お申し込み手順
1 セコムトラストシステムズでの証明書発行審査内容のご確認

2 ドメイン所有者のご確認

3 お申込者とドメイン名使用者が異なる場合の手続き

4 鍵ペアおよびCSRの生成

5 お申込

6 必要書類のご用意およびご送付

セコムトラストシステムズでの証明書発行審査および作業

7 証明書・Webステッカーのダウンロード

8 証明書のインストール

9 Webステッカーの設定

10 契約料金振り込み 対応サーバおよびブラウザについて
お客様組織別提出書類基準
リポジトリ
FAQ
用語解説
セコムパスポートfor Web SR更新のお申し込み
新規のお申し込みを希望されるお客様
BackNext
4.Tomcat での鍵ペアおよびCSR生成

Tomcat 45.0 およびJRE 1.4.2の JSSE のみの対応です。 Tomcat 35.5については、未対応です。

Tomcat 4、5.0およびJRE 1.4.2は、 最新版に更新しておくことをおすすめします。

もしインストールされていれば、Tomcat 4は、PureTLSを優先します。 JSSEを使うときは、 server.xmlファイルでFactory要素のSSLImplementation属性の値を 「org.apache.tomcat.util.net.JSSEImplementation」 と明示的に指定するか、 PureTLSをアンインストールするか、 どちらかにしてください。

この文書では、 Unix版のJREでの操作例を掲載しています。 DOS版では、 実際の表記が異なります。

プラットホーム 変数置換 パス名 プロンプト 拡張子 ファイル連結コマンド
Unix ${変数名} /ディレクトリー名/ファイル名 #や$ sh cat
DOS %変数名% ドライブ名:\ディレクトリー名\ファイル名 ドライブ名> bat type


鍵ストアや鍵ペアを生成する前に、 Tomcat 4、5.0およびJRE 1.4.2を最新版に更新しておくことをおすすめします。 鍵ストアや鍵ペアの生成には、 keytoolというコマンドを使用して行います。
これは${JAVA_HOME}/binディレクトリーにインストールされているはずです (${JAVA_HOME}は、 JRE 1.4.2を導入したディレクトリーです)。
鍵ストアや鍵ペアを生成するには、 次の手順に従い行なってください。

※この説明は、 Tomcat 4、5.0でJRE 1.4.2のJSSEを使用していることを前提に説明しています。 深刻な脆弱性も知られていますので、 古い版のご利用はおすすめめいたしません。

 更新時も、 必ず鍵ペアやCSRを新たに生成してください。


 ※DN情報入力時の注意点
Web サーバの識別名(DN)に、以下の文字を使用しないでください。
! " # $ % & ( ) * / ; < > ? @ [ \ ] ^ _ ` { | } ~
&が含まれる場合は、 半角英語の and 等に置き換えてください。
各項目において、スペースのみの入力は控えてください。
スペースのみの入力項目がある場合、証明書が発行されません。
CSR 生成時は、Web サーバをホストしているコンピュータに管理者としてログインしていることを確認してください。

1.鍵ペアの生成

1-1鍵ペアの生成を始めるため、 次のようなコマンドを入力してください (お使いのブラウザによっては2行以上で表示、 印字されるかもしれませんが、 実際は1行です)。

部署 (Organizational Unit) 名のある場合
$ keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -keystore /your/keystore/filename

上のコマンド例では、 「tomcat」 という名前で、 1024ビットのRSA鍵ペアを生成し、 「/your/keystore/filename」 という名前の鍵ストア・ファイルに保存することを示しています。

注意: 現在利用中の鍵ストアの鍵ペアに上書きしないよう、ご注意ください。

部署 (Organizational Unit) 名のない場合
$ keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -keystore /your/keystore/filename -dname "CN=www.secomtrust.net, O=SECOM Trust.net, L=Chiyoda-ku, ST=Tokyo, C=JP"

上のコマンド例では、「tomcat」という名前で、1024ビットのRSA鍵ペアを生成し、「/your/keystore/filename」 という名前の鍵ストア・ファイルに、「CN=www.secomtrust.net, O=SECOM Trust.net, L=Chiyoda-ku, ST=Tokyo, C=JP」というディスティングィッシュネーム(DN) で保存することを示しています。

