鍵データベースには、鍵ペアおよび証明書要求が保管されています。
このセクションでは、鍵ペアおよび証明書要求の作成方法に関する情報を提供します。
始める前に
GSKit 証明書サポート制約があり、新規鍵ペアと証明書要求の作成時に念頭に入れておく必要があります。
- IKEYMAN を使用した場合、4096 ビットより大きい鍵サイズの証明書を作成することはできません。
- 鍵サイズが 4096 ビットまでの証明書を鍵データベースにインポートすることができます。
このタスクについて
公開鍵と秘密鍵のペアおよび証明書要求を作成するには、以下のステップを実行します。
手順
- 鍵データベースを作成していない場合は、新規鍵データベースの作成の指示を参照してください。
- IKEYMAN ユーザー・インターフェースを開始します。
- メインのユーザー・インターフェースから「鍵データベース・ファイル (Key Database File)」をクリックし、次に「オープン」をクリックします。
- 「オープン」ダイアログ・ボックスで鍵データベース名を入力するか、または、デフォルトを使用する場合は
「key.kdb」ファイルをクリックします。
「OK」をクリックします。
- 「Password Prompt」ダイアログ・ボックスで、正しいパスワードを入力し、「OK」をクリックします。
- メインのユーザー・インターフェースから「作成」をクリックし、次に「New Certificate Request」をクリックします。
- 「New Key and Certificate Request」ダイアログ・ボックスで、以下の情報を入力します。
- 鍵ラベル: 説明コメントを入力し、データベースの鍵および証明書を識別します。
- 鍵サイズ: ドロップダウン・メニューから暗号化レベルを選択します。
- 組織名: 組織名を入力します。
- 組織単位
- 場所
- 都道府県
- 郵便番号
- 国: 国別コードを入力します。少なくとも 2 文字指定してください。
例: US 証明書はファイル名を要求するか、またはデフォルト名を使用します。
認証要求のチェックサムは新規秘密鍵によって暗号化して署名されており、新規公開鍵のコピーを含んでいます。この公開鍵は、証明書署名要求 (CSR) が改ざんされていないことを検証するために認証局により使用されます。一部の認証局は、公開鍵によって署名されるチェックサムを、SHA-1 や SHA-2 (SHA-256、SHA-384、SHA-256) などの強力なアルゴリズムを使用して計算するよう要求する場合があります。
このチェックサムは、CSR の「署名アルゴリズム」です。
SAN (サブジェクト代替名) 拡張は認証要求内のフィールドであり、SSL クライアントに署名付き証明書に対応する代替ホスト名を知らせるものです。
通常の証明書 (識別名にワイルドカード文字列を含まずに発行されたもの) は 1 つのホスト名に対してのみ有効です。例えば example.com に対して作成された証明書は、「www.example.com」という SAN が証明書に追加されていなければ www.example.com では無効です。
認証局は、証明書に 1 つ以上の SAN 拡張が含まれる場合、追加料金を請求する場合があります。
- 「OK」をクリックします。
- 「情報」ダイアログ・ボックスで「OK」をクリックします。認証局にファイルを送信するための覚え書が表示されます。
- オプション: UNIX ベースのプラットフォームで、行末の文字 (^M) を証明書要求から除去します。 行末の文字を除去するには、以下のコマンドを入力します。
cat certreq.arm |tr -d "¥r" > new_certreq.arm
- 認証局 (CA) の Web サイトの、新規証明書を要求するための指示に従って、ファイルを CA に送信します。