不明の CA からのサーバー証明書の使用

不明の CA とは、鍵データベースまたは CustomizedCAs.class にまだ定義されていない CA のことです。不明の CA から発行される証明書を入手および使用するには、次のようにしてください。

1. 証明書要求を作成します。
2. 要求を CA に実行依頼します。
3. CA からサーバー証明書およびルート証明書を受け取った時に、それらを鍵データベース・ファイルに保管します。ルート証明書はサーバー証明書とともに送られてくることもありますが、CA の Web サイトからよく入手することができます。
4. 証明書をクライアントに対して使用可能にします。

証明書要求を作成して CA に提出したら、CA の証明書を受け取るまで待っている間に使用する自己署名証明書を作成することができます。

証明書要求の作成

証明書要求を作成するには、次のようにします。

1. Windows では、オープン・ソースの信頼できる証明書管理ツールを使用します。
2. AIX サーバーでは、コマンド・プロンプトから CertificateManagement と入力します。AIX スクリプトのデフォルトの位置は、/opt/HCL/ZIEForWeb/bin です。「AIX での証明書管理の実行」を参照してください。
3. ヘルプの指示に従って、証明書要求を作成します。
4. 証明書管理を終了します。

証明書が期限切れになった時には、その証明書に対して CA によって指定された更新手順に従ってください。

CA への証明書要求の送信

ブラウザーを始動し、証明書を入手したい CA の URL を入力してから、指示に従って証明書を要求します。

選択する CA に応じて、証明書要求を電子メールで送信するか、あるいは CA によって提供されたフォームまたはファイルに証明書要求を記入することができます。同時に CA のルート証明書を要求します (ただしこれは、しばしば Web サイトから直接に入手することができます)。

CA が証明書要求を処理するのを待っている間に、一時的に使用する 自己署名付きルート証明書を作成できます。

鍵データベースへの証明書の保管

証明書を受け取ったら、それが armored-64 形式またはバイナリー DER 形式になっているかを確認してください。これらの形式の証明書しか鍵データベースに保管することができません。証明書管理プログラムが受け入れることができるのは単純な証明書だけです。証明書チェーンや PKCS7 データは受け入れることができません。armored-64 形式の単純証明書は "----BEGIN CERTIFICATE----" で始まり "----END CERTIFICATE----" で終わっています。

証明書管理は、鍵データベースに証明書を保管するために使用します。ルート証明書は、サーバー証明書を保管する前に 保管してください。それは、ルート証明書がサーバー証明書の妥当性を検査するために使用されるためです。

1. Windows では、オープン・ソースの証明書管理ツールのどれかを使用します。
2. AIX サーバーでは、コマンド・プロンプトから CertificatedManagement と入力します。AIX スクリプトのデフォルトの位置は、/opt/HCL/ZIEForWeb/bin です。追加情報については、「AIX での証明書管理の実行」を参照してください。
3. 「ヘルプ」のステップに従って証明書を保管します。
4. 証明書管理を終了します。

関連トピック:

• SSL の動作
• サーバー認証