リファレンス ガイド › ユーティリティ › sechkey ユーティリティ › sechkey ユーティリティ - X.509 証明書の設定

sechkey ユーティリティ - X.509 証明書の設定

sechkey ユーティリティは、コンポーネント間の通信を認証するために CA ControlMinder が使用するルートとサーバの証明書を設定します。

sechkey ユーティリティを使用すると、以下のタスクを実行できます。

• OU パスワード保護されている証明書が含む、サードパーティのルートおよびサーバ証明書を使用する CA ControlMinder の設定
• サードパーティのルート証明書からのサーバ証明書の作成
• コンピュータ上のパスワード保護されている証明書のパスワードの保存

X.509 証明書を設定するには、sechkey を使用する前に、CA ControlMinder を停止する必要があります。 sechkey パラメータを使用するには ADMIN 属性が必要です。

注： CA ControlMinder が FIPS のみのモードで動作している場合、パスワード保護されている証明書を使用することはできません。 crypto セクションの fips_only 構成トークンの値が 1 の場合、CA ControlMinder は FIPS のみのモードで動作します。 この制限によって、FIPS に準拠していない方式を使用した証明書内でパスワードを暗号化しないようにします。

X.509 ルートまたはサーバ証明書を作成するには、このコマンドを以下の形式で使用します。

sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]

OU パスワード保護されているサーバ証明書を使用するには、このコマンドを以下の形式で使用します。

sechkey -g {-subpwd password | -verify}

-ca

sechkey によって自己署名証明書が作成されるように指定します。この証明書は CA （ルート）証明書として使用されます。

sechkey は、crypto セクションの ca_certificate 設定で定義されている PEM ファイルに証明書と秘密鍵を格納します。

-capwd password

sechkey がサーバ（所有者）証明書の生成に使用するルート証明書の秘密鍵のパスワードを指定します。

-e

sechkey によって X.509 証明書が作成されるように指定します。

-g

CA ControlMinder でサードパーティのサーバ証明書を使用するように指定します。 crypto セクションの subject_certificate 設定で指定された場所にサードパーティ のサーバ証明書を保存するか、crypto セクションの subject_certificate 設定の値を編集してサードパーティのサーバ証明書へのパスを指定します。

注： 新規ディレクトリにサーバ証明書をインストールした場合は、新規ディレクトリを保護する CA ControlMinder ファイル ルールを作成する必要があります。

-in infilepath

証明書情報を含む入力ファイルを指定します。 -in を指定しない場合、sechkey によって標準入力から情報が読み取られます。

sechkey で証明書を作成するには、以下の情報が必要です。

• シリアル番号
• 所有者
• NOTBEFORE（証明書の有効開始日）
• NOTAFTER（証明書の有効終了日）

sechkey では、以下の情報も使用できますが、必須情報ではありません。

• E-MAIL（電子メール）
• URI （通常は URL と呼ばれます）
• DNS 名
• IP アドレス

-out outfilepath

証明書情報を記録する出力ファイルを指定します。 出力ファイルは入力情報のコピーです。 -out を指定しない場合、sechkey では入力情報が複製されません。

-priv privfilepath

証明書に関連付けられた秘密鍵を保持するファイルを指定します。 このオプションは、-sub オプションと同時に使用した場合にのみ有効になります。

-sub

sechkey によってサーバ（所有者）証明書が作成されるように指定します。

sechkey は、crypto セクションの subject_certificate 設定で定義されている PEM ファイルに証明書と秘密鍵を格納します。

-priv を指定しない場合、crypto セクションの private_key 設定は、この証明書に関連付けられた秘密鍵を保持するファイルを定義します。

パスワード保護されているサーバ証明書を作成する場合、sechkey は証明書を暗号化しません。 パスワード保護されていないサーバ証明書を作成する場合、sechkey は AES256 および CA ControlMinder 暗号化鍵を使用して証明書を暗号化します。

-subpwd password

サーバ（所有者）証明書の秘密鍵のパスワードを指定します。 sechkey は ACInstallDir/Data/crypto ディレクトリにある crypto.dat ファイルにパスワードを格納します。この ACInstallDir は CA ControlMinder をインストールしたディレクトリです。 crypto.dat ファイルは非表示であり、暗号化された読み取り専用のファイルです。また、CA ControlMinder によって保護されます。 CA ControlMinder が停止されている場合、スーパーユーザのみがパスワードにアクセスできます。

-verify

パスワード保護されているサーバ キーを開くために、CA ControlMinder が保存されたパスワードを使用できることを確認します。

例： OU パスワード保護されたサードパーティのルート証明書からサーバ証明書を作成する

以下のコマンドでは、以下の値を使用して OU パスワード保護されたサードパーティのルート証明書からサーバ証明書を作成します。

• 証明書情報を含む入力ファイルへのパスは、「C:¥Program Files¥CA¥AccessControl¥data¥crypto¥sub_cert_info」です。
• ルート証明書の秘密鍵へのパスは、「C:¥Program Files¥CA¥AccessControl¥data¥crypto¥ca.key」です。
• ルート証明書の秘密鍵のパスワードは、「P@ssw0rd」です。

  sechkey -e -sub -in "C:¥Program Files¥CA¥AccessControl¥data¥crypto¥sub_cert_info" -priv "C:¥Program Files¥CA¥AccessControl¥data¥crypto¥ca.key" -capwd P@ssw0rd
  

例： 入力ファイル

証明書情報を含む入力ファイルの例を以下に示します。

SERIAL: 00-15-58-C3-5E-4B
SUBJECT: CN=192.168.0.1
NOTBEFORE: “12/31/08”
NOTAFTER: "12/31/09"
E-MAIL: john.smith@example.com
URI: http://www.example.com
DNS: 168.192.0.100
IP:  168.192.0.1

詳細情報：

サードパーティのルート証明書およびサーバ証明書の使用

サードパーティのルート証明書から生成したサーバ証明書の使用