セコムパスポートfor Web トップ
お申し込み手順
1 セコムトラストシステムズでの証明書発行審査内容のご確認

2 ドメイン所有者のご確認

3 お申込者とドメイン名使用者が異なる場合の手続き

4 鍵ペアおよびCSRの生成
5 お申込

6 必要書類のご用意およびご送付

セコムトラストシステムズでの証明書発行審査および作業

7 証明書・Webステッカーのダウンロード

8 証明書のインストール
9 Webステッカーの設定

10 契約料金振り込み 対応サーバ・ブラウザ、携帯電話について お客様組織別提出書類基準
リポジトリ
FAQ
用語解説
セコムパスポートfor Web 更新のお申し込み
新規のお申し込みを希望されるお客様
Back Next
4. Tomcatでの鍵ペアおよびCSR生成

Tomcat 4、 5.0、 5.56およびJRE 6のJSSEのみの対応です。 Tomcat 3については、 未対応です。

TomcatおよびJREは、 最新版に更新しておくことをおすすめします。

もしインストールされていれば、 Tomcat 4は、 PureTLSを優先します。 JSSEを使うときは、 server.xmlファイルでFactory要素のSSLImplementation属性の値を 「org.apache.tomcat.util.net.JSSEImplementation」 と明示するか、 PureTLSをアンインストールするか、 どちらかにしてください。

この文書では、 Unix版のJREでの操作例を掲載しています。 DOS版では、 実際の表記が異なります。

プラットホーム 変数置換 パス名 プロンプト 拡張子 ファイル連結コマンド
Unix ${変数名} /ディレクトリー名/ファイル名 #$ sh cat
DOS %変数名% ドライブ名:\ディレクトリー名\ファイル名 ドライブ名> bat type


鍵ストアや鍵ペアを生成する前に、 TomcatおよびJREを最新版に更新しておくことをおすすめします。 鍵ストアや鍵ペアの生成には、 keytoolというコマンドを使用して行います。
これは${JAVA_HOME}/binディレクトリーにインストールされているはずです (${JAVA_HOME}は、 JREを導入したディレクトリーです)。
鍵ストアや鍵ペアを生成するには、 次の手順に従い行なってください。

※このページは、 Tomcat 4、 5.0、 5.5、 6でJRE 6のJSSEを使用していることを前提に説明しています。 深刻な脆弱性も知られていますので、 古い版のご利用はおすすめめいたしません。

更新時も、 必ず鍵ペアやCSRを新たに生成してください。


 ※ウェブ・サーバー識別名 (DN) 情報入力時の注意点
ウェブ・サーバーの識別名 (DN) に、 以下の文字は使用できませんので、 ご注意ください。
! " # $ % & ( ) * / ; < > ? @ [ \ ] ^ _ ` { | } ~
&が含まれる場合は、 半角英語の and 等に置き換えてください。
各項目において、スペースのみの入力は控えてください。
スペースのみの入力項目がある場合、証明書が発行されません。
CSR 生成時は、 ウェブ・サーバーをホストしているコンピュータに管理者としてログインしていることを確認してください。

1. 鍵ペアの生成
1-1 鍵ペアの生成を始めるため、 次のようなコマンドを入力してください (お使いのブラウザによっては2行以上で表示、 印字されるかもしれませんが、 実際は1行です)。

部署 (Organizational Unit) 名のある場合
$ keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -keystore /your/keystore/filename

上のコマンド例では、 「tomcat」 という名前で、 1024ビットのRSA鍵ペアを生成し、 「/your/keystore/filename」 という名前の鍵ストア・ファイルに保存することを示しています (Tomcat 6では、 「tomcat」 以外の名前を鍵ペアにつけることもできます)。

注意: 現在利用中の鍵ペアのファイルに上書きしないよう、 ご注意ください。

部署 (Organizational Unit) 名のない場合
$ keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -keystore /your/keystore/filename -dname "CN=www.secomtrust.net, O=SECOM Trust Systems, L=Mitaka, ST=Tokyo, C=JP"

上のコマンド例では、 「tomcat」 という名前で、 1024ビットのRSA鍵ペアを生成し、 「/your/keystore/filename」 という名前の鍵ストア・ファイルに、 「CN=www.secomtrust.net, O=SECOM Trust Systems, L=Mitaka, ST=Tokyo, C=JP」 というウェブ・サーバー識別名 (DN) で保存することを示しています (Tomcat 6では、 「tomcat」 以外の名前を鍵ペアにつけることもできます)。

ここで、 「-dname」 の後には、 ウェブ・サーバー識別名 (DN) を指定します。 DNで指定する文字列と、 手順1-4のプロンプトの対応は、 次のとおりです。
=」 文字の後に指定する値については、 手順1-4のプロンプトの説明を参照してください。

