|
|
 |
本手順書では以下の環境を前提としています。
なお、既に鍵ストアを使用されている場合は、既存の鍵ストアを上書きしないよう、鍵ストア名に既存の鍵ストアとは別の名称をご使用ください。
【前提】
 OS:Solaris9 64bit
Web Server:WebLogic Server Ver8.1 SP5
本書中、{}で囲まれた項目はお客様において任意に指定する必要があります。以下の項目については作業開始前に事前に決定しておくとスムーズに作業が実施できます。
【鍵ペア作成時】
鍵名称、鍵長、鍵パスワード、鍵ストアファイル名称、鍵ストアパスワード、
ドメイン名称、組織名称
【CSR作成時】
CSRファイル名称
【証明書導入・設定時】
プライベート鍵ストア名称
更新時も、 必ず鍵ペアやCSRを新たに生成してください。
※DN情報入力時の注意点
| ・ |
各項目の入力はすべて半角の英数字64文字以内で入力してください。 |
| ・ |
CSR を生成する場合、いずれの入力フィールドでもカンマ(,)を使用しないでください。カンマはフィールドの終わりとみなされ、不正なCSR が生成されることになります。 |
| ・ |
Web サーバの識別名(DN)に、以下の文字の使用はできませんので、ご注意ください。
! " # $ % & ( ) * / ; < > ? @ [ \ ] ^ _ ` { | } ~ |
| ・ |
&が含まれる場合は、 半角英語の and 等に置き換えてください。 ,(カンマ) は、 ,(カンマ)の省略、またはピリオドもしくは半角スペースに置き換えてください。 |
| ・ | いずれの項目においても、'(シングルクオート)、-(ハイフン)、.(ピリオド)、:(コロン)、空白以外の記号を使用しないでください。
|
| ・ | 全ての項目について入力してください。 |
| ・ | 各項目において、スペースのみの入力は控えてください。
スペースのみの入力項目がある場合、証明書が発行されません。 |
| 1 | ログイン
WebLogicを導入しているサーバへログインし、ターミナル(コマンドプロンプト)を開きます。本ページ以降に記載されている例中の「#」はコマンドプロンプトをあらわしてします。
|
| 2 |
Java環境の設定
Java が使用できる環境を整えます。
最も簡単な方法として、例にあるようにWebLogicドメインディレクトリ下にある setEnv.sh(.cmd)を利用します
〔例1〕<UNIX の場合>
〔例2〕<Windows の場合>
|
| 3 | 鍵ストアの作成
keytoolコマンドで鍵ストアを作成します。下記書式に従ってkeytoolコマンドを実行すると次のような証明書内に組み込む識別 (DN)情報入力を求められます。
| ・ |
一般名称(Common Name(CN))
サーバのURLに表示されるウェブ・サーバの名前になります。
|
| ・ |
組織単位名称(Organizational Unit Name(OU))
部署名になります。
証明書を使用する部署又はグループの名前になります (この項目は省略可能です)。
|
| ・ |
組織名称(Organization Name(O))
組織名になります。
この情報は、 JPNIC/InterNIC等に登録されている 「Organization」 あるいは 「Registrant」 と同様になります。 もし、 お申込者とドメイン名所有者が異なる場合は、 お申し込みいただくお客様の組織名となります。 この項目を省略することは、 できません。
|
| ・ |
地域名称(Locality Name(L))
組織の本店(代表)が置かれている市区町村名になります。
千代田区の場合、 「Chiyoda-ku」 のように入力してください。
|
| ・ |
地域名称(State or Province Name(ST))
都道府県名になります。
東京都の場合、「Tokyo」のように入力してください。
|
| ・ |
国名称(Country Name(C))
日本国となりますで「JP」と入力してください。
|
上記のうちOUを省略することは可能です。OUを省略する場合には、「4.DN設定」の【参考】をご参照ください。
【書式】
keytool -genkey -alias {鍵名称} -keyalg RSA -keysize {鍵長} -keypass {鍵パスワード} -keystore {鍵ストアファイル名} -storepass {鍵ストアパスワード}
鍵長はSSL の強度によって異なります。通常ライセンスの場合には「512」を設定します。
128bit用ライセンスをご使用の場合には、「1024」を設定してください。
128bit版ライセンスは、BEA社に特別申請が必要ですので、そのような経緯がない場合には、通常版のライセンスとなります。
以下の例では、次の指定で鍵ストアを作成しています。
 鍵名称 |
: |
stnkey |
| 鍵長 |
: |
512 |
| 鍵パスワード |
: |
stnkeypwd |
