HTTP Server CA ユーティリティーの使用法

  • 認証局オプションの概要
  • はじめに
  • WebSphere Application Server をインストールする
  • 必要な MIME タイプがサーバー構成にファイルに指定されていることを確認する
  • IKEYMAN を使って鍵データベースと証明書を作成する
  • CA 鍵データベースと証明書を CA ユーティリティー・ディレクトリーにコピーする
  • CA 鍵データベースを CA ユーティリティーにエクスポートする
  • HTTP Server CA ユーティリティーにアクセスする
  • HTTP Server CA を使ってクライアントとサーバー証明書を処理する
  • CA プロセスの概要
  • 管理タスク
  • CA 鍵データベースをエクスポートする
  • 認証要求を処理する
  • ユーザー・タスク
  • CA 証明書を Web ブラウザーにダウンロードする
  • ブラウザー証明書を要求する
  • 承認されたブラウザー証明書を受け取る
  • Webmaster タスク
  • 別のサーバーの CA 証明書をダウンロードする
  • サーバー証明書を要求する
  • 承認されたサーバー証明書を受け取る
  • 関連情報
  • 認証局オプションの概要

    インターネット上で商取引を行うためには、VeriSign など、 外部認証局 (CA) からセキュア・サーバー証明書を購入することをお勧めします。 サポートされている CA のリストについては、認証局を参照してください。

    自ら自分の CA として活動する場合は、自分自身や他の人の認証要求に署名することができます。 これは私設の Web ネットワークの中で証明書を必要とする場合は良いのですが、 外部とのインターネット商取引には適していません。 クライアントは CA 証明書を受け取って、 あなたをトラステッド CA として指定することのできる Netscape Navigator や Microsoft インターネット・エクスプローラーなどのブラウザーが必要です。

    自分自身が CA として活動するには、 サーバーの鍵管理ユーティリティー (IKEYMAN および HTTP Server CA) を使うか、 CA プロバイダーから認証局ソフトウェアを購入することができます。

    注: 250 を超える証明書を管理する予定がある場合は、 CA プロバイダーからソフトウェアを購入することを考えた方が得策かもしれません。 この制限は、CA 鍵データベースに保管できる認証要求の数に基づいています。 250 の証明書を保管したあとは、ユーティリティーのパフォーマンスが非常に遅くなります。

    はじめに

    WebSphere Application Server をインストールする

    HTTP Server CA を使用するには、その前に WebSphere Application Server をサーブレット・エンジンとしてインストールする必要があります。

    インストール方法については、WebSphere Application Server はじめに V2 を参照してください。 この本およびその他の Application Server の文書には、 WebSphere Application Server Web サイト からアクセスすることができます。

    必要な MIME タイプがサーバー構成ファイルに指定されていることを確認する

    クライアント証明書を正しくダウンロードするには、サーバー構成ファイルの中に、 次の AddType ディレクティブと MIME タイプが含まれていなければなりません。

    AddType .cer application/x-x509-user-cert 7bit   0.5 #User certificate
    AddType .der application/x-x509-ca-cert    binary 1.0 #Browser CA certificate
    

    これらの MIME タイプは、デフォルトのサーバー構成ファイルの中に含まれています。

    IKEYMAN を使って鍵データベースと証明書を作成する

    CA ユーティリティーを使うためにはその前に、 IKEYMAN を使ってサーバー・データベースと CA 鍵データベース、サーバー証明書、 および自己署名した CA 証明書を作成する必要があります。 指示については、 自己署名付き証明書 を参照してください。

    注: 管理者として、CA 認証要求が出されたあとにそれを自動的に処理するよう選択することができます。 自動処理を実行すると、手動で各認証要求を処理する必要がなくなります。 自動処理を実行したい場合は、IKEYMAN を使って CA 鍵データベースを設定するときに CA 鍵データベースのパスワードのための stash ファイルを作成してください。

