6.13.2 サーバ側のSSL通信環境のセットアップ
SSL通信を使用するためにサーバ側で必要となる秘密鍵の作成や,サーバ証明書およびルート証明書の発行について説明します。作業の流れは次のとおりです。
-
秘密鍵の作成
-
CSR(証明書署名要求)の作成
-
サーバ証明書およびルート証明書の発行
-
秘密鍵,サーバ証明書,およびルート証明書の配置
秘密鍵およびCSR(証明書署名要求)の作成には,OpenSSLのコマンドを使用します。OpenSSLのコマンドについては,「15. コマンド」の「openssl」を参照してください。
- 〈この項の構成〉
(1) 秘密鍵を作成する
-
opensslコマンドで秘密鍵を作成する。
コマンド実行例を次に示します。
楕円曲線暗号(ECC)を利用する場合
openssl ecparam -genkey -noout -name 暗号名※ -out 秘密鍵ファイル名
- 注※
-
作成される秘密鍵の長さは暗号名によって異なります。詳細については,OpenSSLの公式サイトのopenssl-ecparamを参照してください。
RSA暗号を利用する場合
2,048ビットの秘密鍵を作成します。
openssl genrsa -out 秘密鍵ファイル名
(2) 秘密鍵を変換する(楕円曲線暗号を利用する場合だけ)
-
openssl pkcs8コマンドで秘密鍵を変換する。
楕円曲線暗号を利用する場合は,秘密鍵をPKCS#8形式に変換します。コマンド実行例を次に示します。
openssl pkcs8 -topk8 -in 秘密鍵ファイル名 -out PKCS#8形式秘密鍵ファイル名 -nocrypt
(3) CSR(証明書署名要求)を作成する
-
openssl reqコマンドでCSR(証明書署名要求)を作成する。
作成した秘密鍵(楕円曲線暗号を利用する場合は,PKCS#8形式に変換する前の秘密鍵)を指定してCSR(証明書署名要求)を作成します。1年間有効な証明書のCSR(証明書署名要求)を作成する場合のコマンド実行例を次に示します。
openssl req -new -days 365 -key 秘密鍵ファイル名 -out CSRファイル名
-
証明書に登録するDN(識別名情報)を対話形式で入力する。
コマンドプロンプト画面の入力例:
C:\Program Files (x86)\Hitachi\JP1Base\ssl_\32mt\bin>openssl req -new -days 365 -key server.key -out server.csr Loading 'screen' into random state - done You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Kanagawa Locality Name (eg, city) []:Yokohama Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hitachi Organizational Unit Name (eg, section) []:JP1 Common Name (e.g. server FQDN or YOUR name) []:hostjp1.example.com Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
CSR(証明書署名要求)が作成されます。
(4) サーバ証明書およびルート証明書の発行を申請する
作成したCSR(証明書署名要求)をCA(認証局)に送付して,サーバ証明書とルート証明書を発行してもらいます。
(5) 秘密鍵,サーバ証明書,およびルート証明書を配置する
秘密鍵,サーバ証明書,およびルート証明書をサーバ側の任意のフォルダに格納します。12-10以降のJP1/Baseの通信暗号化機能(SSL通信)を有効にしている環境でエージェントホストを監視する場合は,マネージャーホストだけではなく,エージェントホストにも秘密鍵,サーバ証明書,およびルート証明書が必要です。
なお,各ファイルのファイル名および格納先は,「6.13.4 JP1/Baseの通信暗号化機能の設定」で作成するSSL通信定義ファイルの定義内容と合わせてください。