このトピックでは、サーバーでトラステッド CA として指定されている認証局 (CA) から電子的にメール送信される証明書を受け取る方法について説明します。
認証局は、デジタル署名および公開鍵と秘密鍵のペアの作成に使用される
デジタル証明書を発行する、信頼できるサード・パーティーの組織または会社です。
このタスクについて
認証局は、複数の証明書を送信することができます。ご使用のサーバーの証明書に加えて、CA は
署名証明書または中間 CA 証明書も送信することができます。
例えば、Verisign は、Global Server ID 証明書を送信する際に、中間 CA 証明書を含めます。
サーバー証明書を受信する前に、追加の中間 CA 証明書を受信します。
『CA 証明書の保管』トピックの指示に従って、中間 CA 証明書を受信してください。
CA の署名付き証明書を発行している CA が、鍵データベースのトラステッド CA ではない場合、
まず CA 証明書を保管し、トラステッド CA として CA を指定します。
その後、データベースに CA の署名付き証明書を受信することができます。
CA 署名付き証明書をトラステッド CA でない CA から受信することはできません。
手順については、認証局証明書の保管を参照してください。
手順
- 以下のようにして、gskcmd コマンド行インターフェースを使用して、CA が署名した証明を鍵データベースに取り込みます。
<ihsinst>/bin/gskcmd -cert -receive -file <filename> -db <filename> -pw <password>
-format <ascii | binary> -label <label> -default_cert <yes | no>
各部の意味は、次のとおりです。- -cert は、自己署名証明書を指定します。
- -receive は、受信アクションを指定します。
- -file <filename> は、CA 証明書を含むファイルです。
- -db <filename> は、データベース名です。
- -pw <password> は、鍵データベースにアクセスするためのパスワードです。
- -format <ascii | binary> は、認証局が
提供する CA 証明書を ASCII またはバイナリー・フォーマットに指定します。
- -default_cert <yes | no> は、これが鍵データベースのデフォルトの証明書であるかどうかを示します。
- -label は、CA 証明書に付加されるラベルを指定します。
- -trust は、この CA が信頼できるかどうかを示しています。CA 証明書を受信するときは、enable オプションを使用します。
- GSKCapiCmd ツールを使用して、CA が署名した証明書を鍵データベースに取り込みます。 GSKCapiCmd は、CMS 鍵データベース内の鍵、証明書、および証明書要求を管理するツールです。このツールは、既存の GSKit Java™ コマンド行ツールが持っている機能をすべて備えています。ただし、GSKCapiCmd は CMS および PKCS11 鍵データベースをサポートしています。CMS または PKCS11 以外の鍵データベースを管理する場合は、既存の Java ツールを使用してください。GSKCapiCmd を使用すると、CMS 鍵データベースのすべての側面を管理できます。GSKCapiCmd は、システムに Java がインストールされていなくても使用できます。
<ihsinst>/bin/gskcapicmd -cert -receive -file <name>
-db <name> [-crypto <module name> [-tokenlabel <token label>]]
[-pw <passwd>][-default_cert <yes|no>][-fips>