    CA 鍵データベースと証明書を CA ユーティリティー・ディレクトリーにコピーする

    CA 鍵データベースと自己署名した CA 証明書を作成したら、 cakey.kdb ファイルを CA ユーティリティー・ディレクトリーにコピーしてください。

    オプションで、暗号化された CA 鍵データベース・パスワードを stash ファイルに保管するよう選択することができます。 その stash ファイルが CA 鍵データベース・ファイル (cakey.kdb) と同じディレクトリーの中にある場合は、 CA ユーティリティーによって署名されるために送られたすべての証明書は自動的に承認されます。 stash ファイル (cakey.sth) を作成したら、 そのファイルを cakey.kdb ファイルと同じディレクトリーにコピーしてください。

    CA 鍵データベースを CA ユーティリティーにエクスポートする

    サーバー上の cakey.kdb ファイルは、クライアントとサーバーが使用できる形式で CA ユーティリティーにエクスポートしなければなりません。 詳しくは、CA 鍵データベースをエクスポートするを参照してください。

    HTTP Server CA ユーティリティーにアクセスする

    HTTP Server CA ユーティリティーにアクセスするには、次の URL を指定してください。

     http://your.server.name/CAServlet/Welcome.html
    

    HTTP Server CA を使ってクライアントとサーバー証明書を処理する

    CA プロセスの概要

    CA としての仕事は、証明書がクライアントまたはサーバーに対して発行されることを検査することです。 要求を行っている人がその証明書を要求する権利を有した人であることを確認する必要があります。 要求を検査したあとは、HTTP Server CA を使って署名付き証明書を作成することができます。

    この処理に対する入力は、クライアントまたはサーバー証明書の要求です。 その結果、あなたの秘密鍵を使って署名された証明書ができあがります。

    クライアントまたはサーバー証明書を処理したあと :

    1. クライアントまたはサーバーに、CA 証明書をダウンロードするよう通知します。 詳しい手順については、CA 証明書を Web ブラウザーにダウンロードする別のサーバーの CA 証明書をダウンロードするを参照してください。

    2. クライアントまたはサーバーに対して、署名付き証明書 (CA 署名付き証明書) をダウンロードして、 そのクライアントまたはサーバーの操作可能な鍵データベースの中に受け取るよう通知します。 詳しい手順については、 承認されたブラウザー証明書を受け取る承認されたサーバー証明書を受け取るを参照してください。

    これらの手順が完了すると、そのクライアントまたはサーバーはあなたの私設 Web ネットワークの中で CA 署名付き証明書を使って、ほかの HTTP Server や Web ブラウザーと通信することができます。

    管理タスク

    CA 鍵データベースをエクスポートする

    以下の手順にしたがって、サーバー上の CA 鍵データベース (cakey.kdb) をブラウザーとサーバーが使用できる形式でエクスポートします。 認証局を最初に設定したあとにこれらの手順を繰り返す必要はありません。

    注: CA ユーティリティーを使用するには、その前に IKEYMAN を使って cakey.kdbファイルを作成する必要があります。 指示については、 自己署名付き証明書 を参照してください。

    ブラウザーおよびサーバーの CA 鍵データベース・ファイルをエクスポートするには、次のようにしてください。

    1. 次の URL を指定します。
      http://your.server.name/CAServlet/Welcome.html
      

    2. ユーティリティーの最初のページで 管理 をクリックして、 「管理タスク」ページにアクセスします。

    3. ブラウザーのための CA 鍵のエクスポート を選択して、 CA 鍵データベースのパスワードを入力します。

    4. すぐに処理 をクリックします。 これにより、cakey.der という名前のファイルが作成されます。 CA 鍵が正しくエクスポートされたことを確認するメッセージが表示されます。

    5. 「管理タスク」ページで、サーバーのための CA 鍵のエクスポート を選択して、 CA 鍵データベースのパスワードを入力します。

    6. すぐに処理 をクリックします。 これにより、cakey.txt というファイルが作成されます。 CA 鍵が正しくエクスポートされたことを確認するメッセージが表示されます。

    認証要求を処理する

    注:

    1. CA 鍵データベースのパスワードの stash ファイル (cakey.sth) を作成すると、 すべてのブラウザーとサーバー認証要求は自動的に承認されます。

    2. 認証要求は必ずセキュア接続を使って処理してください。

    ブラウザーおよびサーバーからの認証要求を処理するには、次のようにしてください。

    1. 次の URL を指定します。
      http://your.server.name/CAServlet/Welcome.html
      

    2. ユーティリティーの最初のページで 管理 をクリックして、 「管理タスク」ページにアクセスします。

    3. 保留中の要求を処理 または すべての要求を処理 を選択し、 すぐに処理 をクリックします。

      待機中の要求がある場合 :