  • CN=
    your first and last name
  • O=
    your organization
  • L=
    your City or Locality
  • ST=
    your State or Province
  • C=
    the two-letter country code for this unit
 注意: 現在利用中の鍵ペアのファイルに上書きしないよう、 ご注意ください。

1-2 プロンプトが表示されたら、 パスワードを入力してください。

Enter keystore password: changeit

上の入力例では、 「changeit」 というパスワードをつけたことを示しています。

注意: 古い版の場合、 入力したパスワードがエコーバックで表示されることがあります。 周囲に人のいる場合、 パスワードを不用意にのぞかれたりしないよう、 ご注意ください。

※重要: このパスワードは、 証明書のインストールに必要となる重要な情報です。 忘れることがないよう、 また、 他人に漏洩することがないよう、 何らかの方法で管理してください。
1-3 もし次のプロンプトが表示されたら、 パスワードを再入力してください。
Re-enter new password: changeit

上の入力例では、 「changeit」 というパスワードを再入力したことを示しています。

注意: 古い版の場合、 このプロンプトは出ないことがあります。
1-4 プロンプトが表示されたら、 証明書内に組み込むウェブ・サーバー識別名 (DN) 情報を入力してください。
What is your first and last name?
  [Unknown]:  www.secomtrust.net
What is the name of your organizational unit?
  [Unknown]:  Sales Dept.
What is the name of your organization?
  [Unknown]:  SECOM Trust Systems
What is the name of your City or Locality?
  [Unknown]:  Mitaka
What is the name of your State or Province?
  [Unknown]:  Tokyo
What is the two-letter country code for this unit?
  [Unknown]:  JP

更新用CSR生成時に指定するウェブ・サーバー識別名 (DN) 情報は、 前回申請した内容 (現在利用中の証明書DN) と同一にしてください。 組織名変更等により、 ウェブ・サーバー識別名情報が変更になる場合は、 新規のお申し込みとなります。
情報の入力にあたっては、次の点にご注意ください。

your first and last name
コモンネーム、 すなわちサーバーのURLに表示されるウェブ・サーバーの名前になります。
例えば、 SSLを行うウェブ・サイトのURLがwww.secom.co.jpの場合には

コモン・ネーム www.secom.co.jp
ドメイン名 secom.co.jp

となります。
この名称は、 証明書を申し込んだウェブ・サーバーのFQDN (Fully Qualified Domain Name) と同一でなければなりません。 ウェブ・サーバー名が証明書のコモンネームと一致しない場合、 ブラウザがサイトへの安全な接続を拒否する場合があります。
コモンネームに、 プロトコル特定子 (http://)、 ポート番号、 パス名は使用しないでください。 また、 「*」 や 「?」 のワイルドカード文字や、 IPアドレスは使用しないでください。
your organizational unit
部署名になります。
証明書を使用する部署又はグループの名前になります (この項目は省略可能です)。
your organization
組織名になります。
この情報は、 JPNIC/InterNIC等に登録されている 「Organization」 あるいは 「Registrant」 と同様になります。 もし、 お申込者とドメイン名所有者が異なる場合は、 お申し込みいただくお客様の組織名となります。 この項目を省略することは、 できません。
your City or Locality
通常、 組織の本店 (代表) が置かれている市区町村名になります。
千代田区の場合、 「Chiyoda-ku」 のように入力してください。
your State or Province
都道府県名になります。
東京都の場合、 「Tokyo」 のように入力してください。
the two-letter country code for this unit
ISOによる2文字の国名の符号になります。
日本国となりますので 「JP」 と入力してください。
1-5 入力したウェブ・サーバー識別名 (DN) 情報が表示されたら、 内容を確認してください。

Is CN=www.secomtrust.net, OU=Sales Dept., O=SECOM Trust Systems, L=Mitaka, ST=Tokyo, C=JP correct?

1-6 内容を確認したら、 「yes」 と入力してください。

[no]: yes

1-7 プロンプトが表示されたら、 何も入力せずリターン・キーを押下してください。

Enter key password for <tomcat>
        (RETURN if same as keystore password):

1-8 生成した鍵ストアを確認するため、 次のコマンドを入力してください (お使いのブラウザによっては2行以上で表示、 印字されるかもしれませんが、 実際は1行です)。

$ keytool -list -v -keystore /your/keystore/filename

上のコマンド例では、 「/your/keystore/filename」 という名前のファイルに保存した鍵ストアを確認することを示しています。
1-9 プロンプトが表示されたら、 パスワードを入力してください。