ここで、「-dname」の後には、ディスティングィッシュネーム (DN) を指定します。DNで指定する文字列と、手順1-3のプロンプトの対応は、次のとおりです。
「=」文字の後に指定する値については、手順1-3のプロンプトの説明を参照してください。

  • CN=

    • your first and last name
  • O=

    • your organization
  • L=

    • your City or Locality
  • ST=

    • your State or Province
  • C=

    • the two-letter country code for this unit
注意: 現在利用中の鍵ストアの鍵ペアに上書きしないよう、ご注意ください。

1-2 プロンプトが表示されたら、 パスワードを入力してください。

Enter keystore password: changeit

上のコマンド例では、「changeit」というパスワードをつけたことを示しています。

注意: 入力したパスワードは、 エコーバックで表示されます。 周囲に他の利用者のいる場合、 不用意にのぞかれたりしないよう、 ご注意ください。

※重要: このパスワードは、 証明書のインストールに必要となる重要な情報です。 忘れることがないよう、 また、 他人に漏洩することがないよう、 何らかの方法で管理してください。
1-3プロンプトが表示されたら、 証明書内に組み込むウェブ・サーバー識別名 (DN) 情報を入力してください。
What is your first and last name?
  [Unknown]:  www.secomtrust.net
What is the name of your organizational unit?
  [Unknown]:  Sales Dept.
What is the name of your organization?
  [Unknown]:  SECOM Trust.net
What is the name of your City or Locality?
  [Unknown]:  Chiyoda-ku
What is the name of your State or Province?
  [Unknown]:  Tokyo
What is the two-letter country code for this unit?
  [Unknown]:  JP

更新用CSR生成時に指定するディスティングィッシュネーム (DN) 情報は、 前回申請した内容 (現在利用中の証明書DN) と同一にしてください。 組織名変更等により、ディスティングィッシュネーム情報が変更になる場合は、 新規のお申し込みとなります。
情報の入力にあたっては、次の点にご注意ください。

your first and last name
コモンネーム、 すなわちサーバーのURLに表示されるウェブ・サーバーの名前になります。
例えば、 SSLを行うウェブ・サイトのURLがwww.secom.co.jpの場合には

コモンネーム www.secom.co.jp
ドメイン名 secom.co.jp

となります。
この名称は、 証明書を申し込んだウェブ・サーバーのFQDN (Fully Qualified Domain Name) と同一でなければなりません。 ウェブ・サーバー名が証明書のコモンネームと一致しない場合、 ブラウザがサイトへの安全な接続を拒否する場合があります。
コモンネームに、 プロトコル特定子 (http://)、 ポート番号、 パス名は使用しないでください。 また、 「*」 や 「?」 のワイルドカード文字や、 IPアドレスは使用しないでください。
your organizational unit
部署名になります。
証明書を使用する部署又はグループの名前になります (この項目は省略可能です)。
your organization
組織名になります。
この情報は、 JPNIC/InterNIC等に登録されている 「Organization」 あるいは 「Registrant」 と同様になります。 もし、 お申込者とドメイン名所有者が異なる場合は、 お申し込みいただくお客様の組織名となります。 この項目を省略することは、 できません。
your City or Locality
通常、 組織の本店 (代表) が置かれている市区町村名になります。
千代田区の場合、 「Chiyoda-ku」 のように入力してください。
your State or Province
都道府県名になります。
東京都の場合、 「Tokyo」 のように入力してください。
the two-letter country code for this unit
ISOによる2文字の国名の符号になります。
日本国となりますので「JP」と入力してください。
1-4入力したディスティングィッシュネーム (DN) 情報が表示されたら、 内容を確認してください。

Is CN=www.secomtrust.net, OU=Sales Dept., O=SECOM Trust.net, L=Chiyoda-ku, ST=Tokyo, C=JP correct?

