Article Number: 000158453
サーバ、中間、ルート証明書を単一の署名済み証明書から手動で分離する方法
Summary: この記事では、Windows または Linux の単一の署名付き証明書からサーバ、中間、ルート証明書を手動で分離する方法について説明します。
Article Content
Instructions
署名された証明書を一時キーストアにインポートする場合は、完全な証明書チェーンをインポートすることが重要です。Web サイトが安全であり、証明書が信頼できる認証局によって署名されていることを確認するために、ブラウザには証明書チェーンへのアクセス権が必要です。「信頼チェーン」は、署名された証明書からルート証明書へのフルパスを提供することにより、ブラウザが信頼関係接続を確立することを可能にします。との間には、1つまたは複数の中間証明書が存在する場合があります。
署名済みサーバ証明書をルート証明書に接続するすべての証明書は、証明書チェーンを構成します。チェーンは、信頼できる認証局から発行されたものに基づいて、セキュアな接続 (https) を web サーバに対して検証するために使用されます。完全な証明書チェーンがない場合、ブラウザは安全な接続を検証できません。
一部の証明書ファイルタイプには、署名済みサーバ証明書、中間証明書、ルート証明書が1つのファイルに含まれています。このような場合は、一度にフルチェーンをインポートすることができます。
通常、これらのファイルは PKCS # 12 (.pfx または p12) です。これは、パスワード保護され
た1つの .pfx ファイルに、サーバ証明書、中間証明書、プライベートキーを保存することができます。また、PKCS # 7 形式 (. p7b または p7c) にすることもできます。これには、プライベートキーではなく、チェーン内の証明書のみが含まれます。
PEM 形式の証明書 (PEM、.crt、.cer、または. key)-サーバ証明書、中間証明書、プライベートキーを単一のファイルに含めることができます。サーバ証明書と中間証明書は、個別の .crt または .cer ファイルに含まれていることがあり、秘密鍵はキーファイル
に含まれることもあります。完全な証明書チェーンが1つのファイルに含まれているかどうかを確認するには、テキストエディタを開きます。各証明書は----BEGIN CERTIFICATE----と----END CERTIFICATE----ステートメントの間に含まれています。秘密キーは----BEGIN RSA PRIVATE KEY-----と-----END RSA 秘密キー-----ステートメントの間に含まれています。
----に含まれる証明書の数----と----END 証明書----ステートメントが、チェーン内の証明書の数 (server および中級) と一致していることを確認します。ファイルに秘密キーが含まれている場合は----BEGIN RSA PRIVATE key-----、-----END RSA 秘密キーを使用している場合は、apollo に直接インポートすることができます。Data Protection Advisor(DPA):完全な信頼関係と秘密 Windows 鍵を含む署名済み証明書を dpa にインポートする方法
(Windows)、または完全な信頼チェーンを含む署名済み証明書を Linux dpaにインポートする方法については、
ファイルに完全な証明書チェーンが含まれていない場合は、ルート証明書からサーバー証明書までの証明書を手動でインポートする必要が場合によっては、各中間証明書とルート証明書を CA の個別のファイルに取得できます。一部の CAs では、サーバ証明書を取得するチェーンを個別のファイルに提供します。そのような場合は、次のコマンドを使用して、各ファイルを一時キーストアにインポートします。次のコマンドを使用します。
keytool-import-trustcacerts-alias aliasname -alias temp. キーストア-ファイル証明書. ファイルの
メモ: Csr の生成時に使用されたエイリアスとファイル名に基づいて、エイリアスとファイル名を変更します。ルート CA 証明書をインポートするときは常にエイリアスルートを使用し、サーバ証明書をインポートするときは常に、csr ファイルの生成に使用されるエイリアスを使用します。中間証明書のエイリアスは、識別子として使用されますが、それぞれが一意である限り、どのようなものでもかまいません。
CA がこれらのファイルをそれぞれ提供せず、root に手動で分離する必要がある場合は、中間証明書とサーバー証明書は、次の2つの方法のいずれかで実行できます。
Windows:
署名済み証明書ファイルを受信したら Windows で開き、ルート証明書
と中間証明書についてそれぞれをハイライト表示し、証明書の表示をクリックします。
このウィンドウで、> 詳細64の表示をクリックしてファイルにコピー > x.509 (.cer) 形式を使用して、それぞれを保存します。