Enter keystore password: changeit

ここで 「changeit」 は、 手順1-2で指定した鍵ストアのパスワードです。

注意: 古い版の場合、 入力したパスワードがエコーバックで表示されることがあります。 周囲に人のいる場合、 パスワードを不用意にのぞかれたりしないよう、 ご注意ください。
1-10 鍵ストア・ファイルや鍵の情報が表示されます。


Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: tomcat
Creation date: Apr 1, 2004
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=www.secomtrust.net, OU=Sales Dept., O=SECOM Trust Systems, L=Mitaka, ST=Tokyo, C=JP
Issuer: CN=www.secomtrust.net, OU=Sales Dept., O=SECOM Trust Systems, L=Mitaka, ST=Tokyo, C=JP
Serial number: 40141041
Valid from: Thu Apr 01 04:01:41 JST 2004 until: Fri Apr 01 04:01:41 JST 2005
Certificate fingerprints:
  MD5: 41:12:0D:17:9D:FD:B2:A9:9B:BA:19:2F:B5:AE:04:17
  SHA1: 77:45:10:3E:7B:3F:31:A3:6C:31:1C:B7:04:2D:0D:41:41:42:B0:97

*******************************************
*******************************************

1-11 鍵ストア・ファイルのバックアップをとり、 安全な場所に保管してください。 SSL通信には鍵ストアの中の鍵ペアがどうしても必要だからです。

※重要
生成した鍵ストアのファイルは、 必ずバックアップをとって、 安全な場所に保管してください。

また、 鍵ペアの生成時に指定したパスワードの管理も、 確実に行ってください。 鍵ストアのファイルの紛失、 パスワード忘れ等が発生した場合、 証明書のインストールが行えなくなります。 この場合、 新たに証明書をご購入いただくことになりますので、 ご注意ください。

2. CSRの生成


CSRを生成する前に、 TomcatおよびJREを最新版に更新しておくことをおすすめします。 CSRの生成には、 keytoolというコマンドを使用して行います。
これは${JAVA_HOME}/binディレクトリーにインストールされているはずです (${JAVA_HOME}は、 JREを導入したディレクトリーです)。

CSRを生成するには、次の手順に従い行なってください。
※このページは、 Tomcat 4、 5.0、 5.5、 6でJRE 6のJSSEを使用していることを前提に説明しています。 深刻な脆弱性も知られていますので、 古い版のご利用はおすすめめいたしません。

更新時も、 必ずCSRを新たに生成してください。

鍵ペアの生成されたことを確認後、 CSRを生成します。
2-1 次のようなコマンドを入力し、 CSRの生成を開始してください (お使いのブラウザによっては、 2行以上で表示、 印字される可能性もありますが、 実際は1行です)。

$ keytool -certreq -sigalg SHA1withRSA -alias tomcat -file server.csr -keystore /your/keystore/filename

ここで
tomcat」は、
手順1-1で指定した鍵ぺアの名前、
/your/keystore/filename」は、
手順1-1で指定した鍵ストアのファイルの名前、
server.csr」は、
CSRが保存されるファイルの名前
です。

2-2 プロンプトが表示されたら、 パスワードを入力してください。

Enter keystore password:  changeit

ここで 「changeit」 は、 手順1-2で指定した鍵ストアのパスワードです。

注意: 古い版の場合、 入力したパスワードがエコーバックで表示されることがあります。 周囲に人のいる場合、 パスワードを不用意にのぞかれたりしないよう、 ご注意ください。

2-3

 CSRが生成され、 手順2-1で指定した名前のファイル (今回の例では、 「server.csr」) に保存されます。 ファイルの内容には、 次の例のような部分があります。 この部分がCSRです。 CSR なお、 このCSRを保存したファイルもバックアップをとって、 別途保管するようおすすめします。
2-4

もしopensslコマンドのインストールされている場合、 次のコマンドの入力で、 CSRの内容が確認できます (お使いのブラウザによっては、 2行以上で表示、 印字されるかもしれませんが、 実際は1行です)。

$ openssl req -noout -text -in server.csr

ここで 「server.csr」 は、 CSRを保存したファイルの名前です。

2-5

ここで生成したCSRは、 「5. お申込」 で申込み画面に貼り付けて申請していただきます。


※重要
生成したCSRおよび鍵ストアのファイルは、 必ずバックアップをとって、 安全な場所に保管してください。

また、 鍵ペアの生成時に指定したパスワードの管理も、 確実に行ってください。 鍵ストアのファイルの紛失、 パスワード忘れ等が発生した場合、 証明書のインストールが行えなくなります。 この場合、 新たに証明書をご購入いただくことになりますので、 ご注意ください。

Back Next

Page Top

[close]