jpcwtool https create certreq
- 〈このページの構成〉
形式
jpcwtool https create certreq -f 証明書発行要求(CSR)出力ファイル
[-d 秘密鍵ファイル出力ディレクトリ]
[-des|-des3]
[-bits {2048|4096}]
[-sign {SHA256|SHA384|SHA512}]
[-noquery]
機能
jpcwtool https create certreqコマンドは,サーバ証明書を取得するための証明書発行要求(CSR)ファイル,秘密鍵ファイル,および秘密鍵のパスワードファイルを作成するコマンドです。対話形式で設定する内容を入力します。
このコマンドで作成したファイルを使用し,Webブラウザと監視コンソールサーバ間の暗号化通信を設定します。設定手順については,マニュアル「JP1/Performance Management 設計・構築ガイド」の,Webブラウザと監視コンソールサーバ間の暗号化通信の設定および変更の流れについて説明している個所を参照してください。
- 重要
-
このコマンドは,SAN(サブジェクト代替名)を出力しません。使用するブラウザがGoogle Chromeの場合,SANの定義がない証明書発行要求で作成したサーバ証明書は,信頼されない証明書と判断されます。そのため,SANの定義を追加した証明書発行要求を作成できるOpenSSLなどのツールで,サーバ証明書を作成してください。サーバ証明書を作成する際は,このコマンドに設定する入力項目に加えて,CN(Common Name)に指定する値をSANに設定してください。
コマンドを実行できるホスト
PFM - Web Console
実行権限
- Windowsの場合
-
Administrators権限を持つユーザー
- UNIXの場合
-
rootユーザー権限を持つユーザー
格納先ディレクトリ
- Windowsの場合
-
インストール先フォルダ\tools\
- UNIXの場合
-
/opt/jp1pcwebcon/tools/
引数
-f 証明書発行要求(CSR)出力ファイル
証明書発行要求(CSR)出力ファイルにはサーバ証明書を取得するための証明書発行要求(CSR)ファイルの名称の拡張子を除いて指定します。最大文字数は251バイトです。ファイルパスの指定方法については,「ファイルおよびディレクトリの指定方法」を参照してください。
指定した証明書発行要求(CSR)出力ファイル.csrファイルが作成されます。
-d 秘密鍵ファイル出力ディレクトリ
秘密鍵ファイル出力ディレクトリには秘密鍵ファイルを出力するディレクトリを指定します。最大文字数は234バイトです。ディレクトリの指定方法については,「ファイルおよびディレクトリの指定方法」を参照してください。
指定を省略した場合,暗号化通信ファイル格納フォルダに出力されます。
-desオプションまたは-des3オプションを指定した場合は,同じディレクトリに秘密鍵のパスワードファイルも出力されます。
出力されるファイル名を次に示します。
-
秘密鍵ファイル:jpcwhttpskey.pem
-
秘密鍵のパスワードファイル:jpcwhttpskeypass.dat
-des|-des3
秘密鍵にパスワードを設定する場合,秘密鍵ファイルの暗号化の種類を指定します。-desオプションを指定したときは,DES(Data Encryption Standard)になります。-des3オプションを指定したときは,トリプルDESになります。
また,このオプションを指定すると,このコマンドの実行中に,秘密鍵のパスワードの入力が4回求められます。
指定を省略した場合,秘密鍵にパスワードは設定されません。
-bits {2048|4096}
作成する秘密鍵のビット長を指定します。
指定を省略した場合,2048が仮定されます。
-sign {SHA256|SHA384|SHA512}
証明書発行要求ファイルを作成するときの署名アルゴリズムを指定します。
入力値ごとのアルゴリズムを次に示します。
-
SHA256:sha256WithRSAEncryption
-
SHA384:sha384WithRSAEncryption
-
SHA512:sha512WithRSAEncryption
指定を省略した場合,SHA256が仮定されます。
サーバ証明書を発行する認証局によっては,証明書発行要求の申請時に,あらかじめ署名アルゴリズムが決められていたり,申請するときに選択した署名アルゴリズムでサーバ証明書を発行したりします。
この場合,ここで指定した設定値は無視されます。
-noquery
このオプションを指定すると,コマンドの実行を中断する問い合わせメッセージが出力されなくなり,ユーザーの応答が不要になります。非対話形式で実行したい場合に指定します。
-fオプションまたは-dオプションで指定した出力先のファイルがすでにある場合,上書きされます。
指定を省略した場合,ファイルを上書きするか確認するメッセージが表示されます。
ファイルおよびディレクトリの指定方法
-
絶対パス,相対パスが指定できます。相対パスを指定した場合,カレントディレクトリを基点とします。
-
指定できる文字数はそれぞれの最大文字数を確認してください。相対パスで指定する場合,絶対パスに変換しても最大文字数以下になるようにしてください。
-
半角英数字,および次の記号が使用できます。
- # $ ( ) . / : @ [ ] _ { } + = 半角スペース
「( ) =」と半角スペースを含むパスは,ダブルクォーテーションで囲む必要があります。
パスを区切る場合だけは,\も使用できます。
コマンドの実行中に入力する情報
コマンドの実行中に入力が求められる情報を次に示します。
-
証明書発行要求ファイルに設定する内容
-
秘密鍵のパスワード(-desオプションまたは-des3オプションを指定した場合だけ)
それぞれの入力が求められる情報を次に示します。
|
項番 |
入力項目 |
内容 |
必須/ 任意※1 |
|---|---|---|---|
|
1 |
Country Name (2 letter code) |
国コード(国を示す大文字2文字のISO略語)。 |
必須 |
|
2 |
State or Province Name (full name) |
都道府県名など。 |
任意 |
|
3 |
Locality Name (eg,city) |
市町村名など。 |
任意 |
|
4 |
Organization Name (eg, company) |
会社名など。 |
任意 |
|
5 |
Organizational Unit Name (eg, section) |
部門名など。 |
任意 |
|
6 |
Common Name (eg, YOUR name) |
PFM - Web Consoleのホスト名。クラスタシステムで運用している場合は,論理ホスト名。※2 |
必須 |
|
7 |
