自己署名証明書の作成

広く知られる認証局 (CA) から証明書を受け取るには、通常 2 週間から 3 週間かかります。 証明書が発行されるのを待っている間に、IKEYMAN を使用して、自己署名サーバー証明書を作成し、 クライアントとサーバー間の SSL セッションを使用可能にします。 ユーザー自身がプライベート Web ネットワークの認証局になる場合は、この手順を使用します。

1. 鍵データベースを作成していない場合は、 新規鍵データベースの作成 の手順を参照してください。
2. IKEYMAN ユーザー・インターフェースを開始します。
3. メイン UI で 「キー・データベース・ファイル」 をクリックし、 「開く」をクリックします。
4. 「開く」ダイアログ・ボックスで鍵データベース名を入力するか、デフォルトを使用する場合は key.kdb ファイルをクリックします。 「OK」をクリックする。
5. 「パスワード・プロンプト」ダイアログ・ボックスで、正しいパスワードを入力し、 「OK」をクリックします。
6. 「鍵データベース」コンテンツ・フレームで 「個人証明書」 をクリックし、 「新規自己署名」 ラジオ・ボタンをクリックします。
7. 「Password Prompt」ダイアログ・ボックスで以下の情報を入力します。
   • 鍵ラベル: 説明コメントを入力し、データベースの鍵および証明書を識別します。
   • 鍵サイズ: ドロップダウン・メニューから暗号化レベルを選択します。
   • 共通名: 共通名として Web サーバーの完全修飾ホスト名を入力します。 例: www.myserver.com。
   • 組織名: 組織名を入力します。
   • オプション: 組織単位
   • オプション: 市町村
   • オプション: 都道府県
   • オプション: 郵便番号
   • 国: 国別コードを入力します。 少なくとも 2 文字指定してください。 例: US 証明書はファイル名を要求するか、またはデフォルト名を使用します。
   • 有効期間

   認証要求のチェックサムは新規秘密鍵によって暗号化して署名されており、新規公開鍵のコピーを含んでいます。 この公開鍵は、証明書署名要求 (CSR) が改ざんされていないことを検証するために認証局により使用されます。 一部の認証局は、公開鍵によって署名されるチェックサムを、SHA-1 や SHA-2 (SHA-256、SHA-384、SHA-256) などの強力なアルゴリズムを使用して計算するよう要求する場合があります。

   このチェックサムは、CSR の「署名アルゴリズム」です。

   注: IBM HTTP Server 8.0 には、IKEYMAN バージョン 8.xが付属しています。 IKEYMAN バージョン 8.x を使用して認証要求を作成する場合、ユーザーはプルダウン・リストから署名アルゴリズムを選択するように求められます。

   SAN (サブジェクト代替名) 拡張は認証要求内のフィールドであり、SSL クライアントに署名付き証明書に対応する代替ホスト名を知らせるものです。 通常の証明書 (識別名にワイルドカード文字列を含まずに発行されたもの) は 1 つのホスト名に対してのみ有効です。 例えば example.com に対して作成された証明書は、「www.example.com」という SAN が証明書に追加されていなければ www.example.com では無効です。 認証局は、証明書に 1 つ以上の SAN 拡張が含まれる場合、追加料金を請求する場合があります。

8. 「OK」をクリックします。