1.5.2 本番運用のサーバ証明書を作成する
インターネット上でJP1/DH - Serverの運用を開始するには,サーバ証明書を入手してJP1/DH - Serverにインストールしておかなければなりません。
サーバ証明書を入手するには,まず秘密鍵とCSR(証明書発行要求)を準備します。
(1) 本番運用の秘密鍵を作成する
サーバ証明書の作成に必要な秘密鍵を作成します。
前提条件
この作業は,システム管理者がJP1/DH - ServerをインストールしたマシンにビルトインAdministratorユーザでログインし,コマンドプロンプトを起動して実施します。
操作手順
-
コマンドプロンプトを起動します。
コマンドプロンプトは,秘密鍵を作成するコマンドを格納している次の場所で起動してください。
インストールフォルダ\uCPSB\httpsd\sbin
-
引数を指定してopenssl.batコマンドを実行します。
openssl.bat genrsa -rand ファイル名〔:ファイル名…〕 〔-des|-des3〕 -out 鍵ファイル名 〔512 | 1024 | 2048 | 4096〕
引数は次のとおりです。
- -rand ファイル名〔:ファイル名…〕
-
ファイル名には乱数生成に利用する任意のファイルを1つだけ指定します。乱数生成用のファイルには,適切な大きさのファイルを指定してください。
ファイル名の指定例を次に示します。
インストールフォルダ\misc\digikatsuwide\digikatsuwide\WEB-INF\digikatsuwide.xml
- 〔-des|-des3〕
-
秘密鍵を暗号化する場合の暗号種別を指定します。
なお,この暗号種別は,JP1/DH - ServerとWebブラウザ間のSSL通信に使用する暗号種別とは関係ありません。
-des
暗号種別にDES(Data Encryption Standard)が選択されます。
-des3
暗号種別にトリプルDESが選択されます。この引数を指定すると,秘密鍵の作成時,証明書発行要求(CSR)の作成時,およびJP1/DH - Serverの起動時にパスワードの入力要求があります。
なお,JP1/DH - Serverの起動時のパスワード※の入力を自動化する設定については,マニュアル「JP1/Data Highway - Server 構築・運用ガイド」を参照してください。
注※ 入力できるパスワードは4〜64文字の範囲です。入力したパスワードの文字数が3文字以下の場合,4〜1023文字の範囲のパスワードを入力する旨のメッセージが表示されますが,その場合でも4〜64文字の範囲でパスワードを入力してください。なお,65文字以上のパスワードを指定した場合でも,エラーとならないため注意してください。
- -out 鍵ファイル名
-
作成した秘密鍵を出力するファイル名を指定します。
- 〔512 | 1024 | 2048 | 4096〕
-
作成する秘密鍵のビット長を指定します。指定を省略した場合は「2048」が使用されます。
ビット長が「1024」以下の鍵は危殆化が進んでおり安全性が低下しているため,ビット長は「2048」以上を指定します。
操作結果
秘密鍵ファイルが,-outで指定したファイル名で作成されます。
(2) 本番運用のCSR(証明書発行要求)を作成する
サーバ証明書の作成に必要なCSR(証明書発行要求)を作成します。
前提条件
-
この作業は,システム管理者がJP1/DH - ServerをインストールしたマシンにビルトインAdministratorユーザでログインし,コマンドプロンプトを起動して実施します。
-
事前に秘密鍵を作成しておく必要があります。
操作手順
-
コマンドプロンプトを起動します。
コマンドプロンプトは,CSRを作成するコマンドを格納している次の場所で起動してください。
インストールフォルダ\uCPSB\httpsd\sbin
-
引数を指定してopenssl.batコマンドを実行します。
openssl.bat req -new 〔-md5|-sha1|-sha224|-sha256|-sha384|-sha512〕 -key 鍵ファイル名 -out CSRファイル名
引数は次のとおりです。
- 〔-md5|-sha1|-sha224|-sha256|-sha384|-sha512〕
-
CSR作成時に使用する署名アルゴリズムを指定します。指定を省略した場合は「sha256」が使用されます。
・md5:md5WithRSAEncryptionを使用します。
・sha1:sha1WithRSAEncryptionを使用します。
・sha224:sha224WithRSAEncryptionを使用します。
・sha256:sha256WithRSAEncryptionを使用します。
・sha384:sha384WithRSAEncryptionを使用します。
・sha512:sha512WithRSAEncryptionを使用します。
- 重要
-
署名アルゴリズムの「md5」および「sha1」は危殆化が進んでおり安全性が低下しているため,それら以外の署名アルゴリズムを指定してください。
- -key 鍵ファイル名
-
事前に作成した秘密鍵のファイル名を指定します。
- -out CSRファイル名
-
作成したCSRを出力するファイル名を指定します。
対話形式で必要な項目を入力します。
C(Country Name) : 2文字の国番号(日本の場合はJP) S(State or Province Name) : 州名または地方名 L(Locality Name) : 都市名または地域名 O(Organization Name) : 組織名 OU(Organization Unit Name) : 組織単位名 CN(Common Name) : サーバのホスト名(FQDN) EA(Email Address) : Eメールアドレス
指定例を次に示します。
C(Country Name) : JP S(State or Province Name) : Tokyo L(Locality Name) : Shinagawa-ku O(Organization Name) : Hitachi,Ltd. OU(Organization Unit Name) : SoftwareDevelopment CN(Common Name) : jp1dhserver.foo1.foo2.co.jp EA(Email Address) : jp1dh-system@foo1.foo2.co.jp
操作結果
CSR(証明書発行要求)が,-outで指定したファイル名で作成されます。