それらを順番にインポートできるようにラベル付けしてください (つまり、ルート .cer、intermediate01、emcdpa .cer)。ルート証明書は自分自身によって発行されたもののみになります。次に例を挙げます。
それぞれを保存したら、アプリケーションサーバー上の dpa_jre \ サービスに移動します。
Dpa\ _jre サービスから次のコマンドを使用して、ルート証明書、中間証明書、およびエンド証明書ファイルをインポートします。
注: これらは、最後のステップで作成したファイルで、必要に応じてファイル名とファイルパスを変更し、この環境で使用されているものと一致する必要があるキーストアのパスワードを変更するようにしてください。
keytool-import-trustcacerts-alias root: キーストア-ファイルルート .cer
* これが信頼されたルート証明書であることを確認する必要があります。これは、yes (y) と enter キーを押してから、password
keytool-import-trustcacerts-alias intermediate01: new と入力します。キーストア-ファイル intermediate01
keytool-import-trustcacerts-alias emcdpa: キーストア-ファイル emcdpa. .cer
次に、次のように証明書が正しくインポートされたことを確認します。
keytool-list-v キーストアは、
適切にインポートされた場合、完全な証明書チェーンを表示する必要があります
。Linux:
Csr ファイルをテキストエディターで開きます。各証明書は、----BEGIN certificate----および----END certificate----ステートメントで特定します。
それぞれのファイルを個別のファイルに分けるには、----BEGIN 証明書----と----end certificate----ステートメントを、どちらか一方にコピーします。それぞれの内容を個別のテキストファイルにペーストし、元の署名済み証明書ファイルに配置された順序に基づいてラベルを付けます。最初はサーバ署名済み証明書で、最後は root 証明書、その間にあるものは中間証明書です。
次の例では、暗号化されたコンテンツをリプレースして、ファイルに表示された順序に従ってチェーンの各証明書を説明しています。
----BEGIN certificate----
発行先: webserver01.emc.com;
発行者: Intermediateca.crt-1
----終了証明書----
----開始証明書----
発行: Intermediateca.crt-1;
発行者: Intermediateca.crt-2
----END certificate----
----開始証明書----
発行: Intermediateca.crt-2;
発行者: ルート CA
----終了証明書----
----開始証明書----
発行: Root: CA。
発行者: ルート CA
----終了証明書----
それぞれを保存するには、開始/終了ステートメントを含む暗号化されたコンテンツ全体を個別のテキストファイルにコピーして、Root として保存し
ます。 --------次の場合
は、次のようになります。Root: CA。
発行者: ルート CA
----END certificate----
Intermediate02 には次のものが含まれます。
----BEGIN certificate----
発行: Intermediateca.crt-2;
発行者: ルート CA
----END certificate----
Intermediate01 には次のものが含まれます。
----BEGIN certificate----
発行: Intermediateca.crt-1;
発行者: Intermediateca.crt
----終了証明書----
署名済み web サーバ証明書には次のものが含まれます。
----BEGIN certificate----
発行: webserver01.emc.com;
発行者: Intermediateca.crt-1
----END CERTIFICATE----
その後、次のコマンドを使用して、これらを一時キーストアにインポートします。
/keytool-import-trustcacerts-alias root: キーストア-ファイルルート .cer
* これが信頼されたルート証明書であることを確認する必要があります。この場合、「yes (y)」および「enter」と入力し、キーストアのパスワードを入力し
ます。/keytool-import-trustcacerts-alias intermediate02-intermediate02-
import-/keytool-alias trustcacerts キーストア-ファイル intermediate01
