新規の自己署名証明書の生成
現行の自己署名証明書の有効期限が切れたか切れかかっている場合、管理 GUI またはコマンド・ライン・インターフェース (CLI) を使用して、システム用の新しい自己署名証明書を生成することができます。
このタスクについて
注: システム証明書を変更すると、そのシステムに対するすべての構成済み鍵サーバーの信頼が変更されます。システム証明書を鍵サーバーにエクスポートすることによって、システム内で鍵サーバーの信頼を再確立してください。
管理 GUI で、を選択して自己署名証明書を選択し、フォームに入力します。
コマンド・ライン・インターフェースで自己署名証明書を生成するには、以下の手順を使用します。
手順
RSA 2048 の鍵タイプを使用し、1 年で有効期限が切れる自己署名証明書を作成するには、次のコマンドを入力します。
chsystemcert -mkselfsigned -keytype rsa2048 -validity 365国、組織、共通名、サブジェクト代替名など、他の値を指定することもできます。
Chrome ブラウザーおよびその他のブラウザーでは、公開鍵証明書のインターネット標準の拡張であるサブジェクト代替名が必要になります。サブジェクト代替名の拡張は、ドメイン・ネームとサイト証明書を突き合わせるために使用され、E メール・アドレス、IP アドレス、URI、または DNS 名を使用できます。証明書を複数のサイトで使用できるように、1 つの証明書にこれらの値の集合を含めることができます。
例えば、サブジェクト代替名の拡張に DNS 名を追加するには、chsystemcert CLI コマンドに -subjectalternativename "DNS:dns.mysystem.com" というパラメーターを組み込みます。値が複数の場合は、推奨される区切り文字を使用して、
-subjectalternativename パラメーターの各項目を分離します。区切り文字は混用できます。
サポートされる区切り文字について詳しくは、chsystemcert CLI コマンドを参照してください。
| 区切り文字の名前 | シンボル | 例 |
|---|---|---|
| スペース | (スペース) | -subjectalternativename "DNS:dns.myco.com IP:1.2.3.20 URI:http:¥¥www.myco.com email:support@myco.com" |
| コンマ | (,) | -subjectalternativename "DNS:dns.myco.com,IP:1.2.3.20,URI:http:¥¥www.myco.com,email:support@myco.com" |
| セミコロン | (;) | -subjectalternativename "DNS:dns.myco.com;IP:1.2.3.20;URI:http:¥¥www.myco.com;email:support@myco.com" |
| 改行 (Linux または UNIX オペレーティング・システムの場合) | (\n) | -subjectalternativename "DNS:dns.myco.com¥nIP:1.2.3.20¥nURI:http:¥¥www.myco.com¥nemail:support@myco.com" |
| タブ (Linux または UNIX オペレーティング・システムの場合) | (\t) | -subjectalternativename "DNS:dns.myco.com¥tIP:1.2.3.20¥tURI:http:¥¥www.myco.com¥temail:support@myco.com" |
| 復帰 (Windows オペレーティング・システムの場合) | (\r) | -subjectalternativename "DNS:dns.myco.com¥rIP:1.2.3.20¥rURI:http:¥¥www.myco.com¥remail:support@myco.com" |
| 復帰改行 (Windows オペレーティング・システムの場合) | (\r\n) | -subjectalternativename "DNS:dns.myco.com¥r¥nIP:1.2.3.20¥r¥nURI:http:¥¥www.myco.com¥r¥nemail:support@myco.com" |