証明書署名要求(CSR)の作成
Bea WebLogic 5.1
Webサイトに対してCSRを作成する場合は、以下の手順を実行しましょう。このプロセスが終了したら、下の [close] ボタンをクリックしてこのウィンドウを閉じ、次のステップへと進みます。
1. WebLogic Server を稼働してください。
2. Webブラウザ内で、 WebLogic Server Certificate Request Generator サーブレット用のURLを入力します。 そのURLはこういう形式です:
http://hostname:port/Certificate
* hostname は、WebLogic Server が稼働しているコンピュータのDNS名です。
* port は、WebLogic Server が接続を待機するポート番号です。 デフォルトは 7001 です。
たとえば、WebLogic Server が「ogre」という名前のコンピュータで稼働しており、待機するのがデフォルト ポート 7001 というように設定されている場合には、 ブラウザ内のこのURLは次のようになります。
http://ogre:7001/Certificate
3. ブラウザが WebLogic Server にログインとパスワードを要求しますので、「system」としてログインします。
Certificate Request Generator サーブレットは、ブラウザ からロードされます。
4. 以下の要領に従って、Certificate Request Generator フォームを完成させます。
Country code
あなたの国を表す2文字の ISO コード。日本国のコードは、「JP」です。
Organizational unit name
あなたの部署、部門、その他あなたの組織の運用単位の名称。
Organization name
あなたの組織の名称。その認証局(CA)は、このフィールドに入力されたホスト名がこの組織に登録されたドメイン内に存在することを要求するかもしれません。
E-mail address
ホスト管理者の電子メールアドレスを入力します。
Full host name
その証明書がインストールされるサーバの完全な名前を入力します。これは、www.mydomain.com のように、サーバの DNS ルックアップで使われる名称です。ブラウザは URL 内のサイト名と証明書内のホスト名とを比較します。後にサイト名を変更する場合には、新しい証明書を要求する必要があります。
Locality name (city)
あなたの住所の都市名、町名その他の地域名を入力します。都市(city)から受けたライセンスで運用するならば、これは必須のフィールドですので、ライセンスを与えた都市の名称を入力し、State name フィールドにあなたの State または Province を入力しなければなりません。
State name
あなたの組織の運用場所の State または Province の名前を入力します。短縮名ではいけません。
Random string
(省略可能) 暗号化アルゴリズムに使われる文字列(a string of characters)を入力します。この文字列は将来にわたって覚えておく必要はありません。これは、暗号化アルゴリズムに外部因子を追加するために使われます。これにより、暗号を破ろうとするすべての者にとってより難しい暗号ができます。こういうわけで、推測されにくい文字列を入力するのが良いでしょう。大文字、小文字、数字、空白、句読点が ほどよく混じった長い文字列ならば、より安全な暗号になります。
Strength
生成される鍵の長さ(単位はビット)。鍵が長ければ長いほど暗号を破ろうとする者にとって難しくなります。
輸出可能な WebLogic Server バージョンをお持ちであれば、このフィールドは表示されず、 512ビットの鍵が生成されます。米国内版では、 512ビット、768ビット、1024ビットのどれかを選択できます。 1024ビットをお薦めします。
5. Generate Request(生成要求)をクリックします。
必須のフィールドが空であったり、無効な値の入ったフィールドがあれば、 サーブレットはメッセージを表示します。 メッセージが表示されたら、 ブラウザの「戻る(Back)」をクリックし、エラーを正します。
フィールドのすべてが受け入れられると、 サーブレットは、その証明書要求(Certificate Request)、 秘密鍵ファイルの名称、および証明書要求ファイルの名称 を表示します。
サーブレットは、WebLogic Server の起動ディレクトリに 下記3つのファイルを生成します。
www_mydomain_com-key.der --- 秘密鍵ファイルです。
www_mydomain_com-request.dem --- バイナリ フォーマットの暗号化された証明書要求ファイルです。
www_mydomain_com-request.pem --- これは、認証機関に提出する CSR ファイルです。.dem ファイルと同じデータが入っていますが、ASCII で書かれ、電子メールにコピーしたり、Webフォームに貼り付けることができます。
6. 鍵ファイルおよびCSRをフロッピーディスクにコピーします。 安全のため、そのバックアップコピーを安全な場所に保管します。
7. OnlineSSL.jpの購入申し込みフォームにCSRをペーストして提出します。
SSLでウェブサーバにつながるとき、訪問客のブラウザはどの証明書認証局 (CA) が実際のSSL証明書を発行したのかについて、ウェブサイトのSSL証明書を信頼するべきかどうか決めます。これを決定するために、ブラウザは権限を公表して信頼されたルート証明書のリストを調べます。(ブラウザ・ベンダー(例えばマイクロソフトとネットスケープ)によって、ブラウザに加えられる信頼されたRoot CA証明書の集合によって表示されます)
ほとんどのSSL証明書は、GeoTrustとRapidSSL.comによって発行されているような自分の信頼されたルートCA証明書を所有し、使用するCAによって発行されています。GeoTrustとRapidSSL.comが信頼された認証局としてブラウザー・ベンダーに知られているとともに、その信頼されたルートCA証明書はすべてのポピュラーなブラウザーに既に加えられており、信頼されています。これらのSSL証明書は「シングルルート(単一のルート)」SSL証明書として知られています。 RapidSSL.com(GeoTrustの1事業部)も、RapidSSL証明書が使用する Equifax Secure eBusiness CA-1 ルートを所有します。