| 鍵ストアファイル名 |
: |
stnkeystafile |
| 鍵ストアパスワード |
: |
stnkeystapwd |
〔例3〕
|
# keytool -genkey -alias stnkey -keyalg RSA -keysize 512 -keypass stnkeypwd -keystore stnkeystafile -storepass stnkeystapwd |
|
【参考】:keytoolの各コマンドに関しては下記リンクをご覧下さい
http://java.sun.com/j2se/1.4/ja/docs/ja/tooldocs/solaris/keytool.html
|
| 4 | DN設定
一般名称(CN)や組織名(O)などの情報を入力します。一般名称(CN)にはサーバのドメインを入力してください。
以下の例では、次の設定をしています。
| 一般名称(CN) |
: |
secomtrust.net |
| 組織単位名称(OU) |
: |
e-authen |
| 組織名称(O) |
: |
secomtrustcop |
| 地域名称(L) |
: |
mitaka |
| 地域名称(ST) |
: |
Tokyo |
| 国名称(C) |
: |
JP |
〔例4〕
What is your first and last name?
[Unknown]: secomtrust.net
What is the name of your organizational unit?
[Unknown]: e-authen
What is the name of your organization?
[Unknown]: secomtrustcop
What is the name of your City or Locality?
[Unknown]: mitaka
What is the name of your State or Province?
[Unknown]: Tokyo
What is the two-letter country code for this unit?
[Unknown]: JP
|
|
全て入力すると以下のように確認のリストが表示されます。よろしければ「y」を、再度入力が必要であれば「n」を入力します。
〔例5〕
Is CN=secomtrust.net, OU=e-authen, O=secomtrustnetcop, L=mitaka, ST=Tokyo, C=JP correct?
[no]: y
|
|
鍵ストアが作成されていることを確認します。
〔例6〕
# ls -l stnkeystafile
-rw-r--r-- 1 root other 1377 Apr 25 10:36 stnkeystafile
|
|
【参考】
識別 (DN)情報からOUを省略する場合は次のような書式で鍵ストアを作成します。
【書式】
keytool -genkey -alias {鍵名称} -keyalg RSA -keysize {鍵長} -keypass {鍵パスワード} -keystore {鍵ストアファイル名} -storepass {鍵ストアパスワード} -dname "{識別情報}"
以下の例では前頁の情報を元に(組織単位名称(OU)を除く)鍵ストアを作成しています。
〔例7〕
|
# keytool -genkey -alias stnkey -keyalg RSA -keysize 512 -keypass stnkeypwd -keystore stnkeystafile -storepass stnkeystapwd -dname "cn=secomtrust.net,o=secomtrustcop,l=mitaka,st=Tokyo,c=JP" |
|
|
| 5 | CSR作成
サーバ証明書を取得するために必要なCSRを作成します。
【書式】
keytool -certreq -alias {鍵名称} -file {CSRファイル名} -keypass {鍵パスワード} -keystore {鍵ストアファイル名} -storepass {鍵ストアパスワード}
鍵名称以外の指定は全て鍵ストアを作成したときに入力した値と同じ値を入力します。
以下の例では、次の指定でCSRを作成しています。
| 鍵名称 |
: |
鍵ストア作成時と同一 |
| CSRファイル名 |
: |
stncsr2006 |
| 鍵パスワード |
: |
鍵ストア作成時と同一 |
| 鍵ストアファイル名 |
: |
鍵ストア作成時と同一 |
| 鍵ストアパスワード |
: |
鍵ストア作成時と同一 |
CSRが作成されていることを確認します。
〔例8〕
# ls -l stncsr2006
-rw-r--r-- 1 root other 674 Apr 25 13:11 stncsr2006
|
|
|
| 6 | CSRの提出について
ここで生成したCSRは「5.お申込」で申し込み画面に貼り付けて申請していただきます。
|
 |  |
 |
|
|
