X.509 証明書管理
このウィンドウを使用して、Server Administrator のウェブ証明書を作成、インポートまたは再使用します。
ユーザー権限
選択 | 表示 | 管理 |
X.509 証明書管理 | システム管理者 | システム管理者 |
X.509 証明書管理
ウェブ証明書は、リモートシステムの ID を確保し、リモートシステムとの間で交換される情報が他人によって閲覧または変更されないようにします。Server Administrator のシステムセキュリティを確保するには、新しい X.509 証明書を生成する、既存の X.509 証明書を再使用する、または証明書チェーンを認証機関(CA)からインポートすることを強くお勧めします。
ネットワークを通してシステムあるいはシステムに取り付けられているストレージデバイスにアクセスするユーザー権限を認証するために、証明書を申請できます。
X.509 証明書オプションメニュー
新規証明書の生成 | Server Administrator を実行するサーバーとブラウザ間の SSL 通信のための新しい自己署名証明書を生成します。 メモ: 多くのウェブブラウザは、この証明書がオペレーティングシステムに信頼されている証明局(CA)によって署名されていないことから、信頼できない という警告を生成します。一部のセキュアブラウザ設定は、自己署名 SSL 証明書をブロックします。このため、Server Administrator Web GUI では、そのようなセキュアブラウザのために CA 署名済み証明書を必要とします。 |
---|---|
証明書メンテナンス | CA が信頼済み SSL ウェブ証明書の作成を自動化できるように、ホストに関する証明書情報のすべてが含まれる証明書署名要求(CSR)を生成することを可能にします。必要な CSR ファイルは、ページ上部で指定されたパスから、またはテキストボックス内のテキスト全体をコピーして、CA 送信フォームにペーストすることによって取得できます。テキストは Base 64 エンコードフォーマットである必要があります。 メモ: また、証明書情報を表示して、使用されている証明書を、他のウェブサービスへのインポートが可能なユニバーサル Base–64 エンコードフォーマットにエクスポートすることもできます。 |
証明書チェーンのインポート | 信頼済み CA によって署名された証明書チェーン(PKCS#7 フォーマット)をインポートすることができます。証明書は、DER または Base 64 エンコードフォーマットが可能です。 |
PKCS12 キーストアのインポート | Server Administrator ウェブサーバで使用されるキーと証明書の替わりとなる PKCS#12 キーストアをインポートすることができます。 メモ: 無効な PKCS ファイルを選択したり、誤ったパスワードを入力すると、エラーメッセージが表示されます。 |
X.509 証明書生成メニュー:新規証明書の生成
Alias(エイリアス ) | エイリアスは、KeyStore に証明書を持つエンティティ用の KeyStore 固有の名前を短縮したものです。ユーザーは KeyStore 内のパブリックおよびプライベートキーに任意のエイリアス名を割り当てることができます。 |
---|---|
キー署名アルゴリズム | サポートされている署名アルゴリズムを表示します。ドロップダウンリストからアルゴリズムを選択します。 メモ: SHA 512 または SHA 256 を選択する場合、お使いのオペレーティングシステム / ブラウザがこのアルゴリズムをサポートしていることを確認してください。必要なオペレーティング システム / ブラウザ サポートなしでこれらのオプションのいずれかを選択する場合、 cannot display the webpage というエラーが表示されます。 |
キー生成アルゴリズム | 証明書を生成するために使用するアルゴリズムを説明します。よく使われるアルゴリズムは RSA と DSA です。 |
キーサイズ | プライベートキーの暗号化の強度です。デフォルト値は 2048 です。 |
有効期間 | 日数で表した証明書が有効な時間の長さ。 |
コモンネーム(CN) | 例えば、xyzcompany.com といった、セキュア化されるホストまたはドメインの正確な名前。 |
組織名(O) | 会社の法人証明に明記されるか、政府に登録された正式な会社名。 |
部門名(OU) | 証明書を申請しているこの会社の部門(例えば E-コマース部門)。 |
市区町村(L) | 組織が登録または法人化された市または町の名前。 |
都道府県(ST) | 組織が登録されているか法人化されている都道府県。名前を入力します。 |
国(C) | 2 文字の国番号。例えばアメリカ合衆国は US、イギリス連邦は UK。 |
X.509 証明書の生成メニュー:証明書メンテナンス
証明書 | これは現在使用されている X.509 証明書の名前です。 |
---|---|
