インターネット上で商取引を行うためには、VeriSign など、 外部認証局 (CA) からセキュア・サーバー証明書を購入することをお勧めします。 サポートされている CA のリストについては、認証局を参照してください。
自ら自分の CA として活動する場合は、自分自身や他の人の認証要求に署名することができます。 これは私設の Web ネットワークの中で証明書を必要とする場合は良いのですが、 外部とのインターネット商取引には適していません。 クライアントは CA 証明書を受け取って、 あなたをトラステッド CA として指定することのできる Netscape Navigator や Microsoft インターネット・エクスプローラーなどのブラウザーが必要です。
自分自身が CA として活動するには、 サーバーの鍵管理ユーティリティー (IKEYMAN および HTTP Server CA) を使うか、 CA プロバイダーから認証局ソフトウェアを購入することができます。
注: | 250 を超える証明書を管理する予定がある場合は、 CA プロバイダーからソフトウェアを購入することを考えた方が得策かもしれません。 この制限は、CA 鍵データベースに保管できる認証要求の数に基づいています。 250 の証明書を保管したあとは、ユーティリティーのパフォーマンスが非常に遅くなります。 |
HTTP Server CA を使用するには、その前に WebSphere Application Server をサーブレット・エンジンとしてインストールする必要があります。
インストール方法については、WebSphere Application Server はじめに V2 を参照してください。 この本およびその他の Application Server の文書には、 WebSphere Application Server Web サイト からアクセスすることができます。
クライアント証明書を正しくダウンロードするには、サーバー構成ファイルの中に、 次の AddType ディレクティブと MIME タイプが含まれていなければなりません。
AddType .cer application/x-x509-user-cert 7bit 0.5 #User certificate AddType .der application/x-x509-ca-cert binary 1.0 #Browser CA certificate
これらの MIME タイプは、デフォルトのサーバー構成ファイルの中に含まれています。
CA ユーティリティーを使うためにはその前に、 IKEYMAN を使ってサーバー・データベースと CA 鍵データベース、サーバー証明書、 および自己署名した CA 証明書を作成する必要があります。 指示については、 自己署名付き証明書 を参照してください。
注: | 管理者として、CA 認証要求が出されたあとにそれを自動的に処理するよう選択することができます。 自動処理を実行すると、手動で各認証要求を処理する必要がなくなります。 自動処理を実行したい場合は、IKEYMAN を使って CA 鍵データベースを設定するときに CA 鍵データベースのパスワードのための stash ファイルを作成してください。 |
CA 鍵データベースと自己署名した CA 証明書を作成したら、 cakey.kdb ファイルを CA ユーティリティー・ディレクトリーにコピーしてください。
オプションで、暗号化された CA 鍵データベース・パスワードを stash ファイルに保管するよう選択することができます。 その stash ファイルが CA 鍵データベース・ファイル (cakey.kdb) と同じディレクトリーの中にある場合は、 CA ユーティリティーによって署名されるために送られたすべての証明書は自動的に承認されます。 stash ファイル (cakey.sth) を作成したら、 そのファイルを cakey.kdb ファイルと同じディレクトリーにコピーしてください。
サーバー上の cakey.kdb ファイルは、クライアントとサーバーが使用できる形式で CA ユーティリティーにエクスポートしなければなりません。 詳しくは、CA 鍵データベースをエクスポートするを参照してください。
HTTP Server CA ユーティリティーにアクセスするには、次の URL を指定してください。
http://your.server.name/CAServlet/Welcome.html
CA としての仕事は、証明書がクライアントまたはサーバーに対して発行されることを検査することです。 要求を行っている人がその証明書を要求する権利を有した人であることを確認する必要があります。 要求を検査したあとは、HTTP Server CA を使って署名付き証明書を作成することができます。
この処理に対する入力は、クライアントまたはサーバー証明書の要求です。 その結果、あなたの秘密鍵を使って署名された証明書ができあがります。
クライアントまたはサーバー証明書を処理したあと :
これらの手順が完了すると、そのクライアントまたはサーバーはあなたの私設 Web ネットワークの中で CA 署名付き証明書を使って、ほかの HTTP Server や Web ブラウザーと通信することができます。
以下の手順にしたがって、サーバー上の CA 鍵データベース (cakey.kdb) をブラウザーとサーバーが使用できる形式でエクスポートします。 認証局を最初に設定したあとにこれらの手順を繰り返す必要はありません。
注: | CA ユーティリティーを使用するには、その前に IKEYMAN を使って cakey.kdbファイルを作成する必要があります。 指示については、 自己署名付き証明書 を参照してください。 |
ブラウザーおよびサーバーの CA 鍵データベース・ファイルをエクスポートするには、次のようにしてください。
http://your.server.name/CAServlet/Welcome.html
注:
ブラウザーおよびサーバーからの認証要求を処理するには、次のようにしてください。
http://your.server.name/CAServlet/Welcome.html
待機中の要求がある場合 :
1 つまたは複数の要求に対して処理を実行することができます。
詳しくは、ヘルプ をクリックしてください。
HTTP Server CA によって署名されたブラウザーを受け入れるには、 まずその前に HTTP Server CA を使用するブラウザーのトラステッド認証局として識別する CA 証明書をダウンロードしなければなりません。
CA 証明書をダウンロードするには、次のようにしてください。
http://your.server.name/CAServlet/Welcome.html
CA 証明書をダウンロードしたあとは、その証明書をご使用のブラウザーのトラステッド CA として指定し、 操作可能な鍵データベースの中にデフォルトとしてマークします。 いったん CA 証明書がブラウザーによってトラステッド CA として指定されたあとは、 この手順をもう一度繰り返す必要はありません。
