インフォメーション・センター

クライアント認証用の証明書の取得

証明書は次のいずれかから取得することができます。

証明書要求および自己署名証明書を作成し、それらの証明書をクライアントの鍵データベースに保管する、オープン・ソースの証明書管理ツールを使用できます。

ブラウザー証明書の使用

現在ブラウザー用の証明書があるユーザーは、それを直接使用できます。あるいは、その証明書を JKS ファイル形式でエクスポートして、それをクライアント認証用に使用するワークステーションに保管できます。オプションで、証明書は、スマート・カードなどの専用の外部メディアに保管できます。

古いブラウザーからエクスポートされた証明書の暗号化強度は、通常は弱です。http や ftp などの非セキュア・プロトコルを使用してインターネットを介して証明書にアクセスする場合には強度暗号化機能を使用します。暗号化強度を変更する方法は以下のとおりです。

  1. 「通信」>「セキュリティー」とクリックします。
  2. 「クライアント証明書の表示」をクリックします。
  3. 証明書を探し出して、現行パスワードを入力します。
  4. 「証明書の表示」をクリックします。
  5. 「設定」をクリックします。
  6. 現行のパスワードを入力して、「暗号化強度」で「強」を選択します。
  7. 「OK」をクリックします。

CA への証明書要求の送信

CA の Web サイトにアクセスして、指示に従って証明書を要求します。以下は、2 つの CA の URL です。

選択する CA に応じて、証明書要求を電子メールで送信するか、 あるいは CA によって提供された書式またはファイルに証明書要求を記入することができます。CA のルート証明書が必要な場合には、Web サイトから直接入手できることがよくあります。

CA が証明書要求を処理するのを待っている間に、 使用する 自己署名証明書を作成できます。

証明書の受信

証明書を受信したら、それが armored-64 またはバイナリー DER 形式であることを確認してください。これらの形式の証明書しか鍵データベースに保管することができません。証明書管理プログラムが受け入れることができるのは単純な証明書だけです。証明書チェーンや PKCS7 データは受け入れることができません。armored-64 形式の単純証明書は "----BEGIN CERTIFICATE----" で始まり "----END CERTIFICATE----" で終わっています。

証明書を受信する方法

  1. 証明書を鍵データベースの ServerKeyStore.jks に追加します。
  2. 証明書をパスワード保護された JKS ファイルにエクスポートします。証明書とパスワードをユーザーに送信します。

証明書は、必ず保護された状態で送信してください。電子メール、http、または ftp などの非セキュア・プロトコルを使用し、 インターネットを介してファイルを送信した場合には、証明書のセキュリティーが損なわれることがあります。

証明書は、クライアントのコンピューター、ディスケット、または Web サーバーの任意の場所に保管することができます。

関連トピック