CA Spectrum - 10.3.2 - Japanese - Japan

セキュリティ証明書と情報の収集

内容
casp1032jp
内容
CA Spectrum
 CAC 認証の設定を開始する前に、適切なセキュリティ証明書とセキュリティ情報があることを確認します。必要な証明書およびセキュリティ情報を収集して開始します。
以下の手順に従います。
  1. 以下の手順で、OneClick サーバの証明書をインポートします。
  2. CAC のルート証明書および中間証明書を収集します。
  3. CAC の検証に使用する方法を決定します。必要に応じて選択内容として示されている情報を記録します。
    • OCSP AIA
      証明書の「AIA 拡張」からの Common Access Card 上の証明書から OCSP サーバのパラメータを取得します。OCSP レスポンダ証明書が必要です。
    • OCSP サーバ
      OCSP サーバおよび指定されたサーバの証明書へのアクセスに URL を使用します。OCSP レスポンダ証明書および OCSP レスポンダの URL が必要です。
    • CRL ディレクトリ
      CRL ファイルが含まれるディレクトリへのパスを使用します。CRL ファイルが含まれるディレクトリへのフル パスが必要です。
    • CRL URL
      Web サーバが提供する CRL ファイルの完全 URL のスペース区切りリストを指定します。各 CRL への完全な URL が必要です。
    • CRL 配布ポイント
      CA Spectrum
       が証明書自体から CRL ファイルの Web の場所に関する情報を取得することを指定します。
    注:
     これらのオプションの詳細については、「CAC の仕組み」を参照してください。
  4. (オプション) ライトウェイト ディレクトリ アクセス プロトコル(LDAP)を使用している場合は、以下の情報を収集します。
    • ホスト名
    • Port
    • ベース識別名
    • ユーザ識別名
    • ユーザ パスワード
    • EDIPI 属性名
    • LDAP サーバの証明書(SSL を有効にした場合)
    • ID をマップするフィールド名
    • CA Spectrum
       ユーザ名を抽出するフィールド
    • 証明書から LDAP にマッピングするために、以下のことを実行します。
    • カードの証明書の ID 情報(EDIPI または別のタイプの ID)が、件名、代替名、または rfc822 名から取得されるかどうかを決定します。
    • カードから ID 情報を抽出する解析ルールを作成します。
自己署名証明書の生成
証明書がない場合は、OneClick サーバ上で自己署名証明書を生成します。
以下の手順に従います。
  1. コマンド プロンプトまたはシェルを開き、<
    SPECROOT
    >/Java/bin ディレクトリに移動します。
  2. 「keytool」プログラムに以下の引数を付けて実行します。
    -genkey -alias tomcatssl -keyalg RSA -keystore <SPECROOT>/custom/keystore/cacerts
  3. -Keystore パスワードの場合は、
    changeit
     と入力します。
    注:
     「changeit」は keystore のデフォルトのパスワードです。
  4. フィールドに必要なデータを入力します。以下のフィールドは、自明ではありません。
    • First+Last name
      OneClick サーバの完全修飾ドメイン名を指定します。たとえば、「myhostname.mydomain」とします。
    • 組織ユニット
      自分の会社の部門を指定します。たとえば、Spectrum Engineering などとします。
    • 組織
      会社名を指定します。例: CA Inc.
  5. 情報が正しいことを確認し、[はい]を入力して受け入れます。
  6. Enter キーを押して、キーストアと同じパスワードを使います。
OneClick サーバの既存の自己署名証明書をインポートします。
証明書がある場合は、
CA Spectrum
 CAC 認証用にインポートする必要があります。
CA Spectrum
 CAC 認証
用に既存の証明書をインポートするには
  1. <SPECROOT>/Java/bin ディレクトリに移動します。
  2. 以下のコマンドを実行します。
    ./keytool -importcert -alias tomcatssl -file cert_file -keystore <SPECROOT>/custom/keystore/cacerts
    • cert_file
      既存の OneClick の証明書ファイルを指定します。
  3. キーストア パスワードの場合は、
    changeit
     と入力します。
  4. Enter キーを押して、キーストアと同じパスワードを使います。
OneClick サーバの既存の秘密キーと証明書をインポートします。
重要:
 この手順では、既存の cacerts キーストアを破棄し、秘密キーと証明書を使用して新しいキーストアを作成します。現時点では、既存のキーストアに秘密キーを強制することはできません。この手順は、既存の秘密キーを使用して新しいキーストアを作成する唯一の方法です。
以下の手順に従います。
  1. 秘密キーおよび証明書ファイルを収集します。
  2. 一時ディレクトリに移動します。
  3. 以下のコマンドを実行します。
    openssl pkcs12 -export -inkey <private_key_file> -in <server_cert_file> -out mycert.pfx -name "default"
  4. 以下のディレクトリに移動します。
    <SPECROOT>
    /Java/bin
  5. 以下のコマンドを実行します。
    keytool -importkeystore -srckeystore <path_to_mycert.pfx> -srcstoretype pkcs12
-destkeystore <SPECROOT>/custom/keystore/cacerts -srcalias default -destalias
tomcatssl -destkeypass changeit
    秘密キーおよびサーバ証明書はキーストア内に格納されます。キーストアは以下のディレクトリにあります。
    <SPECROOT>
    /custom/keystore/cacerts

Content feedback and comments