1.3.4 クライアント証明書の取得の流れ
背景
取得クライアント証明書を取得するには、作成クライアント証明書を作成するためのプログラムが必要です。クライアント証明書を作成するためのプログラムは、OpenSSLのホームページ(http://www.openssl.org/)からダウンロードしてください。ここでは、OpenSSLがC:\opensslフォルダにインストールされているものとします。
またはSVPのOpenSSLを使用してください。SVPのOpenSSLの格納先ディレクトリはC:\Mapp\OSS\apache\bin\opensslです。
クライアント証明書は、PKCS#12形式に変換する必要があります。
以下に例として、OSにWindowsを使用して秘密鍵秘密鍵と公開鍵公開鍵を作成し、作成した公開鍵を鍵管理サーバのCA局に署名してもらうことでクライアント証明書を取得する手順を説明します。
操作手順
-
秘密鍵(.keyファイル)を作成します。
秘密鍵を作成する方法については、Hitachi Device Manager - Storage Navigatorユーザガイドを参照してください。
-
公開鍵(.csrファイル)を作成します。
公開鍵を作成する方法については、Hitachi Device Manager - Storage Navigatorユーザガイドを参照してください。
-
作成した公開鍵を鍵管理サーバのCA局に署名してもらうことで証明書を取得します。この証明書をクライアント証明書として使用します。
詳細については、Safenet KeySecure k460、Thales keyAuthority、またはEnterprise Secure Key Manager 4.1のマニュアルを参照してください。
-
Windowsのコマンドプロンプト上で、カレントディレクトリをPKCS#12形式のクライアント証明書ファイルを出力するフォルダがあるディレクトリに移動します。
-
秘密鍵(.keyファイル)およびクライアント証明書をこのフォルダに移動し、次に示すコマンドを実行します。なお、この例では次の条件でコマンドを実行しています。
・PKCS#12形式のクライアント証明書ファイルを出力するフォルダ:c:\key
・秘密鍵のファイル名:client.key
・クライアント証明書のファイル名:client.crt
OpenSSLをインストールした場合:C:\key>c:\openssl\bin\openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12
SVPのOpenSSLを使用する場合:C:\key>c:\Mapp\OSS\apache\bin\openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12
- ヒント
-
C:\Mapp:ストレージ管理ソフトウェア、およびSVPソフトウェアのインストールディレクトリを示します。
「C:\Mapp」以外をインストールディレクトリに指定した場合は、「C:\Mapp」を、指定のインストールディレクトリに置き換えてください。
-
任意のパスワードを入力します。
このパスワードは、PKCS#12形式のクライアント証明書をSVPにアップロードするときに使用します。
PKCS#12形式のクライアント証明書を作成するときに入力するパスワードは0文字以上128文字以下で、使用できる文字は次のとおりです。
-
数字(0から9)
-
英大文字(AからZ)
-
英小文字(aからz)
-
半角記号31種: ! # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
-
この例では、client.p12ファイルがc:\keyフォルダに作成されます。このclient.p12ファイルがPKCS#12形式に変換されたクライアント証明書です。