サードパーティのルート証明書およびサーバ証明書の使用

実装ガイド › 通信の暗号方式の変更 › SSL、認証、および証明書 › SSL 暗号化の有効化 › サードパーティのルート証明書およびサーバ証明書の使用

サードパーティのルート証明書およびサーバ証明書の使用

SSL 暗号化を使用する場合、サードパーティのルート証明書とサーバ証明書を使用して、CA ControlMinder コンポーネント間の通信を暗号化および認証できます。

サードパーティのルート証明書およびサーバ証明書を使用するには以下のファイルが必要です。

root.pem - ルート証明書
server.pem - サーバ証明書
server.key - サーバ証明書の秘密鍵
OU パスワード保護されたサーバ証明書を使用する場合、サーバ証明書の秘密鍵のパスワードも必要になります。

注：サーバ証明書がすでに作成されているので、ルート証明書の秘密鍵は必要ではありません。

サードパーティのルート証明書およびサーバ証明書を使用する方法。

CA ControlMinder サービスが停止され、SSL が有効であることを確認します。
ルート証明書を置き換えます。以下のいずれかの操作を実行します。
- crypto セクションの ca_certificate 設定で指定された場所に新しいルート証明書をコピーします。
- crypto セクションの ca_certificate 設定の値を編集し、新しいルート証明書への完全パスを指定します。
  注：新規ディレクトリにルート証明書をインストールした場合は、新規ディレクトリを保護する CA ControlMinder ファイルルールを作成する必要があります。
サーバ証明書を置き換えます。以下のいずれかの操作を実行します。
- crypto セクションの subject_certificate 設定で指定された場所に新しいサーバ証明書をコピーします。
- crypto セクションの subject_certificate 設定の値を編集し、新しいサーバ証明書への完全パスを指定します。
  注：新規ディレクトリにサーバ証明書をインストールした場合は、新規ディレクトリを保護する CA ControlMinder ファイルルールを作成する必要があります。
サーバ鍵を置き換えます。以下のいずれかの操作を実行します。
- crypto セクションの private_key 設定で指定された場所に新しいサーバ鍵をコピーします。
- crypto セクションの private_key 設定の値を編集し、新しいサーバ鍵への完全パスを指定します。
  注：新規ディレクトリにサーバ鍵をインストールした場合は、新規ディレクトリを保護するために CA ControlMinder ファイルルールを作成する必要があります。
OU パスワード保護された証明書を使用する場合は、以下を実行します。
1. crypto セクションの fips_only 設定の値が 0 であることを確認します。
  注： CA ControlMinder が FIPS 専用モードで動作している場合、パスワード保護された証明書を使用することはできません。
2. サーバ証明書の秘密鍵用のパスワードを以下のようにコンピュータに格納します。
```
sechkey -g -subpwd private_key_password
```
  注： sechkey を使用するには ADMIN 属性が必要です。
3. CA ControlMinder で、保存されたパスワードを使用して秘密鍵を開くことができることを確認します。
```
sechkey -g -verify
```
  CA ControlMinder で鍵を開けない場合は、手順 b を繰り返し、正しいパスワードを指定します。
  
  注： sechkey ユーティリティの詳細については「リファレンスガイド」を参照してください。
CA ControlMinder を起動します。
- CA ControlMinder エンタープライズ管理サーバ上の暗号化設定を変更している場合は、CA ControlMinder Web サービスも起動します。
- CA ControlMinder SDK を使用するサードパーティのプログラムを使用している場合、CA ControlMinder SDK を使用するプロセスを再起動します。
SSL 暗号化が有効になります。

詳細情報：

sechkey ユーティリティ - X.509 証明書の設定

crypto