新規の署名付き証明書の要求とインストール

現行の署名付き証明書の有効期限が切れたか切れかかっている場合、認証局からの新しい署名付き証明書を要求することができます。

このタスクについて

注: システム証明書を変更すると、システムにおける構成済み鍵サーバーの信頼が変更されます。システム証明書を鍵サーバーにエクスポートすることによって、システム内で鍵サーバーの信頼を再確立してください。

管理 GUI で「設定」 > 「セキュリティー」 > 「セキュア通信」を選択して署名付き証明書を選択し、システム用の署名付き証明書の要求を作成するフォームに入力します。認証局から証明書を受け取った後、このパネルを使用して、証明書をシステムにインストールします。

手順

  1. コマンド・ライン・インターフェースで、次のコマンドを入力して、新しい認証要求を作成します。 
    chsystemcert -mkrequest -keytype ecdsa521 -country GB -state Hampshire -locality Hursley -org MYCO -orgunit Storage -commonname svcsystem1.myco.com -email admin@myco.com
    認証要求は、自動的に /dumps/certificate.csr に書き込まれます。

    Chrome ブラウザーおよびその他のブラウザーでは、公開鍵証明書のインターネット標準の拡張であるサブジェクト代替名が必要になります。サブジェクト代替名の拡張は、ドメイン・ネームとサイト証明書を突き合わせるために使用され、E メール・アドレス、IP アドレス、URI、または DNS 名を使用できます。証明書を複数のサイトで使用できるように、1 つの証明書にこれらの値の集合を含めることができます。

    例えば、サブジェクト代替名の拡張に DNS 名を追加するには、chsystemcert CLI コマンドに -subjectalternativename "DNS:dns.mysystem.com" というパラメーターを組み込みます。値が複数の場合は、推奨される区切り文字を使用して、 -subjectalternativename パラメーターの各項目を分離します。区切り文字は混用できます。
    表 1. 推奨される区切り文字
    区切り文字の名前 シンボル
    スペース (スペース) -subjectalternativename "DNS:dns.myco.com IP:1.2.3.20 URI:http:¥¥www.myco.com email:support@myco.com"
    コンマ (,) -subjectalternativename "DNS:dns.myco.com,IP:1.2.3.20,URI:http:¥¥www.myco.com,email:support@myco.com"
    セミコロン (;) -subjectalternativename "DNS:dns.myco.com;IP:1.2.3.20;URI:http:¥¥www.myco.com;email:support@myco.com"
    改行 (Linux または UNIX オペレーティング・システムの場合) (\n) -subjectalternativename "DNS:dns.myco.com¥nIP:1.2.3.20¥nURI:http:¥¥www.myco.com¥nemail:support@myco.com"
    タブ (Linux または UNIX オペレーティング・システムの場合) (\t) -subjectalternativename "DNS:dns.myco.com¥tIP:1.2.3.20¥tURI:http:¥¥www.myco.com¥temail:support@myco.com"
    復帰 (Windows オペレーティング・システムの場合) (\r) -subjectalternativename "DNS:dns.myco.com¥rIP:1.2.3.20¥rURI:http:¥¥www.myco.com¥remail:support@myco.com"
    復帰改行 (Windows オペレーティング・システムの場合) (\r\n) -subjectalternativename "DNS:dns.myco.com¥r¥nIP:1.2.3.20¥r¥nURI:http:¥¥www.myco.com¥r¥nemail:support@myco.com"
    サポートされる区切り文字について詳しくは、chsystemcert CLI コマンドを参照してください。
  2. セキュア・コピー (scp) を使用して、/dumps/certificate.csr ファイルをシステムからコピーし、そのファイルを署名のために認証局 (CA) へ送信します。認証局は、署名付き証明書を返してきます。証明書を受信した後、scp を使用してシステム上の /dumps/certificate.cer ファイルに証明書をコピーして戻します。ここで、certificate.cer は証明書の名前です。
  3. 証明書をシステムにコピーした後、次のコマンドを入力して、システムに証明書をインストールします。
    chsystemcert -install -file /dumps/certificate.cer