/keytool-import-trustcacerts-alias emcdpa-キーストア-ファイル emcdpa. .cer
次に、証明書が正しくインポートされたことを次のようにして確認します。
/keytool-list-v-キーストアのインポートが正常に行われている場合は、
完全な証明書チェーンを参照してください。
署名済みサーバ証明書をルート証明書に接続するすべての証明書は、証明書チェーンを構成します。チェーンは、信頼できる認証局から発行されたものに基づいて、セキュアな接続 (https) を web サーバに対して検証するために使用されます。完全な証明書チェーンがない場合、ブラウザは安全な接続を検証できません。
一部の証明書ファイルタイプには、署名済みサーバ証明書、中間証明書、ルート証明書が1つのファイルに含まれています。このような場合は、一度にフルチェーンをインポートすることができます。
通常、これらのファイルは PKCS # 12 (.pfx または p12) です。これは、パスワード保護され
た1つの .pfx ファイルに、サーバ証明書、中間証明書、プライベートキーを保存することができます。また、PKCS # 7 形式 (. p7b または p7c) にすることもできます。これには、プライベートキーではなく、チェーン内の証明書のみが含まれます。
PEM 形式の証明書 (PEM、.crt、.cer、または. key)-サーバ証明書、中間証明書、プライベートキーを単一のファイルに含めることができます。サーバ証明書と中間証明書は、個別の .crt または .cer ファイルに含まれていることがあり、秘密鍵はキーファイル
に含まれることもあります。完全な証明書チェーンが1つのファイルに含まれているかどうかを確認するには、テキストエディタを開きます。各証明書は----BEGIN CERTIFICATE----と----END CERTIFICATE----ステートメントの間に含まれています。秘密キーは----BEGIN RSA PRIVATE KEY-----と-----END RSA 秘密キー-----ステートメントの間に含まれています。
----に含まれる証明書の数----と----END 証明書----ステートメントが、チェーン内の証明書の数 (server および中級) と一致していることを確認します。ファイルに秘密キーが含まれている場合は----BEGIN RSA PRIVATE key-----、-----END RSA 秘密キーを使用している場合は、apollo に直接インポートすることができます。Data Protection Advisor(DPA):完全な信頼関係と秘密 Windows 鍵を含む署名済み証明書を dpa にインポートする方法
(Windows)、または完全な信頼チェーンを含む署名済み証明書を Linux dpaにインポートする方法については、
ファイルに完全な証明書チェーンが含まれていない場合は、ルート証明書からサーバー証明書までの証明書を手動でインポートする必要が場合によっては、各中間証明書とルート証明書を CA の個別のファイルに取得できます。一部の CAs では、サーバ証明書を取得するチェーンを個別のファイルに提供します。そのような場合は、次のコマンドを使用して、各ファイルを一時キーストアにインポートします。次のコマンドを使用します。
keytool-import-trustcacerts-alias aliasname -alias temp. キーストア-ファイル証明書. ファイルの
メモ: Csr の生成時に使用されたエイリアスとファイル名に基づいて、エイリアスとファイル名を変更します。ルート CA 証明書をインポートするときは常にエイリアスルートを使用し、サーバ証明書をインポートするときは常に、csr ファイルの生成に使用されるエイリアスを使用します。中間証明書のエイリアスは、識別子として使用されますが、それぞれが一意である限り、どのようなものでもかまいません。
CA がこれらのファイルをそれぞれ提供せず、root に手動で分離する必要がある場合は、中間証明書とサーバー証明書は、次の2つの方法のいずれかで実行できます。
Windows:
署名済み証明書ファイルを受信したら Windows で開き、ルート証明書
と中間証明書についてそれぞれをハイライト表示し、証明書の表示をクリックします。
このウィンドウで、> 詳細64の表示をクリックしてファイルにコピー > x.509 (.cer) 形式を使用して、それぞれを保存します。
それらを順番にインポートできるようにラベル付けしてください (つまり、ルート .cer、intermediate01、emcdpa .cer)。ルート証明書は自分自身によって発行されたもののみになります。次に例を挙げます。
それぞれを保存したら、アプリケーションサーバー上の dpa_jre \ サービスに移動します。
Dpa\ _jre サービスから次のコマンドを使用して、ルート証明書、中間証明書、およびエンド証明書ファイルをインポートします。