1-5内容を確認したら、 yesと入力してください。

[no]: yes

1-6プロンプトが表示されたら、 何も入力せずリターン・キーを押下してください。

Enter key password for <tomcat>
(RETURN if same as keystore password):

1-7生成した鍵ストアを確認するため、 次のコマンドを入力してください (お使いのブラウザによっては2行以上で表示、 印字されるかもしれませんが、 実際は1行です)。

$ keytool -list -v -keystore /your/keystore/filename

上のコマンド例では、 「/your/keystore/filename」 という名前のファイルに保存した鍵ストアを確認することを示しています。
1-8プロンプトが表示されたら、 パスワードを入力してください。

Enter keystore password: changeit

ここで「changeit」は、手順1-2.で指定した鍵ストアのパスワードです。

注意: 入力したパスワードは、 エコーバックで表示されます。 周囲に他人のいる場合、 不用意にのぞかれたりしないよう、 ご注意ください。
1-9鍵ストアのファイルの情報が表示されます。


Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: tomcat
Creation date: Apr 1, 2004
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=www.secomtrust.net, OU=Sales Dept., O=SECOM Trust.net, L=Chiyoda-ku, ST=Tokyo, C=JP
Issuer: CN=www.secomtrust.net, OU=Sales Dept., O=SECOM Trust.net, L=Chiyoda-ku, ST=Tokyo, C=JP
Serial number: 40141041
Valid from: Thu Apr 01 04:01:41 JST 2004 until: Fri Apr 01 04:01:41 JST 2005
Certificate fingerprints:
  MD5: 41:12:0D:17:9D:FD:B2:A9:9B:BA:19:2F:B5:AE:04:17
  SHA1: 77:45:10:3E:7B:3F:31:A3:6C:31:1C:B7:04:2D:0D:41:41:42:B0:97

*******************************************
*******************************************

1-10鍵ストアのバックアップはフロッピー・ディスク等に保存し、 安全な場所に保存してください。 鍵ストアの中の鍵ペアを利用すれば、 お使いのウェブ・サーバーがSSLで保護して送受信したデータを、 解読することができるからです。

※重要
生成した鍵ストアのファイルは、 必ずバックアップをとって、 安全な場所に保管してください。

また、 鍵ストアのファイル生成時に指定したパスワードの管理も、 確実に行ってください。 鍵ストアのファイルの紛失、 パスワード忘れ等が発生した場合、 証明書のインストールが行えなくなります。 この場合、 新たに証明書をご購入いただくことになりますので、 ご注意ください。

2.CSRの生成

CSRを生成する前に、 Tomcat 4、5.0およびJRE 1.4.2を最新版に更新しておくことをおすすめします。 CSRの生成には、 keytoolというコマンドを使用して行います。
これは${JAVA_HOME}/binディレクトリーにインストールされているはずです (${JAVA_HOME}は、 JRE 1.4.2を導入したディレクトリーです)。

CSRを生成するには、次の手順に従い行なってください。
※この説明は、 Tomcat 4でJRE 1.4.2のJSSEを使用していることを前提に説明しています。 深刻な脆弱性も知られていますので、 古い版のご利用はおすすめめいたしません。

更新時も、 必ずCSRを新たに生成してください。

鍵ペアの生成されたことを確認後、 CSRを生成します。
2-1次のコマンドを入力し、 CSRの生成を開始してください (お使いのブラウザによっては、 2行以上で表示、 印字される可能性もありますが、 実際は1行です)。

$ keytool -certreq -sigalg SHA1withRSA -alias tomcat -file servername.csr -keystore /your/keystore/filename

と入力し、 CSRの生成を開始します。 ここで

「tomcat」は、
    手順1-1.で指定した鍵ぺアの名前、
「/your/keystore/filename」は、
    手順1-1.で指定した鍵ストアのファイルの名前、
「servername.csr」は、
    CSRが保存されるファイルの名前
です。

2-2 プロンプトが表示されたら、 パスワードを入力してください。

Enter keystore password: changeit

ここで 「changeit」 は、 手順1-2.で指定した鍵ストアのパスワードです。

注意: 入力したパスワードは、 エコーバックでそのまま端末に表示されます。 周囲に他人のいる場合、 パスワードを不用意にのぞかれたりしないよう、 ご注意ください。

