3.9.10 クライアント証明書を取得する(Syslogプロトコルを使用する場合)
背景
クライアント証明書を取得するには、クライアント証明書を作成するためのプログラムが必要です。
クライアント証明書を作成するためのプログラムは、OpenSSLのホームページ(http://www.openssl.org/)からダウンロードしてください。ここでは、OpenSSLがC:\opensslフォルダにインストールされているものとします。また、クライアント証明書は、PKCS#12形式に変換する必要があります。
次に例として、OSにWindowsを使用して秘密鍵と公開鍵を作成し、作成した公開鍵を鍵管理サーバの認証局に署名してもらうことでクライアント証明書を取得する手順を説明します。
この例では、client.p12ファイルがC:\keyフォルダに作成されます。client.p12ファイルがPKCS#12形式に変換されたクライアント証明書です。
操作手順
-
秘密鍵(.keyファイル)を作成します。
-
公開鍵(.csrファイル)を作成します。
-
作成した公開鍵をSyslogサーバの認証局に署名してもらい、証明書を取得します。
この証明書をクライアント証明書として使用します。
- 注意
-
-
証明書の有効期限が切れるとSyslogサーバと接続できなくなるため、証明書の有効期限にご注意ください。
-
認証局から中間証明書が提供された場合、中間証明書はSyslogサーバに設定してください。
-
-
Windowsのコマンドプロンプト上で、PKCS#12形式のクライアント証明書ファイルを出力するフォルダがあるディレクトリにカレントディレクトリを移動します。
-
秘密鍵(.keyファイル)およびクライアント証明書をこのフォルダに移動し、次に示すコマンドを実行します。なお、この例では次の条件でコマンドを実行しています。
-
PKCS#12形式のクライアント証明書ファイルを出力するフォルダ:C:\key
-
秘密鍵のファイル名:client.key
-
クライアント証明書のファイル名:client.crt
C:\key>c:\openssl\bin\openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12
-
-
任意のパスワードを設定します。
設定できるパスワードは0文字以上128文字以下で、使用できる文字は英数字と記号31種(! # $ % & ' ( ) * + ,- . / : ; < = > ? @ [ \ ] ^ _ ` { | }~)です。
- 注意
-
操作手順5.に記載のコマンドを実行後、パスワード入力を要求された段階でのパスワードとして最大50文字まで設定できます。51文字以上のパスワードを設定する場合は、コマンドオプションでパスワードを入力してください。
コマンド例を次に示します。XXXX~Xの部分にパスワードを指定してください。
C:\key>c:\openssl\bin\openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -password pass:XXXX~X