X.509証明書管理

このウィンドウを使用して、Server AdministratorのWeb証明書を作成、インポート、または再使用します。

メモ: このヘルプページには、システムでサポートされていない機能の情報が含まれる場合があります。Server Administrator は、このシステムでサポートされる機能しか表示しません。

ユーザー権限

表 1. ユーザー権限
選択 表示 管理
[X.509証明書管理 ] システム管理者 システム管理者
メモ: ユーザー特権レベルの詳細については、「Server Administrator GUIの特権レベル」を参照してください。

X.509証明書管理

Web証明書は、リモート システムのIDを確保し、リモート システムとの間で交換される情報が他人によって閲覧または変更されないようにします。Server Administratorのシステム セキュリティを確保するには、新しいX.509証明書を生成するか、既存のX.509証明書を再使用するか、または証明書チェーンを認証局(CA)からインポートすることをお勧めします。

ネットワークを通してシステムあるいはシステムに取り付けられているストレージ デバイスにアクセスするユーザー権限を認証するために、証明書を申請できます。

X.509 証明書オプションメニュー

新規証明書の生成 Server Administratorを実行するサーバーとブラウザーとの間のSSL通信のための新しい自己署名証明書を生成します。
メモ:  多くのWebブラウザーは、この証明書がオペレーティング システムに信頼されている認証局(CA)によって署名されていないことから、信頼できないという警告を生成します。一部のセキュア ブラウザー設定は、自己署名SSL証明書をブロックします。このため、Server Administrator Web UIは、そのようなセキュア ブラウザーのためにCA署名済み証明書を必要とします。
証明書メンテナンス CAが信頼済みSSL Web証明書の作成を自動化できるように、ホストに関する証明書情報のすべてが含まれる証明書署名要求(CSR)を生成することを可能にします。必要な CSR ファイルは、ページ上部で指定されたパスから、またはテキストボックス内のテキスト全体をコピーして、CA 送信フォームにペーストすることによって取得できます。テキストはBase 64エンコード フォーマットである必要があります。
メモ: また、証明書情報を表示して、使用されている証明書を、他のWebサービスへのインポートが可能なユニバーサルBase–64エンコード フォーマットにエクスポートすることもできます。
証明書チェーンのインポート 信頼済みCAによって署名された証明書チェーン(PKCS#7フォーマット)をインポートすることができます。証明書は、DER または Base 64 エンコードフォーマットが可能です。
PKCS12 キーストアのインポート Server Administrator Webサーバーで使用されるキーと証明書の替わりとなるPKCS#12キーストアをインポートすることができます。
メモ: 無効な PKCS ファイルを選択したり、誤ったパスワードを入力すると、エラーメッセージが表示されます。

X.509 証明書生成メニュー:新規証明書の生成

Alias(エイリアス ) エイリアスは、KeyStore に証明書を持つエンティティ用の KeyStore 固有の名前を短縮したものです。ユーザーは KeyStore 内のパブリックおよびプライベートキーに任意のエイリアス名を割り当てることができます。
キー署名アルゴリズム サポートされている署名アルゴリズムを表示します。ドロップダウンリストからアルゴリズムを選択します。
メモ: SHA 512またはSHA 256を選択する場合、お使いのオペレーティング システム / ブラウザーがこのアルゴリズムをサポートしていることを確認してください。必要なオペレーティング システム/ブラウザーのサポートがない状態でこれらのオプションのいずれかを選択すると、Server Administratorに「cannot display the webpage」というエラーが表示されます。
キー生成アルゴリズム 証明書を生成するために使用するアルゴリズムを説明します。よく使われるアルゴリズムは RSA と DSA です。
キーサイズ プライベートキーの暗号化の強度です。デフォルト値は 2048 です。
有効期間 日数で表した証明書が有効な時間の長さ。
コモン ネーム(CN) たとえば、[xyzcompany.com]などの、セキュア化されるホストまたはドメインの正確な名前。
組織名(O) 会社の法人証明に明記されるか、政府に登録された正式な会社名。
部門名(OU) 証明書を申請しているこの会社の部門(例:[E-コマース部門])。
市区町村(L) 組織が登録または法人化された市または町の名前。
都道府県(ST) 組織が登録されているか法人化されている都道府県。名前を入力します。
国(C) 2 文字の国番号。例えばアメリカ合衆国は US、イギリス連邦は UK。
サブジェクト代替名(SAN) 要求に関連付けられている代替ドメイン名(例:[xyzcompany.com][abdcompany.com])を表示します。

