SSL データ交換が、ユーザーの ID を信頼する、既に信頼されたパートナーとの間に行われる場合は、自己署名証明書で十分な場合があります。
ただし、証明書は認証局 (CA) によって署名されているものの方が、他のユーザーから信頼される可能性が高くなります。
手順
- 証明書署名要求 (CSR) を生成します。
SSL 証明書を注文する前に、暗号化されたテキスト本文である CSR をサーバーで生成する必要があります。
CSR には、会社およびドメイン名に固有の、エンコードされた情報が含まれています。
以下のコマンドで、PKCS#10 フォーマットを使用して CSR を生成します。
keytool
-certreq -v -keystore keystore_file -alias machinename –file certreq_file
例:
keytool -certreq -v -keystore "/usr/local/rc53/rc.keystore"
-alias hawk -file rc.csr
CSR は CA に送信されます。CA はオフラインで証明書要求者を認証してから、証明書または証明書チェーンを返します。
この証明書または証明書チェーンを使用して、鍵ストア内の既存の証明書チェーン (自己署名証明書から成る) を置き換えます。
- 自己署名証明書を、CA によって返された証明書または証明書チェーンに置き換えます。
- 固有の別名を指定して、信頼された CA 証明書すべてを鍵ストアにインポートします。
これらの証明書は CA の公開鍵を認証するために使用されます。
keytool
-import -v -trustcacerts -alias unique_alias -file CA_certificate_file -keystore keystore_file
例:
keytool -import -v -trustcacerts -alias root1
-file root1.certificate -keystore "/usr/local/rc53/rc.keystore"
- 以下のコマンドを入力して、CA が返した証明書をインポートします。
keytool -import -v -alias unique_alias -file your_certificate_file -keystore keystore_file
注: このコマンドには、-trustcacerts 引数は含まれていません。
例:
keytool -import -v -alias rcCertificate -file
rc.certificate -keystore "/usr/local/rc53/rc.keystore"