私設ネットワークの CA からブラウザー証明書を要求するには、次のようにしてください。
http://your.server.name/CAServlet/Welcome.html
管理者の設定により、要求は自動的に承認されるか、または管理者が確認したあとで承認されます。 自動承認が起こった場合は、要求が承認されたことを確認するメッセージは表示されません。 直接 承認されたブラウザー証明書を受け取る に進んで、 その手順を完了してください。
管理者が手動の承認を設定している場合は、認証要求が受理されたことを確認するメッセージが表示されます。 承認がいつ処理されるかについては、管理者に確認してください。 承認された証明書は HTTP Server CA データベース・ディレクトリーに直接送られます。
承認されたブラウザー証明書を受け取るには、 その前に CA の証明書 (cakey.der) をダウンロードする必要があります。 詳しい手順については、 CA 証明書を Web ブラウザーにダウンロードするを参照してください。
次の手順にしたがって、承認された CA 署名のブラウザー証明書を受け取ります。
http://your.server.name/CAServlet/Welcome.html
注: | 記録が見つからないというメッセージが表示された場合は、 共通名を誤って入力した可能性があります。 入力した共通名を忘れてしまった場合は、管理者に確認してください。 |
注: | 記録が見つからないというメッセージが表示された場合は、 パスワードを誤って入力した可能性があります。 入力したパスワードを忘れてしまった場合は、管理者に確認してください。 |
見つからない場合は、CA 管理者にいつ証明書が処理される予定であるか確認してください。
ほかの Web サーバー上にある署名された HTTP Server CA 証明書を処理するには、 その前にまず自分の HTTP Server CA 証明書をターゲット Web サーバーの操作可能鍵データベースに保管する必要があります。
別のサーバーの CA 証明書をダウンロードするには、次のようにしてください。
http://your.server.name/CAServlet/Welcome.html
次の手順にしたがって、私設ネットワークの CA からサーバー証明書を要求します。
http://your.server.name/CAServlet/Welcome.html
このフォームを使って私設ネットワークの CA にサーバー認証要求を送り、 この HTTP Server がネットワークの中のブラウザーとその他のサーバーによってトラストされるようにします。 ネットワーク内に他の Web サーバーがある場合には、 リモート Web サーバーのためにこのタスクを実行することができます。
QUESTION: HOW DO YOU BROWSE THIS FILE ON THE WORKSTATION?*.arm ファイルが画面に表示されたら、このファイルの内容をクリップボードにコピーしてください。 次に Web ブラウザーで、このファイルを次のように書かれている場所に貼り付けてください。 認証要求を次の場所にコピーしてください。 このスペースに操作可能認証要求ファイル (*.arm) を貼り付けます。 これは、署名されるために HTTP Server CA に送られます。
CA 管理者が手動承認を設定している場合は、認証要求が受理されたことを示すメッセージが表示されます。
承認されたサーバー証明書を受け取るには、 その前に CA の証明書 (cakey.txt) をダウンロードする必要があります。 詳しくは、別のサーバーの CA 証明書をダウンロードする を参照してください。
次の手順にしたがって、承認された CA 署名サーバー証明書を受け取ります。
http://your.server.name/CAServlet/Welcome.html
注: | 記録が見つからないというメッセージが表示された場合は、 入力したサーバー名が誤っている可能性があります。 入力したサーバー名を忘れてしまった場合は、管理者に確認してください。 |
注: | 記録が見つからないというメッセージが表示された場合は、 パスワードを誤って入力した可能性があります。 入力したパスワードを忘れてしまった場合は、管理者に確認してください。 |
見つからない場合は、CA 管理者にいつ証明書が処理される予定であるか確認してください。
注:
金融機関や銀行の Web サーバーとして指定された場合、 HTTP Server の北米エディションでは、Netscape Navigator 4.x および Microsoft Internet Explorer 4.x の国内および国際版の中の強力な暗号化機能を使用することができます。 この機能を使うには、VeriSign から Global Server ID という特殊なディジタル証明書を購入しなければなりません。
通常の Web 取り引きでは、Netscape および Microsoft エクスポート・ブラウザーは Secure Sockets Layer (SSL) トランザクションのためだけに 40 ビットの暗号化を使用することができます。 ただし、サーバーがその SSL 証明書に対して VeriSign Global Server ID を使用している場合は、 エクスポート・ブラウザーは 128 ビット以上のより強力なレベルの暗号化を使用することができます。 これにより、Global Server ID をもつサーバーは、 Netscape と Microsoft ブラウザーの国内および国際版の両方と最高位の暗号化レベルで通信することができます。
この機能を使用したいと考えている HTTP Server の国際金融機関ならびに銀行のお客さまは、 IBM までご連絡いただき HTTP Server の北米版を取得、使用するための輸出ライセンスを得る必要があります。
エクスポート・ブラウザーで 128 ビットの暗号化を使って SSL 接続を確立するには、 次のようにします。
ブラウザー | 国内 | エクスポート |
---|---|---|
Netscape Navigator | すべてのバージョンは、 証明書と URL 要件 にリストされた要件が満たされた場合に機能します。 | バージョン 4.04 は、 128 ビットの暗号化をサポートする唯一のバージョンです。 |
インターネット・エクスプローラー | すべてのバージョンは、 証明書と URL 要件 にリストされた要件が満たされた場合に機能します。 | バージョン 4.0 (アップグレード 4.72.3110.8) は 128 ビットの暗号化をサポートする唯一のバージョンです。 アップグレード番号を確認するには、「ヘルプ」をクリックし、 次に「インターネット・エクスプローラー製品情報」をクリックしてください。 |
暗号化サポートとブラウザー要件の最新情報については、 HTTP Server Web サイト を参照してください。