sechkey ユーティリティ - X.509 証明書の設定

sechkey ユーティリティは、コンポーネント間の通信を認証するために が使用するルートとサーバの証明書を設定します。
cminder140jp
sechkey ユーティリティは、コンポーネント間の通信を認証するために
Privileged Access Manager Server Control
が使用するルートとサーバの証明書を設定します。
sechkey ユーティリティを使用すると、以下のタスクを実行できます。
  • OU パスワード保護されている証明書が含む、サードパーティのルートおよびサーバ証明書を使用する
    Privileged Access Manager Server Control
    の設定
  • サードパーティのルート証明書からのサーバ証明書の作成
  • コンピュータ上のパスワード保護されている証明書のパスワードの保存
X.509 証明書を設定するには、sechkey を使用する前に、
Privileged Access Manager Server Control
を停止します。sechkey パラメータを使用するには ADMIN 属性が必要です。
注:
Privileged Access Manager Server Control
が FIPS のみのモードで動作している場合、パスワード保護されている証明書を使用することはできません。
Privileged Access Manager Server Control
は、crypto セクションの fips_only 設定トークンの値が 1 の場合、FIPS のみのモードで動作します。この制限によって、FIPS に準拠していない方式を使用した証明書内でパスワードを暗号化しないようにします。
X.509 ルートまたはサーバ証明書を作成するには、このコマンドを以下の形式で使用します。
sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]
OU パスワード保護されているサーバ証明書を使用するには、このコマンドを以下の形式で使用します。
sechkey -g {-subpwd password | -verify}
  • -ca
    sechkey によって自己署名証明書が作成されるように指定します。この証明書は CA (ルート)証明書として使用されます。
    sechkey は、crypto セクションの ca_certificate 設定で定義されている PEM ファイルに証明書と秘密鍵を格納します。
  • -capwd
    password
    sechkey がサーバ(所有者)証明書の生成に使用するルート証明書の秘密鍵のパスワードを指定します。
  • -e
    sechkey によって X.509 証明書が作成されるように指定します。
  • -g
    Privileged Access Manager Server Control
     でサードパーティのサーバ証明書を使用するように指定します。crypto セクションの subject_certificate 設定で指定された場所にサードパーティ サーバ証明書を保存します。crypto セクションの subject_certificate 設定の値を編集し、サードパーティ サーバ証明書への完全パスを指定することもできます。
    注:
    新規ディレクトリにサーバ証明書をインストールした場合は、新規ディレクトリを保護する
    Privileged Access Manager Server Control
    ファイル ルールを作成します。
  • -in
    infilepath
    証明書情報を含む入力ファイルを指定します。-in を指定しない場合、sechkey によって標準入力から情報が読み取られます。
    sechkey で証明書を作成するには、以下の情報が必要です。
    • シリアル番号
    • 件名
    • NOTBEFORE(証明書の有効開始日)
    • NOTAFTER(証明書の有効終了日)
    sechkey では、以下の情報も使用できますが、必須情報ではありません。
    • 電子メール
    • URI (通常は URL と呼ばれます)
    • DNS 名
    • IP アドレス
  • -out
    outfilepath
    証明書情報を記録する出力ファイルを指定します。出力ファイルは入力情報のコピーです。-out を指定しない場合、sechkey では入力情報が複製されません。
  • -priv
    privfilepath
    証明書に関連付けられた秘密鍵を保持するファイルを指定します。このオプションは、-sub オプションと同時に使用した場合にのみ有効になります。
  • -sub
    sechkey によってサーバ(所有者)証明書が作成されるように指定します。
    sechkey は、crypto セクションの subject_certificate 設定で定義されている PEM ファイルに証明書と秘密鍵を格納します。
    -priv を指定しない場合、crypto セクションの private_key 設定は、この証明書に関連付けられた秘密鍵を保持するファイルを定義します。
    パスワード保護されているサーバ証明書を作成する場合、sechkey は証明書を暗号化しません。パスワード保護されないサーバ証明書を作成する場合、sechkey は AES256 および
    Privileged Access Manager Server Control
    暗号化鍵を使用して証明書を暗号化します。
  • -subpwd
    password
    サーバ(所有者)証明書の秘密鍵のパスワードを指定します。sechkey は
    ACInstallDir
    /Data/crypto ディレクトリにある crypto.dat ファイルにパスワードを格納します。この
    ACInstallDir
    Privileged Access Manager Server Control
    をインストールしたディレクトリです。crypto.dat ファイルは非表示であり、
    Privileged Access Manager Server Control
    によって保護されている暗号化された読み取り専用のファイルです。
    Privileged Access Manager Server Control
    が停止している場合、パスワードにアクセスできるのはスーパーユーザだけです。
  • -verify
    パスワード保護されているサーバ キーを開くために、
    Privileged Access Manager Server Control
    が保存されたパスワードを使用できることを確認します。
例: OU パスワード保護されたサードパーティのルート証明書からサーバ証明書を作成する
以下のコマンドでは、以下の値を使用して OU パスワード保護されたサードパーティのルート証明書からサーバ証明書を作成します。
  • 証明書情報を含む入力ファイルへのパスは、「C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info」です。
  • ルート証明書の秘密鍵へのパスは、「C:\Program Files\CA\AccessControl\data\crypto\ca.key」です。
  • ルート証明書の秘密鍵のパスワードは、「P@ssw0rd」です。
sechkey -e -sub -in "C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info" -priv "C:\Program Files\CA\AccessControl\data\crypto\ca.key" -capwd P@ssw0rd
例: 入力ファイル
証明書情報を含む入力ファイルの例を以下に示します。
SERIAL: 00-15-58-C3-5E-4B SUBJECT: CN=192.168.0.1 NOTBEFORE: "12/31/08" NOTAFTER: "12/31/09" E-MAIL: [email protected] URI: http://www.example.com DNS: 168.192.0.100 IP: 168.192.0.1