2-3

 CSRが生成され、 手順2-1.で指定した名前のファイル (今回の例では、 「servername.csr」) に保存されます。 ファイルの内容には、 次の例のような部分があります。 この部分がCSRです。 イメージ なお、 このCSRを保存したファイルもバックアップをとって、 別途保管するようおすすめします。
2-4

もしopensslコマンドのインストールされている場合、 次のコマンドの入力で、 CSRの内容が確認できます (お使いのブラウザによっては、 2行以上で表示、 印字されるかもしれませんが、 実際は1行です)。

$ openssl req -noout -text -in servername.csr

ここで 「servername.csr」 は、 CSRを保存したファイルの名前です。

2-5

ここで生成したCSRは、 「5.お申込」 でお申し込み画面に貼り付けていただき、 提出いただきます。

※重要
生成したCSRおよび鍵ストアのファイルは、 必ずバックアップをとっていただき安全な場所に保管してください。

また、 鍵ペアの生成時に指定したパスワードの管理も、 確実に行ってください。 鍵ストアのファイルの紛失、 パスワード忘れ等が発生した場合、 証明書のインストールが行えなくなります。 この場合は、 新たに証明書をご購入いただくことになりますので、 ご注意ください。

3.SSLの有効化

SSLを有効にするため、 次の作業をしていただきます。

3-1 次のようなConnector要素を、 server.xmlファイルに指定してください。

Tomcat 4 の場合
<!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<!--
-->
<Connector className="org.apache.coyote.tomcat4.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75"
enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat4.CoyoteServerSocketFactory"
keystoreFile="/your/keystore/filename" keystorePass="changeit"
clientAuth="false" protocol="TLS"/>
/Connector>
<!--
-->

Tomcat 5.0 の場合
<!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<!--
-->
<Connector  port="8443"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https" secure="true"
keystoreFile="/your/keystore/filename" keystorePass="changeit"
clientAuth="false" sslProtocol="TLS"/>
<!--
-->

ここで

「8443」
    は、 Tomcat 4が待ち受けるポートの番号、
「changeit」
    は、 手順1-2.で指定した鍵ストアのパスワード、
「/your/keystore/filename」
    は、 手順1-1.で指定した鍵ストアのファイルの名前です。

注意: 鍵ストアのパスワードは、 server.xmlファイルに平文で指定します。 パスワードや秘密鍵が他人に漏洩しないよう、 このファイルやconfディレクトリーの許可モードなどにご注意ください。


3-2 Tomcat 4を (再) 起動してください。

# $TOMCAT_HOME/bin/catalina.sh run

または
# $TOMCAT_HOME/bin/startup.sh

注意: 待ち受けるポート番号によっては、 スーパーユーザー特権の 不必要 な場合もあります。


3-3 「https://コモンネーム:ポート番号/」 のURLで閲覧できることを、 お好みのウェブ・ブラウザでご確認ください (この時点では、 SSLのサーバー証明書が自己署名になっていますので、 ブラウザによっては、 警告のダイアログなどの出る場合もあります)。


3-4 Adminサーブレットにアクセスできるよう設定してから、 「https://コモンネーム:ポート番号/admin/index.jsp」 のURLで、 ログイン画面にアクセスできることを、 ご確認ください。
イメージ

3-5 適切なアカウントを設定してから、 Adminサーブレットにログインできることを、 ご確認ください。
イメージ
3-6 Connector (8443)を選択してから、 指定した鍵ストアのファイルが読み込まれていることを、 ご確認ください。

ここで

「8443」
    は、 Tomcat 4が待ち受けるポートの番号 です。
イメージ

※重要
鍵ストアのパスワードを指定するserver.xmlファイルや、 そのファイルのあるconfディレクトリーのアクセス管理を、 確実に行ってください。 鍵ストアのファイルや、 パスワードの紛失等が発生した場合、 証明書のインストールが行えなくなります。 この場合、 新たに証明書をご購入いただくことになりますので、 ご注意ください。 必要な場合は、 システムのフルバックアップをおとりください。 フルバックアップ方法につきましては、 製品のマニュアル等をご確認ください。


BackNext
Page Top


[close]