いくつかのCAは、ブラウザーの中にある信頼されたルートCA証明書を持っていません。それらの証明書が信頼されるためには「つながれたルート(Chained root)」を必要とします。 — 本質的に、信頼されたルートCA証明書を備えたCAは、信頼されたルートCAのブラウザー認識を「継承する」、「つながれた(Chained)」証明書を発行します。 そのSSL証明書は「Chained root」SSL証明書として知られています。
また、いくつかのウェブサーバは「つながれた」ルート証明書と互換性をもちません。それ自身の信頼されたルートを持つCAにとって、ブラウザーの中に既にあるCA証明書は彼らがそれらの信頼されたルートCA証明書の包含のためにブラウザー・ベンダー(マイクロソフトとネットスケープのような)との長期的な関係を持っている、安定した組織および確実な組織であるという明瞭なサインです。この理由のために、そのようなCAは、ブラウザー・ベンダーとの直接の関係を持っていない「つながれた」ルート証明書供給者よりも信用できて、安定していると見なされています。
あなたは、ブラウザでリストを見ることによってそれ自身のルート証明書を持つ証明書認証局 (CA)を見ることができます。 ここをクリックしましょう。
「つながれた」ルート証明書は、ウェブサーバに、「つながれた」ルートをインストールしなければならないので、インストールする追加の手間を必要とします。 シングルルート証明書はこのような手間が必要ではありません。
ジオトラスト RapidSSL事業部
証明書署名要求(CSR)の作成
Bea WebLogic 5.1
Webサイトに対してCSRを作成する場合は、以下の手順を実行しましょう。このプロセスが終了したら、下の [close] ボタンをクリックしてこのウィンドウを閉じ、次のステップへと進みます。
1. WebLogic Server を稼働してください。
2. Webブラウザ内で、 WebLogic Server Certificate Request Generator サーブレット用のURLを入力します。 そのURLはこういう形式です:
http://hostname:port/Certificate
* hostname は、WebLogic Server が稼働しているコンピュータのDNS名です。
* port は、WebLogic Server が接続を待機するポート番号です。 デフォルトは 7001 です。
たとえば、WebLogic Server が「ogre」という名前のコンピュータで稼働しており、待機するのがデフォルト ポート 7001 というように設定されている場合には、 ブラウザ内のこのURLは次のようになります。
http://ogre:7001/Certificate
3. ブラウザが WebLogic Server にログインとパスワードを要求しますので、「system」としてログインします。
Certificate Request Generator サーブレットは、ブラウザ からロードされます。
4. 以下の要領に従って、Certificate Request Generator フォームを完成させます。
Country code
あなたの国を表す2文字の ISO コード。日本国のコードは、「JP」です。
Organizational unit name
あなたの部署、部門、その他あなたの組織の運用単位の名称。
Organization name
あなたの組織の名称。その認証局(CA)は、このフィールドに入力されたホスト名がこの組織に登録されたドメイン内に存在することを要求するかもしれません。
E-mail address
ホスト管理者の電子メールアドレスを入力します。
Full host name
その証明書がインストールされるサーバの完全な名前を入力します。これは、www.mydomain.com のように、サーバの DNS ルックアップで使われる名称です。ブラウザは URL 内のサイト名と証明書内のホスト名とを比較します。後にサイト名を変更する場合には、新しい証明書を要求する必要があります。
Locality name (city)
あなたの住所の都市名、町名その他の地域名を入力します。都市(city)から受けたライセンスで運用するならば、これは必須のフィールドですので、ライセンスを与えた都市の名称を入力し、State name フィールドにあなたの State または Province を入力しなければなりません。
State name
あなたの組織の運用場所の State または Province の名前を入力します。短縮名ではいけません。
Random string
(省略可能) 暗号化アルゴリズムに使われる文字列(a string of characters)を入力します。この文字列は将来にわたって覚えておく必要はありません。これは、暗号化アルゴリズムに外部因子を追加するために使われます。これにより、暗号を破ろうとするすべての者にとってより難しい暗号ができます。こういうわけで、推測されにくい文字列を入力するのが良いでしょう。大文字、小文字、数字、空白、句読点が ほどよく混じった長い文字列ならば、より安全な暗号になります。
Strength
生成される鍵の長さ(単位はビット)。鍵が長ければ長いほど暗号を破ろうとする者にとって難しくなります。
輸出可能な WebLogic Server バージョンをお持ちであれば、このフィールドは表示されず、 512ビットの鍵が生成されます。米国内版では、 512ビット、768ビット、1024ビットのどれかを選択できます。 1024ビットをお薦めします。
5. Generate Request(生成要求)をクリックします。
必須のフィールドが空であったり、無効な値の入ったフィールドがあれば、 サーブレットはメッセージを表示します。 メッセージが表示されたら、 ブラウザの「戻る(Back)」をクリックし、エラーを正します。
フィールドのすべてが受け入れられると、 サーブレットは、その証明書要求(Certificate Request)、 秘密鍵ファイルの名称、および証明書要求ファイルの名称 を表示します。
サーブレットは、WebLogic Server の起動ディレクトリに 下記3つのファイルを生成します。
www_mydomain_com-key.der --- 秘密鍵ファイルです。
www_mydomain_com-request.dem --- バイナリ フォーマットの暗号化された証明書要求ファイルです。
www_mydomain_com-request.pem --- これは、認証機関に提出する CSR ファイルです。.dem ファイルと同じデータが入っていますが、ASCII で書かれ、電子メールにコピーしたり、Webフォームに貼り付けることができます。
6. 鍵ファイルおよびCSRをフロッピーディスクにコピーします。 安全のため、そのバックアップコピーを安全な場所に保管します。
7. OnlineSSL.jpの購入申し込みフォームにCSRをペーストして提出します。
