10.4.3 CA 署名証明書の生成
CA 署名証明書を取得してインストールするには,次の手順を実行します。
-
自己署名証明書を生成します。詳細については,「10.4.2 自己署名証明書の生成」を参照してください。
-
次のコマンドを実行して,CSR( 証明書署名要求)ファイルを作成します。
-
Windowsの場合:
%jdkdir%\bin\keytool.exe -keystore nnm.keystore -certreq -storepass nnmkeypass -alias <alias_name> -file CERTREQFILE
-
Linuxの場合:
$jdkdir/bin/keytool -keystore nnm.keystore -certreq -storepass nnmkeypass -alias <alias_name> -file CERTREQFILE
- メモ
-
keytoolコマンドの詳細については,Oracle社のホームページで「鍵と証明書の管理ツール」を検索してください。
-
-
CA 署名機関に CSR を送信します(CA 署名機関が証明書ファイルに署名して返します)。各種の CA 証明書についての詳細は,「(1) CA 署名証明書のタイプ」を参照してください。
-
これらの証明書が記録されているファイルを NNMi 管理サーバーの任意の場所にコピーします。
この例では,次の場所にファイルをコピーします。
-
Windowsの場合:%NnmDataDir%shared\nnm\certificates
-
Linuxの場合:$NnmDataDir/shared/nnm/certificates
-
-
nnm.keystoreファイルおよびnnm.truststoreファイルが存在する NNMi 管理サーバーのディレクトリに変更します。
-
Windowsの場合:%NnmDataDir%shared\nnm\certificates
-
Linuxの場合:$NnmDataDir/shared/nnm/certificates
-
-
次のコマンドを実行して,証明書をnnm.keystoreファイルにインポートします。
-
Windowsの場合:
%jdkdir%\bin\keytool.exe -importcert -trustcacerts -keystore nnm.keystore -storepass nnmkeypass -alias <alias_name> -file <myserver.crt>
-
Linuxの場合:
$jdkdir/bin/keytool -importcert -trustcacerts -keystore nnm.keystore -storepass nnmkeypass -alias <alias_name> -file <myserver.crt>
- メモ
-
-
上記のコマンドで,
-
<myserver.crt>は,署名付きサーバー証明書を保存した場所の絶対パスです。
-
<alias_name>は,証明書の生成時に指定したエイリアスです。
-
-
-storepassオプションを使用し,パスワードを入力する場合,キーストアープログラムはキーストアーパスワードの入力を要求しません。 -storepassオプションを使用しない場合は,キーストアーパスワードの入力を求められたときにnnmkeypassと入力してください。
-
-
-
証明書の信頼を確認するメッセージが表示されたら,yと入力します。
証明書をキーストアにインポートするときの出力例
このコマンドによる出力形式は次のとおりです。
Owner: CN=NNMi_server.example.com Issuer: CN=NNMi_server.example.com Serial number: 494440748e5 Valid from: Tue Oct 28 10:16:21 MST 2008 until: Thu Oct 04 11:16:21 MDT 2108 Certificate fingerprints: MD5: 29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02 SHA1: C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03 Trust this certificate? [no]: y Certificate was added to keystore
-
次のコマンドを実行して,証明書をnnm.truststoreファイルにインポートします。
-
Windowsの場合:
%jdkdir%\bin\keytool.exe -import -alias <alias_name> -keystore nnm.truststore -file <myca.crt>
-
Linuxの場合:
$jdkdir/bin/keytool -import -alias <alias_name> -keystore nnm.truststore -file <myca.crt>
- メモ
-
-
上記のコマンドで,
-
<myca.crt>は, CA 証明書を保存した場所の絶対パスです。
-
<alias_name>は,証明書の生成時に指定したエイリアスです。
-
-
-storepassオプションを使用し,パスワードを入力する場合,キーストアープログラムはキーストアーパスワードの入力を要求しません。 -storepassオプションを使用しない場合は,キーストアーパスワードの入力を求められたときにnnmkeypassと入力してください。
-
-
-
トラストストアーのパスワードの入力を求められたら,ovpassと入力します。
-
トラストストアーの内容を確認します。
-
Windowsの場合:
%jdkdir%\bin\keytool.exe -list -keystore nnm.truststore
-
Linuxの場合:
$jdkdir/bin/keytool -list -keystore nnm.truststore
トラストストアーのパスワードの入力を求められたら,ovpassと入力します。
トラストストアーの出力例
トラストストアーの出力形式は次のとおりです。
Keystore type: jks Keystore provider:SUN Your keystore contains 1 entry nnmi_ldap, Nov 14, 2008, trustedCertEntry, Certificate fingerprint (MD5):29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
- ヒント
-
トラストストアーには複数の証明書を含めることができます。
-
- 〈この項の構成〉
