sechkey ユーティリティ - X.509 証明書の設定
sechkey ユーティリティは、コンポーネント間の通信を認証するために が使用するルートとサーバの証明書を設定します。
capamsc141
sechkey ユーティリティは、コンポーネント間の通信を認証するために
Privileged Access Manager
が使用するルートとサーバの証明書を設定します。sechkey ユーティリティを使用すると、以下のタスクを実行できます。
- OU パスワード保護されている証明書が含む、サードパーティのルートおよびサーバ証明書を使用するPrivileged Access Managerの設定
- サードパーティのルート証明書からのサーバ証明書の作成
- コンピュータ上のパスワード保護されている証明書のパスワードの保存
X.509 証明書を設定するには、sechkey を使用する前に、
Privileged Access Manager
を停止します。sechkey パラメータを使用するには ADMIN 属性が必要です。Privileged Access Manager
が FIPS のみのモードで動作している場合、パスワード保護されている証明書を使用することはできません。Privileged Access Manager
は、crypto セクションの fips_only 設定トークンの値が 1 の場合、FIPS のみのモードで動作します。この制限によって、FIPS に準拠していない方式を使用した証明書内でパスワードを暗号化しないようにします。X.509 ルートまたはサーバ証明書を作成するには、このコマンドを以下の形式で使用します。
sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]
OU パスワード保護されているサーバ証明書を使用するには、このコマンドを以下の形式で使用します。
sechkey -g {-subpwd password | -verify}
- -casechkey によって自己署名証明書が作成されるように指定します。この証明書は CA (ルート)証明書として使用されます。sechkey は、crypto セクションの ca_certificate 設定で定義されている PEM ファイルに証明書と秘密鍵を格納します。
- -capwdpasswordsechkey がサーバ(所有者)証明書の生成に使用するルート証明書の秘密鍵のパスワードを指定します。
- -esechkey によって X.509 証明書が作成されるように指定します。
- -gPrivileged Access Managerでサードパーティのサーバ証明書を使用するように指定します。crypto セクションの subject_certificate 設定で指定された場所にサードパーティ サーバ証明書を保存します。crypto セクションの subject_certificate 設定の値を編集し、サードパーティ サーバ証明書への完全パスを指定することもできます。新規ディレクトリにサーバ証明書をインストールした場合は、新規ディレクトリを保護するPrivileged Access Managerファイル ルールを作成します。
- -ininfilepath証明書情報を含む入力ファイルを指定します。-in を指定しない場合、sechkey によって標準入力から情報が読み取られます。sechkey で証明書を作成するには、以下の情報が必要です。
- シリアル番号
- 件名
- NOTBEFORE(証明書の有効開始日)
- NOTAFTER(証明書の有効終了日)
- 電子メール
- URI (通常は URL と呼ばれます)
- DNS 名
- IP アドレス
- -outoutfilepath証明書情報を記録する出力ファイルを指定します。出力ファイルは入力情報のコピーです。-out を指定しない場合、sechkey では入力情報が複製されません。
- -privprivfilepath証明書に関連付けられた秘密鍵を保持するファイルを指定します。このオプションは、-sub オプションと同時に使用した場合にのみ有効になります。
- -subsechkey によってサーバ(所有者)証明書が作成されるように指定します。sechkey は、crypto セクションの subject_certificate 設定で定義されている PEM ファイルに証明書と秘密鍵を格納します。-priv を指定しない場合、crypto セクションの private_key 設定は、この証明書に関連付けられた秘密鍵を保持するファイルを定義します。パスワード保護されているサーバ証明書を作成する場合、sechkey は証明書を暗号化しません。パスワード保護されないサーバ証明書を作成する場合、sechkey は AES256 およびPrivileged Access Manager暗号化鍵を使用して証明書を暗号化します。
- -subpwdpasswordサーバ(所有者)証明書の秘密鍵のパスワードを指定します。sechkey はACInstallDir/Data/crypto ディレクトリにある crypto.dat ファイルにパスワードを格納します。このACInstallDirはPrivileged Access Managerをインストールしたディレクトリです。crypto.dat ファイルは非表示であり、Privileged Access Managerによって保護されている暗号化された読み取り専用のファイルです。Privileged Access Managerが停止している場合、パスワードにアクセスできるのはスーパーユーザだけです。
- -verifyパスワード保護されているサーバ キーを開くために、Privileged Access Managerが保存されたパスワードを使用できることを確認します。
例: OU パスワード保護されたサードパーティのルート証明書からサーバ証明書を作成する
以下のコマンドでは、以下の値を使用して OU パスワード保護されたサードパーティのルート証明書からサーバ証明書を作成します。
- 証明書情報を含む入力ファイルへのパスは、「C:\Program Files\CA\PAMSC\data\crypto\sub_cert_info」です。
- ルート証明書の秘密鍵へのパスは、「C:\Program Files\CA\PAMSC\data\crypto\ca.key」です。
- ルート証明書の秘密鍵のパスワードは、「P@ssw0rd」です。
sechkey -e -sub -in "C:\Program Files\CA\PAMSC\data\crypto\sub_cert_info" -priv "C:\Program Files\CA\PAMSC\data\crypto\ca.key" -capwd P@ssw0rd
例: 入力ファイル
IPv4 アドレスの証明書情報を含む入力ファイルの例を以下に示します。
SERIAL: 00-15-58-C3-5E-4BSUBJECT: CN=192.168.0.1NOTBEFORE: “12/31/08”NOTAFTER: "12/31/09"E-MAIL: [email protected]URI: http://www.example.comDNS: 168.192.0.100IP: 168.192.0.1
IPv6 の場合、DNS と IP アドレスを以下に示します。
... DNS: fd6d:8d64:af0c:1:0:242:22:233IP: ssl://[fd6d:8d64:af0c:1:0: 242:22:233]:61616