔-bits {512 | 1024 | 2048 | 4096}〕
-
作成する秘密鍵のビット長を指定します。指定を省略した場合は「2048」が使用されます。
ビット長が「1024」以下の鍵は危殆化が進んでおり安全性が低下しているため,ビット長は「2048」以上を指定します。
操作結果
秘密鍵ファイルが,-outで指定したファイル名で作成されます。
(2) テスト運用のCSR(証明書発行要求)を作成する
自己署名サーバ証明書の作成に必要なCSR(証明書発行要求)を作成します。
前提条件
-
この作業は,システム管理者がJP1/DH - ServerをインストールしたマシンにビルトインAdministratorユーザでログインし,コマンドプロンプトを起動して実施します。
-
事前に秘密鍵を作成しておく必要があります。
操作手順
-
コマンドプロンプトを起動します。
コマンドプロンプトは,CSR(証明書発行要求)を作成するバッチコマンドを格納している次の場所で起動してください。
インストールフォルダ\bin\
-
必要な引数を指定してselfsignedcertreq.batを実行します。
selfsignedcertreq.bat -key 鍵ファイル名 -out CSRファイル名 -subject "サブジェクト"
引数は次のとおりです。
- -key 鍵ファイル名
-
事前に作成した秘密鍵のファイル名を指定します。
- -out CSRファイル名
-
作成したCSR(証明書発行要求)を出力するファイル名を指定します。
- -subject "サブジェクト"
-
サーバ証明書のサブジェクト名を指定します。
サーバ証明書のサブジェクト名の形式を次に示します。
"/C=2文字の国番号(日本の場合はJP)/ST=州名または地方名/L=都市名または地域名/O=組織名/OU=組織単位名/CN=サーバのホスト名(FQDN)"
サブジェクト名の指定例を次に示します。
"/C=JP/ST=Tokyo/L=Shinagawa-ku/O=HitachiLtd./OU=SoftwareDevelopment/CN=jp1dhserver.foo1.foo2.co.jp"
- 重要
-
サブジェクト名の値に使用できる文字は,半角英数字と次の記号です。
半角スペース,.(ピリオド),-(ハイフン),,(半角カンマ)
なお,半角スラッシュは使用できません。半角スラッシュを使用する場合は,全角に変更してください。
操作結果
CSR(証明書発行要求)が,-outで指定したファイル名で作成されます。
(3) テスト運用の自己署名サーバ証明書を作成する
自己署名サーバ証明書を作成します。
前提条件
-
この作業は,システム管理者がJP1/DH - ServerをインストールしたマシンにビルトインAdministratorユーザでログインし,コマンドプロンプトを起動して実施します。
-
事前に秘密鍵とCSR(証明書発行要求)を作成しておく必要があります。
操作手順
-
コマンドプロンプトを起動します。
コマンドプロンプトは,自己署名サーバ証明書を作成するバッチコマンドを格納している次の場所で起動してください。
インストールフォルダ\bin\
-
必要な引数を指定してselfsigned.batを実行します。
selfsigned.bat -in CSRファイル名 -out 証明書ファイル名 〔-sign {MD5|SHA1|SHA224|SHA256|SHA384|SHA512}〕 -signkey 鍵ファイル名 -days 有効期間日数
引数は次のとおりです。
- -in CSRファイル名
-
事前に作成したCSR(証明書発行要求)のファイル名を指定します。
- -out 証明書ファイル名
-
作成した自己署名サーバ証明書を出力するファイル名を指定します。
- 〔-sign {MD5|SHA1|SHA224|SHA256|SHA384|SHA512}〕
-
自己署名サーバ証明書を作成する際に使用する署名アルゴリズムを指定します。先のselfsignedcertreq.batでCSRファイルを作成したときに指定した署名アルゴリズムを指定します。
指定を省略した場合は「SHA256」が使用されます。
・MD5:md5WithRSAEncryptionを使用します。
・SHA1:sha1WithRSAEncryptionを使用します。
・SHA224:sha224WithRSAEncryptionを使用します。
・SHA256:sha256WithRSAEncryptionを使用します。
・SHA384:sha384WithRSAEncryptionを使用します。
・SHA512:sha512WithRSAEncryptionを使用します。
- 重要
-
署名アルゴリズムの「MD5」および「SHA1」は危殆化が進んでおり安全性が低下しているため,それら以外の署名アルゴリズムを指定してください。
- -signkey 鍵ファイル名
-
事前に作成した秘密鍵のファイル名を指定します。
- -days 有効期間日数
-
作成する自己署名サーバ証明書の有効期間を,日単位で指定します。なお,有効期間の開始日時は,コマンドの実行日時が自動的に設定され変更はできません。
操作結果
自己署名サーバ証明書が,-outで指定したファイル名で作成されます。
次の作業
-
自己署名サーバ証明書を使ってテスト運用を開始する場合は,ネットワーク構成を設定して自己署名サーバ証明書をJP1/DH - Serverにインストールします。
-
本番運用の準備をする場合は,サーバ証明書を作成します。
関連項目