      1 つまたは複数の要求に対して処理を実行することができます。

    4. 処理 をクリックします。 証明書データベースが正しく更新されたことを確認するメッセージが表示されます。

    詳しくは、ヘルプ をクリックしてください。

    ユーザー・タスク

    CA 証明書を Web ブラウザーにダウンロードする

    HTTP Server CA によって署名されたブラウザーを受け入れるには、 まずその前に HTTP Server CA を使用するブラウザーのトラステッド認証局として識別する CA 証明書をダウンロードしなければなりません。

    CA 証明書をダウンロードするには、次のようにしてください。

    1. 次の URL を指定します。
      http://your.server.name/CAServlet/Welcome.html
      

    2. 「ブラウザー証明書」から Webserver から CA 証明書をダウンロードする をクリックします。

    3. 指示にしたがって、cakey.der ファイルをご使用のワークステーションにダウンロードします。

    CA 証明書をダウンロードしたあとは、その証明書をご使用のブラウザーのトラステッド CA として指定し、 操作可能な鍵データベースの中にデフォルトとしてマークします。 いったん CA 証明書がブラウザーによってトラステッド CA として指定されたあとは、 この手順をもう一度繰り返す必要はありません。

    ブラウザー証明書を要求する

    私設ネットワークの CA からブラウザー証明書を要求するには、次のようにしてください。

    1. 次の URL を指定します。
      http://your.server.name/CAServlet/Welcome.html
      

    2. 「ブラウザー証明書」の中から ブラウザー証明書の要求 をクリックします。

    3. 「共通名」フィールドに、好きな名前を指定してください。 後に署名付き証明書を受け取るときにこの名前が必要になるため、必ずメモを取っておいてください。

    4. 「Challenge Phrase」フィールドにパスワードを入力してください。 このパスワードは、あとで承認された証明書をダウンロードするときに必要になります。

    5. 必須フィールドをすべて埋めてください。詳細については、ヘルプ をクリックしてください。

    6. 要求を提出 をクリックすると、完成したフォームが承認のために CA に送られます。 秘密鍵の生成処理がご使用のブラウザー上が始まります。この秘密鍵が、要求している証明書に使用されます。

    7. ブラウザーで OK をクリックすると、秘密鍵が作成されます。

    管理者の設定により、要求は自動的に承認されるか、または管理者が確認したあとで承認されます。 自動承認が起こった場合は、要求が承認されたことを確認するメッセージは表示されません。 直接 承認されたブラウザー証明書を受け取る に進んで、 その手順を完了してください。

    管理者が手動の承認を設定している場合は、認証要求が受理されたことを確認するメッセージが表示されます。 承認がいつ処理されるかについては、管理者に確認してください。 承認された証明書は HTTP Server CA データベース・ディレクトリーに直接送られます。

    承認されたブラウザー証明書を受け取る

    承認されたブラウザー証明書を受け取るには、 その前に CA の証明書 (cakey.der) をダウンロードする必要があります。 詳しい手順については、 CA 証明書を Web ブラウザーにダウンロードするを参照してください。

    次の手順にしたがって、承認された CA 署名のブラウザー証明書を受け取ります。

    1. 次の URL を指定します。
      http://your.server.name/CAServlet/Welcome.html
      

    2. 「ブラウザー証明書」の中から 承認された証明書を受け取る をクリックします。

    3. 証明書の要求フォームに指定した「共通名」を入力します。
      注:記録が見つからないというメッセージが表示された場合は、 共通名を誤って入力した可能性があります。 入力した共通名を忘れてしまった場合は、管理者に確認してください。

    4. 「Challenge Phrase」フィールドにパスワードを入力して、要求を提出 をクリックしてください。
      注:記録が見つからないというメッセージが表示された場合は、 パスワードを誤って入力した可能性があります。 入力したパスワードを忘れてしまった場合は、管理者に確認してください。

    5. 証明書が見つかると、「証明書のダウンロード」ページが表示され、 その証明書をダウンロードすることができます。 ダウンロード処理を開始するには、 証明書をダウンロードするにはここをクリック をクリックしてください。