注: これらは、最後のステップで作成したファイルで、必要に応じてファイル名とファイルパスを変更し、この環境で使用されているものと一致する必要があるキーストアのパスワードを変更するようにしてください。
keytool-import-trustcacerts-alias root: キーストア-ファイルルート .cer
* これが信頼されたルート証明書であることを確認する必要があります。これは、yes (y) と enter キーを押してから、password
keytool-import-trustcacerts-alias intermediate01: new と入力します。キーストア-ファイル intermediate01
keytool-import-trustcacerts-alias emcdpa: キーストア-ファイル emcdpa. .cer
次に、次のように証明書が正しくインポートされたことを確認します。
keytool-list-v キーストアは、
適切にインポートされた場合、完全な証明書チェーンを表示する必要があります
。Linux:
Csr ファイルをテキストエディターで開きます。各証明書は、----BEGIN certificate----および----END certificate----ステートメントで特定します。
それぞれのファイルを個別のファイルに分けるには、----BEGIN 証明書----と----end certificate----ステートメントを、どちらか一方にコピーします。それぞれの内容を個別のテキストファイルにペーストし、元の署名済み証明書ファイルに配置された順序に基づいてラベルを付けます。最初はサーバ署名済み証明書で、最後は root 証明書、その間にあるものは中間証明書です。
次の例では、暗号化されたコンテンツをリプレースして、ファイルに表示された順序に従ってチェーンの各証明書を説明しています。
----BEGIN certificate----
発行先: webserver01.emc.com;
発行者: Intermediateca.crt-1
----終了証明書----
----開始証明書----
発行: Intermediateca.crt-1;
発行者: Intermediateca.crt-2
----END certificate----
----開始証明書----
発行: Intermediateca.crt-2;
発行者: ルート CA
----終了証明書----
----開始証明書----
発行: Root: CA。
発行者: ルート CA
----終了証明書----
それぞれを保存するには、開始/終了ステートメントを含む暗号化されたコンテンツ全体を個別のテキストファイルにコピーして、Root として保存し
ます。 --------次の場合
は、次のようになります。Root: CA。
発行者: ルート CA
----END certificate----
Intermediate02 には次のものが含まれます。
----BEGIN certificate----
発行: Intermediateca.crt-2;
発行者: ルート CA
----END certificate----
Intermediate01 には次のものが含まれます。
----BEGIN certificate----
発行: Intermediateca.crt-1;
発行者: Intermediateca.crt
----終了証明書----
署名済み web サーバ証明書には次のものが含まれます。
----BEGIN certificate----
発行: webserver01.emc.com;
発行者: Intermediateca.crt-1
----END CERTIFICATE----
その後、次のコマンドを使用して、これらを一時キーストアにインポートします。
/keytool-import-trustcacerts-alias root: キーストア-ファイルルート .cer
* これが信頼されたルート証明書であることを確認する必要があります。この場合、「yes (y)」および「enter」と入力し、キーストアのパスワードを入力し
ます。/keytool-import-trustcacerts-alias intermediate02-intermediate02-
import-/keytool-alias trustcacerts キーストア-ファイル intermediate01
/keytool-import-trustcacerts-alias emcdpa-キーストア-ファイル emcdpa. .cer
次に、証明書が正しくインポートされたことを次のようにして確認します。
/keytool-list-v-キーストアのインポートが正常に行われている場合は、
完全な証明書チェーンを参照してください。
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To