適切な処置を選択します |
|
CSR を選択すると、Server Administrator は .csr ファイルを作成します。Server Administrator は .csr ファイルを取得できるパスを表示します。
Server Administrator は、証明書のテキストをコピーして保存することも指図します。
エクスポート を選択すると、Server Administrator は、証明書を .cer ファイルとしてダウンロードし、それを選択するディレクトリに保存できるようにします。
X.509 自己署名入り証明書の内容
以下のフィールドの値は、証明書が最初に作成された際に収集されます。
Alias(エイリアス ) | エイリアスは、KeyStore に証明書を持つエンティティ用の KeyStore 固有の名前を短縮したものです。ユーザーは KeyStore 内のパブリックおよびプライベートキーに任意のエイリアス名を割り当てることができます。 |
---|---|
作成日 | 既成の証明書が最初に作成された日付。 |
プロバイダ | デフォルトの証明書プロバイダは Sun Microsystems のセキュリティプロバイダです。Sun はタイプ X509 の証明書を扱う証明書ファクトリです。 |
証明書チェーン | ルート証明書とそれに関連した応答を持つ証明書を完成します。 |
チェーン要素 1:
ユーザーが証明書の内容を表示し、説明中に チェーン要素 1: があっても チェーン要素 2: がない場合、既存の証明書は自己署名証明書です。証明書の内容が チェーン要素 2: を参照している場合、証明書には 1つ、または複数の証明機関が関連付けられています。
タイプ | X.509 |
---|---|
バージョン | X.509 のバージョン。 |
有効 | Server Administrator が証明書を有効と見なすかどうか(はい または いいえ)。 |
件名 | 証明書の発行先のエンティティの名前です。このエンティティは証明書のサブジェクトと呼ばれます。 |
発行者 | 証明書に署名した認証局の名前。 |
有効期限開始日 | 証明書が最初に使用できる日付。 |
有効期限最終日 | 証明書が最後に使用できる日付。 |
シリアル番号 | この証明書を識別する一意の番号。 |
公開キー | 証明書の公開キー。証明書が保証するタイトルに属するキー。 |
公開キー アルゴリズム | RSA または DSA。 |
キー使用法 | キー使用拡張で、キーの使用目的を定義します。キーはデジタル署名、キーの承諾、証明書の署名、その他に使用します。キーの使用法は仕様 X.509 への拡張で、すべての X.509 証明書に必要とは限りません。 |
Signature | 認証局が証明書の有効性を認めた身元情報のダイジェスト。 |
署名アルゴリズム名 | 署名を生成するために使用するアルゴリズム。 |
署名アルゴリズム OID | 署名アルゴリズムのオブジェクト ID 。 |
署名アルゴリズムパラメータ | TBS 証明書を入力に使う署名を生成するのに使うアルゴリズム。 |
TBS 証明書 | 実際の証明書の本体です。証明書内のすべての名前およびキー情報が含まれています。TBS 証明書 は、証明書を署名または検証するときに署名アルゴリズムへの入力データとして使用されます。 |
基本制限 | X.509 証明書に、証明書のサブジェクトが証明書の認証機関(CA)かどうかを識別するオプションの拡張を含めることができます。サブジェクトが CA の場合、この拡張は、証明書チェーンでこの証明書に続ける証明書の数を返します。 |
タイトルに固有の ID | 証明書の応募者の身元を示す文字列。 |
発行者に固有の ID | 証明書の発行者を識別する文字列。 |
MD5 フィンガープリント | 128 ビットのメッセージダイジェストまたはフィンガープリントを作成してデータの整合性を検証する、デジタル署名アルゴリズムです。人の指紋が一人の人固有であるのと同様、このフィンガープリントも入力データに固有です。 |
SHA1 フィンガープリント | ダイジェストやフィンガープリントの複製を作成してデータの整合性を確認するために使用されるセキュアハッシュアルゴリズム(暗号メッセージダイジェストアルゴリズム)です。これは 必要な計算量が多く、手間をかける価値がありません。 |
エンコード証明書 | バイナリ形式での証明書の内容。 |
証明書のインポート:証明書チェーンのインポート
次の手順で、CA から取得した証明書チェーンをインポートします。
- インポートする証明書ファイル名を入力するか、参照 をクリックしてファイルを検索します。
- ファイルを選択して インポート を選択します。
PKCS#12 のインポート
PKCS#12 証明書をインポートするには、次の手順を実行します。
- ウェブサーバーのキーと証明書が含まれる PKCS#12 ファイルの名前を参照します。
- キーストアパスワードを入力します。
- インポート をクリックします。