      見つからない場合は、CA 管理者にいつ証明書が処理される予定であるか確認してください。

    6. 承認された証明書を受け取ったあとは、 ご使用のブラウザーは私設ネットワーク内のほかのクライアントやサーバーに信頼されます。

    Webmaster タスク

    別のサーバーの CA 証明書をダウンロードする

    ほかの Web サーバー上にある署名された HTTP Server CA 証明書を処理するには、 その前にまず自分の HTTP Server CA 証明書をターゲット Web サーバーの操作可能鍵データベースに保管する必要があります。

    別のサーバーの CA 証明書をダウンロードするには、次のようにしてください。

    1. 次の URL を指定します。
      http://your.server.name/CAServlet/Welcome.html
      

    2. 「サーバー証明書」で Webserver から CA 証明書をダウンロード をクリックします。 cakey.txt ファイルが表示されます。

    3. CA 鍵をインポートするには、システム上に *.txt ファイルを作成し、 証明書ファイル (cakey.txt) をクリップボードにコピーします。

    4. コピーした証明書ファイルをクリップボードから、作成した新しい *.txt ファイルに貼り付けます。

    5. この CA 証明書 (*.txt file) を IKEYMAN を使ってターゲット Web サーバーの操作可能鍵データベースに保管します。 詳しくは、CA の証明書を保管する を参照してください。

    サーバー証明書を要求する

    次の手順にしたがって、私設ネットワークの CA からサーバー証明書を要求します。

    1. 次の URL を指定します。
      http://your.server.name/CAServlet/Welcome.html
      

    2. 「サーバー証明書」で サーバー証明書の要求 をクリックします。 「サーバー証明書の要求」フォームが表示されます。

      このフォームを使って私設ネットワークの CA にサーバー認証要求を送り、 この HTTP Server がネットワークの中のブラウザーとその他のサーバーによってトラストされるようにします。 ネットワーク内に他の Web サーバーがある場合には、 リモート Web サーバーのためにこのタスクを実行することができます。

    3. 「サーバー名」フィールドに、好きなサーバー名を指定してください。 後に承認された証明書をダウンロードするときにこの名前が必要になるため、必ずメモを取っておいてください。

    4. 「組織」フィールドに、好きな組織名を指定してください。

    5. 「Challenge Phrase」フィールドにパスワードを入力してください。 このパスワードは、あとで承認された証明書をダウンロードするときに必要になります。

    6. 必須フィールドをすべて埋めてください。詳細については、ヘルプ をクリックしてください。

    7. Web サーバーの操作可能認証要求ファイル (*.arm) をブラウズします。
      QUESTION: HOW DO YOU BROWSE THIS FILE ON THE WORKSTATION?
      
      *.arm ファイルが画面に表示されたら、このファイルの内容をクリップボードにコピーしてください。 次に Web ブラウザーで、このファイルを次のように書かれている場所に貼り付けてください。 認証要求を次の場所にコピーしてください。 このスペースに操作可能認証要求ファイル (*.arm) を貼り付けます。 これは、署名されるために HTTP Server CA に送られます。

    8. 要求を提出 をクリックすると、完成したフォームが承認のために CA に送られます。

    9. CA 管理者が自動承認を設定している場合は、 証明書をダウンロードするにはここをクリック オプションをクリックすると、処理が開始されます。 自動承認が起こった場合は、要求が承認されたことを確認するメッセージは表示されません。 直接 承認されたサーバー証明書を受け取る に進んで、その手順を完了してください。

      CA 管理者が手動承認を設定している場合は、認証要求が受理されたことを示すメッセージが表示されます。

    承認されたサーバー証明書を受け取る

    承認されたサーバー証明書を受け取るには、 その前に CA の証明書 (cakey.txt) をダウンロードする必要があります。 詳しくは、別のサーバーの CA 証明書をダウンロードする を参照してください。

    次の手順にしたがって、承認された CA 署名サーバー証明書を受け取ります。

    1. 次の URL を指定します。
      http://your.server.name/CAServlet/Welcome.html
      

    2. 「サーバー証明書」で サーバー証明書を受け取る をクリックします。

    3. 証明書の要求フォームに指定した「サーバー名」を入力します。
      注:記録が見つからないというメッセージが表示された場合は、 入力したサーバー名が誤っている可能性があります。 入力したサーバー名を忘れてしまった場合は、管理者に確認してください。

