sechkey ユーティリティ - X.509 証明書の設定
sechkey ユーティリティは、コンポーネント間の通信を認証するために CA ControlMinder が使用するルートとサーバの証明書を設定します。
cminder12902jp
sechkey ユーティリティは、コンポーネント間の通信を認証するために CA ControlMinder が使用するルートとサーバの証明書を設定します。
sechkey ユーティリティを使用すると、以下のタスクを実行できます。
- OU パスワード保護されている証明書など、サードパーティのルートおよびサーバ証明書を使用する CA ControlMinder の設定
- サードパーティのルート証明書からのサーバ証明書の作成
- コンピュータ上のパスワード保護されている証明書のパスワードの保存
X.509 証明書を設定するには、sechkey を使用する前に、CA ControlMinder を停止する必要があります。 sechkey パラメータを使用するには ADMIN 属性が必要です。
注:
CA ControlMinder が FIPS 専用モードで動作している場合、パスワード保護されている証明書は使用できません。 crypto セクションの fips_only 構成トークンの値が 1 の場合、CA ControlMinder は FIPS 専用モードで動作します。 この制限によって、FIPS に準拠していない方式を使用した証明書内でパスワードを暗号化しないようにします。X.509 ルートまたはサーバ証明書を作成するには、このコマンドを以下の形式で使用します。
sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]
OU パスワード保護されているサーバ証明書を使用するには、このコマンドを以下の形式で使用します。
sechkey -g {-subpwd password | -verify}
- -casechkey によって自己署名証明書が作成されるように指定します。この証明書は CA (ルート)証明書として使用されます。sechkey は、crypto セクションの ca_certificate 設定で定義されている PEM ファイルに証明書と秘密鍵を格納します。
- -capwdpasswordsechkey がサーバ(所有者)証明書の生成に使用するルート証明書の秘密鍵のパスワードを指定します。
- -esechkey によって X.509 証明書が作成されるように指定します。
- -gCA ControlMinder でサードパーティのサーバ証明書を使用するように指定します。 crypto セクションの subject_certificate 設定で指定された場所にサードパーティ のサーバ証明書を保存するか、crypto セクションの subject_certificate 設定の値を編集してサードパーティのサーバ証明書へのパスを指定します。注:新規ディレクトリにサーバ証明書をインストールした場合は、新規ディレクトリを保護する CA ControlMinder ファイル ルールを作成する必要があります。
- -ininfilepath証明書情報を含む入力ファイルを指定します。 -in を指定しない場合、sechkey によって標準入力から情報が読み取られます。sechkey で証明書を作成するには、以下の情報が必要です。
- シリアル番号
- 件名
- NOTBEFORE(証明書の有効開始日)
- NOTAFTER(証明書の有効終了日)
- 電子メール
- URI (通常は URL と呼ばれます)
- DNS 名
- IP アドレス
- -outoutfilepath証明書情報を記録する出力ファイルを指定します。 出力ファイルは入力情報のコピーです。 -out を指定しない場合、sechkey では入力情報が複製されません。
- -privprivfilepath証明書に関連付けられた秘密鍵を保持するファイルを指定します。 このオプションは、-sub オプションと同時に使用した場合にのみ有効になります。
- -subsechkey によってサーバ(所有者)証明書が作成されるように指定します。sechkey は、crypto セクションの subject_certificate 設定で定義されている PEM ファイルに証明書と秘密鍵を格納します。-priv を指定しない場合、crypto セクションの private_key 設定は、この証明書に関連付けられた秘密鍵を保持するファイルを定義します。パスワード保護されているサーバ証明書を作成する場合、sechkey は証明書を暗号化しません。 パスワード保護されないサーバ証明書を作成する場合、sechkey は AES256 および CA ControlMinder 暗号化鍵を使用して証明書を暗号化します。
- -subpwdpasswordサーバ(所有者)証明書の秘密鍵のパスワードを指定します。 sechkey はACInstallDir/Data/crypto ディレクトリにある crypto.dat ファイルにパスワードを格納します。このACInstallDirは CA ControlMinder をインストールしたディレクトリです。 crypto.dat ファイルは非表示であり、暗号化された読み取り専用のファイルです。また、CA ControlMinder によって保護されます。 CA ControlMinder が停止している場合、パスワードにアクセスできるのはスーパーユーザだけです。
- -verifyパスワード保護されているサーバ キーを開くために、CA ControlMinder が保存されたパスワードを使用できることを確認します。
例: OU パスワード保護されたサードパーティのルート証明書からサーバ証明書を作成する
以下のコマンドでは、以下の値を使用して OU パスワード保護されたサードパーティのルート証明書からサーバ証明書を作成します。
- 証明書情報を含む入力ファイルへのパスは、「C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info」です。
- ルート証明書の秘密鍵へのパスは、「C:\Program Files\CA\AccessControl\data\crypto\ca.key」です。
- ルート証明書の秘密鍵のパスワードは、「P@ssw0rd」です。
sechkey -e -sub -in "C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info" -priv "C:\Program Files\CA\AccessControl\data\crypto\ca.key" -capwd P@ssw0rd
例: 入力ファイル
証明書情報を含む入力ファイルの例を以下に示します。
SERIAL: 00-15-58-C3-5E-4B SUBJECT: CN=192.168.0.1 NOTBEFORE: "12/31/08" NOTAFTER: "12/31/09" E-MAIL: [email protected] URI: http://www.example.com DNS: 168.192.0.100 IP: 168.192.0.1