Email Address※3 |
Eメールアドレス。 |
任意 |
|
8 |
A challenge password※3 |
認証局に対して証明書の破棄や無効化などを要求する場合に必要になるパスワード。※4 |
任意 |
|
9 |
An optional company name※3 |
項番4のOrganization Nameで指定したものと別の組織名を付与する場合に指定。※4 |
任意 |
- 注※1
-
証明書発行要求ファイルを提出する認証局ごとに,必須としている情報が異なることがあります。詳細は各認証局に確認してください。
- 注※2
-
証明書発行要求ファイルを提出する認証局によっては,Performance Managementでは対応していないFQDN形式のホスト名を求められることがあります。その場合,Common Nameには「PFM - Web Consoleのホスト名+ドメイン名」を設定してください。なお,監視コンソールに接続するWebブラウザの動作するホストでも設定が必要になります。詳細については,マニュアル「JP1/Performance Management 設計・構築ガイド」の監視コンソールを使用するためのWebブラウザの設定手順について説明している個所を参照してください。
また,Common Nameを「*(ワイルドカード)+ドメイン名」とすると,ワイルドカード証明書の証明書発行要求ファイルができます。ワイルドカード証明書を使用する場合は,認証局にワイルドカード証明書をサポートしているか確認してください。
- 注※3
-
jpcwtool https create provcertコマンドでは入力を求められません。
- 注※4
-
証明書発行要求ファイルを提出する認証局の指示に従って入力します。特に指示がない場合は,何も入力しません。
|
項番 |
入力項目 |
内容 |
必須/ 任意 |
|---|---|---|---|
|
1 |
Enter pass phrase for 秘密鍵のファイルパス |
秘密鍵のパスワード。 4回入力を求められるので,すべて同じパスワードを入力する。 |
必須 |
|
2 |
Verifying - Enter pass phrase for 秘密鍵のファイルパス |
||
|
3 |
Enter PEM pass phrase |
- 指定方法を次に示します。
-
-
証明書発行要求ファイルは,入力項目ごとに255文字まで入力でき,すべての入力項目の文字数を合わせて485文字まで入力できます。ただし,「, + =」を入力する場合は,出力したファイルには自動的にエスケープ文字「\」が設定されます。そのため,このエスケープ文字の文字数も考慮してください。
-
秘密鍵のパスワードは,4文字以上かつ64文字まで入力できます。
-
半角英数字が使用できます。大文字と小文字は区別されます。また,次の記号が使用できます。Eメールアドレスおよび秘密鍵のパスワードだけは「@」も使用できます。
' - ( ) , . / : ? + = 半角スペース
入力項目に「.(ピリオド)」だけを指定した場合,その項目には何も設定されません。
-
注意事項
-
上書き確認メッセージに「y」または「Y」で応答した場合,または-noqueryオプションを指定した場合,ファイルの出力に失敗すると,上書き対象のファイルは削除されます。
-
このコマンドは,同一ホスト上のjpcwtool httpsコマンドと同時に実行できません。
-
Windowsで作成した秘密鍵ファイルおよび秘密鍵のパスワードファイルは,UNIXでは使用できません。同様に,UNIXで作成したファイルはWindowsでは使用できません。
戻り値
|
0 |
正常終了した。 |
|
1 |
引数の指定に誤りがある。 |
|
2 |
コマンドの実行権限がない。 |
|
3 |
ファイルまたはディレクトリにアクセスできない。 |
|
4 |
発行要求ファイルの作成に失敗した。 |
|
5 |
秘密鍵ファイルの作成に失敗した。 |
|
6 |
秘密鍵のパスワードファイルの作成に失敗した(-des,-des3オプション指定時だけ)。 |
|
80 |
-noquery指定なし時の確認に対して,「Y」または「y」以外を指定して中断させた。 |
|
100 |
PFM - Web Consoleの環境が不正である。 |
|
200 |
メモリーが不足している。 |
|
203 |
ファイルの出力中にエラーが発生した。 |
|
210 |
ディスク容量が不足している。 |
|
255 |
予期しないエラーが発生した。 |
使用例
証明書発行要求ファイルを/tmpディレクトリにhttpsd.csrというファイル名で出力し,秘密鍵にパスワードを設定する場合の例を示します。パスワードを入力するとき,Windowsでは4回目だけ「*」が表示されます。
> ./jpcwtool https create certreq -f /tmp/httpsd -des3 372 semi-random bytes loaded Generating RSA private key, 1024 bit long modulus ...............++++++ ..............................++++++ e is 65537 (0x10001) Enter pass phrase for /opt/jp1pcwebcon/CPSB/httpsd/cone/ssl/server/jpcwhttpskey.pem: Verifying - Enter pass phrase for /opt/jp1pcwebcon/CPSB/httpsd/cone/ssl/server/jpcwhttpskey.pem: Enter pass phrase for /opt/jp1pcwebcon/CPSB/httpsd/cone/ssl/server/jpcwhttpskey.pem: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Kanagawa Locality Name (eg, city) []:Yokohama-shi Organization Name (eg, company) [Internet Widgits Pty Ltd]:HITACHI Organizational Unit Name (eg, section) []:WebSite Common Name (e.g. server FQDN or YOUR name) []:pfm.hitachi.co.jp Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Enter PEM pass phrase: KAVJT6553-I Output of the certificate signing request and private key ended normally.