    4. 「Challenge Phrase」フィールドにパスワードを入力して、要求を提出 をクリックしてください。
      注:記録が見つからないというメッセージが表示された場合は、 パスワードを誤って入力した可能性があります。 入力したパスワードを忘れてしまった場合は、管理者に確認してください。

    5. 証明書が見つかると、「証明書のダウンロード」ページが表示され、 その証明書をダウンロードすることができます。 ダウンロード処理を開始するには、 証明書をダウンロードするにはここをクリック をクリックしてください。

      見つからない場合は、CA 管理者にいつ証明書が処理される予定であるか確認してください。

    6. ダウンロード処理が完了すると、Web ブラウザーに署名認証要求ファイルが表示されます。 コピーと貼り付け機能を使って、このファイルをクリップボードにコピーしてください。 署名付き証明書をサーバー上の *.cert ファイルに貼り付けてください。

    7. IKEYMAN を使って署名付き証明書をサーバーの操作可能な鍵データベース (*.kdb) の中に受け取ってください。 詳しくは、instructions, see トラステッド CA によって署名された証明書を受け取る を参照してください。

    8. 承認された証明書を受け取ったあとは、 サーバーは私設ネットワークの中のほかの HTTP Server や Web ブラウザーによってトラストされます。

    関連情報

    注:

    1. クライアント認証に証明書取り消しリスト (CRL) を使用する場合は、 IBM Registry から CA ソフトウェアを購入して独自の証明書を発行する必要があります。

    2. 銀行やその他の金融機関は、 サーバーのエクスポート・エディションが 128 ビット以上の暗号化レベルを使用できる、 特殊なディジタル証明書を購入することができます。 詳しくは、銀行やその他金融機関の Web サーバーのためのより強力な暗号化オプションを参照してください。

    銀行やその他の金融機関のためのより強力な暗号化オプション

    金融機関や銀行の Web サーバーとして指定された場合、 HTTP Server の北米エディションでは、Netscape Navigator 4.x および Microsoft Internet Explorer 4.x の国内および国際版の中の強力な暗号化機能を使用することができます。 この機能を使うには、VeriSign から Global Server ID という特殊なディジタル証明書を購入しなければなりません。

    通常の Web 取り引きでは、Netscape および Microsoft エクスポート・ブラウザーは Secure Sockets Layer (SSL) トランザクションのためだけに 40 ビットの暗号化を使用することができます。 ただし、サーバーがその SSL 証明書に対して VeriSign Global Server ID を使用している場合は、 エクスポート・ブラウザーは 128 ビット以上のより強力なレベルの暗号化を使用することができます。 これにより、Global Server ID をもつサーバーは、 Netscape と Microsoft ブラウザーの国内および国際版の両方と最高位の暗号化レベルで通信することができます。

    この機能を使用したいと考えている HTTP Server の国際金融機関ならびに銀行のお客さまは、 IBM までご連絡いただき HTTP Server の北米版を取得、使用するための輸出ライセンスを得る必要があります。

    証明書と URL 要件

    エクスポート・ブラウザーで 128 ビットの暗号化を使って SSL 接続を確立するには、 次のようにします。

    ブラウザー要件


    表 2. Global server ID ブラウザー要件

    ブラウザー 国内 エクスポート
    Netscape Navigator すべてのバージョンは、 証明書と URL 要件 にリストされた要件が満たされた場合に機能します。 バージョン 4.04 は、 128 ビットの暗号化をサポートする唯一のバージョンです。
    インターネット・エクスプローラー すべてのバージョンは、 証明書と URL 要件 にリストされた要件が満たされた場合に機能します。 バージョン 4.0 (アップグレード 4.72.3110.8) は 128 ビットの暗号化をサポートする唯一のバージョンです。 アップグレード番号を確認するには、「ヘルプ」をクリックし、 次に「インターネット・エクスプローラー製品情報」をクリックしてください。

    暗号化サポートとブラウザー要件の最新情報については、 HTTP Server Web サイト を参照してください。

    ページのトップへ