(1) CA 署名証明書のタイプ
- メモ
-
CA によって証明書が別のフォームで返される場合は,証明書チェーンとルート CA 証明書を取得する方法について,CA 提供者に問い合わせてください。なお,サポートしている証明書の形式は PEM (Privacy Enhanced Mail) 形式のみです。PEM 形式の証明書を入手してください。
認証機関(CA)からは次のどちらかが提供されます。
-
サーバー証明書(CA によって署名された NNMi 証明書)と 1 つ以上の CA 証明書が含まれる署名付きサーバー証明書ファイル。このセクションでは,署名付きサーバー証明書をmyserver.crtファイルとして示しています。
CA 証明書には,次のどちらかを指定できます。
-
ルート CA 証明書:サーバーおよびクライアントの証明書の署名について信頼できる機関を示します。
-
中間 CA 証明書:サーバーまたはユーザーではなく,ルート CA または中間 CA(それ自体が署名機関)のどちらかで署名される証明書。
- メモ
-
中間 CA 証明書を含め, NNMi サーバー証明書からルート CA 証明書までの証明書のリストは,証明書チェーンと呼ばれます。
-
-
署名付きサーバー証明書と,1 つ以上の CA 証明書が含まれる別のファイル。このセクションでは,署名付きサーバー証明書をmyserver.crtファイル,CA 証明書をmyca.crtファイルとして示しています。myserver.crtファイルは,1 つのサーバー証明書または証明書チェーンを含んでいる必要がありますが,myca.crtファイル内にあるルート CA 証明書を含んでいる必要はありません。
NNMi に新しい証明書を設定するには,証明書チェーンをnnm.keystoreファイルにインポートし,ルート CA 証明書をnnm.truststoreファイルにインポートする必要があります。サーバー証明書をnnm.keystoreファイルにインポートする場合はmyserver.crtファイルを使用し,CA 証明書をnnm.truststoreファイルにインポートする場合はmyca.crtファイルを使用します。
- メモ
-
CA によって証明書が別のフォームで返される場合は,別個の証明書チェーンとルート CA 証明書を取得する方法について, CA 提供者に問い合わせてください。
完全な証明書チェーンを含んでいる 1 つのファイルで提供された場合,そのファイルからルート CA 証明書フォームをmyca.crtファイルにコピーします。myca.crtファイルを使用してnnm.truststoreファイルへインポートすると,NNMi が証明書を発行した CA を信頼するようになります。
2 つのファイルで提供された場合,myca.crtファイルの内容をmyserver.crtファイルの末尾に追加します(ファイルに含まれていない場合)。また,余分な中間証明書がある場合は,それらをmyca.crtファイルからすべて削除します。これにより,完全な証明書チェーンを含んでいる 1 つのファイルmyserver.crtと,ルート CA 証明書を含んでいる 1 つのファイルmyca.crtファイルが生成されます。
- メモ
-
CA だけを使用している場合,一般にルート CA 証明書がnnm.truststoreファイルに追加されます。中間 CA またはサーバー証明書を nnm.truststoreファイルに追加すると,それらの証明書は明示的に信頼済みとなり,取り消しなどの追加情報についてのチェックはされません。 CA が要求する場合には,追加の証明書だけをnnm.truststoreファイルに追加してください。
CA 署名機関から受け取るファイルの例を次に示します。
独立サーバーで,複数の CA 証明書ファイルがある場合
-----BEGIN CERTIFICATE----- Sample/AVQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3JseGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw ................................................................ ................................................................ TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNbpSo6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt== -----END CERTIFICATE-----
結合サーバーで,1つのファイルに複数のCA証明書がある場合
-----BEGIN CERTIFICATE----- Sample1/VQQKExNQU0EgQ29ycG9yYXRpb24gTHRkMRAwDgYDVQQLEwdOZXR3b3JseGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVjdENsYXNzPWNSTERpc3RyaWJ1dGlw ................................................................ ................................................................ TZImiZPyLGQBGRYDaW50MRIwEAYKCZImiZPyLGQBGRYCc2cxEzARBgNVBAMTCmNbpSo6o/76yShtT7Vrlfz+mXjWyEHaIy/QLCpPebYhejHEg4dZgzWWT/lQt== -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Sample2/Gh0dHA6Ly9jb3JwMWRjc2cyLnNnLmludC5wc2FnbG9iYWwuY29tL0NlcRaOCApwwggKYMB0GA1UdDgQWBBSqaWZzCRcpvJWOFPZ/Be9b+QSPyDAfBgNVHSMC ................................................................ ................................................................ Wp5Lz1ZJAOu1VHbPVdQnXnlBkx7V65niLoaT90Eqd6laliVlJHj7GBriJ90uvVGuBQagggEChoG9bGRhcDovLy9DTj1jb3JwMWRjc2cyL== -----END CERTIFICATE-----