X.509 証明書の生成メニュー:証明書メンテナンス

証明書 これは現在使用されているX.509証明書の名前です。
適切なアクションを選択します
  • [証明書署名要求(CSR)]:既存の証明書の情報を使用して証明書要求を作成します。
    メモ: [証明書署名要求]オプションをクリックする前に、 [X.509証明書管理]ページの [新しい証明書の生成]オプションを使用して証明書を生成していることを確認します。
  • [内容の表示]:証明書の内容を表示します。このオプションを選択すると証明書のコンポーネントを解析する詳細レポートが作成されます。
  • [BASE 64エンコード形式で証明書をエクスポート]:既存の証明書を別のアプリケーションで使用するためにエクスポートします。証明書をCERファイルとしてダウンロードし、選択したディレクトリーにファイルを保存するには、 [OK]をクリックします。

X.509 自己署名入り証明書の内容

以下のフィールドの値は、証明書が最初に作成された際に収集されます。

Alias(エイリアス ) エイリアスは、KeyStore に証明書を持つエンティティ用の KeyStore 固有の名前を短縮したものです。ユーザーは KeyStore 内のパブリックおよびプライベートキーに任意のエイリアス名を割り当てることができます。
作成日 既成の証明書が最初に作成された日付。
プロバイダ デフォルトの証明書プロバイダは Sun Microsystems のセキュリティプロバイダです。Sun はタイプ X509 の証明書を扱う証明書ファクトリです。
証明書チェーン ルート証明書とそれに関連した応答を持つ証明書を完成します。

チェーン要素 1:

ユーザーが証明書の内容を表示し、説明中に [チェーン要素 1:] があっても [チェーン要素 2:] がない場合、既存の証明書は自己署名証明書です。証明書の内容に [チェーン要素2:]が含まれる場合、1つまたは複数の認証局が証明書に関連付けられています。

タイプ X.509
バージョン X.509 のバージョン。
有効 Server Administratorが証明書を有効と見なすかどうか([はい]または [いいえ])。
件名 証明書の発行先のエンティティの名前です。このエンティティは証明書のサブジェクトと呼ばれます。
発行者 証明書に署名した認証局の名前。
サブジェクト代替名 リクエストに関連付けられた代替ドメイン名を表示します。
有効期限開始日 証明書が使用できる最初の日付。
有効期限最終日 証明書が使用できる最後の日付。
シリアル番号 この証明書を識別する一意の番号。
公開キー 証明書の公開キーで、証明書が保証するタイトルに属するキー。
公開キー アルゴリズム RSA または DSA。
キー使用法 キー使用拡張で、キーの使用目的を定義します。キーはデジタル署名、キーの承諾、証明書の署名、その他に使用します。キーの使用法は仕様 X.509 への拡張で、すべての X.509 証明書に必要とは限りません。
Signature 認証局が証明書の有効性を認めた身元情報のダイジェスト。
署名アルゴリズム名 署名を生成するために使用するアルゴリズム。
署名アルゴリズム OID 署名アルゴリズムのオブジェクト ID 。
署名アルゴリズムパラメータ TBS証明書を入力に使う署名を生成するのに使うアルゴリズム。
TBS 証明書 実際の証明書の本体。証明書内のすべての名前およびキー情報が含まれています。TBS 証明書 は、証明書を署名または検証するときに署名アルゴリズムへの入力データとして使用されます。
基本制限 X.509証明書に、証明書のサブジェクトが証明書の認証局(CA)かどうかを識別するオプションの拡張を含めることができます。サブジェクトが CA の場合、この拡張は、証明書チェーンでこの証明書に続ける証明書の数を返します。
タイトルのユニークID 証明書の応募者の身元を示す文字列。
発行者のユニークID 証明書の発行者を識別する文字列。
SHA1 フィンガープリント ダイジェストやフィンガープリントの複製を作成してデータの整合性を確認するために使用されるセキュア ハッシュ アルゴリズム(暗号メッセージ ダイジェスト アルゴリズム)です。これは[必要な計算量が多く]、手間をかける価値がありません。
エンコード証明書 バイナリー形式での証明書の内容。

証明書のインポート:証明書チェーンのインポート

次の手順で、CA から取得した証明書チェーンをインポートします。

  1. インポートする証明書ファイル名を入力するか、[参照]をクリックしてファイルを検索します。
  2. ファイルを選択して [インポート] を選択します。

PKCS#12 のインポート

PKCS#12 証明書をインポートするには、次の手順を実行します。

  1. Webサーバーのキーと証明書が含まれるPKCS#12ファイルの名前を参照します。
  2. キーストアパスワードを入力します。
  3. インポートをクリックします。
Server Administratorアクション ページに表示されるその他のボタンの詳細については、「Server Administratorウィンドウのボタン」を参照してください。