質問

Advanced Search

Solution ID : SO23395

Last Modified : 03/23/2021

Share Via Email

Oracle WebLogic Server 11g CSR生成手順 (新規/更新)

Solution

必ずお読みください

  • 本文書の内容によって生じた結果の影響について、弊社では一切の責任を負いかねますこと予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、製品のマニュアルをお読みいただくか、開発元にご確認ください。

事前にご確認ください

  • 以下の手順では、Oracle WebLogic Server が /opt/Oracle/WebLogic にインストールされている状態を想定しています。
  • 各証明書ファイルおよび鍵データベースファイルを保管するためのディレクトリを新規に作成する方法を想定します。
  • お客様の環境により、パスおよびファイル名が異なります。

Step 1:証明書保存用のディレクトリの作成

  1. Oracle WebLogic Server では、認証局証明書やサーバ証明書のキーペアを保存するためのデータベース(鍵ストアファイル)を作成する必要があります。
    このデータベースの他、各証明書ファイルを保存するための適当なディレクトリを作成します。

    # mkdir -p /opt/Oracle/Middleware/wlserver_10.3/cert

    すでにデータベースが作成済みのディレクトリの場合は、必ず新しいディレクトリを作成してください。

Step 2:秘密鍵とCSRの生成

  1. keytool を実行し、コマンドラインから証明書の記載される各項目を指定します。

    # keytool -genkey -alias <鍵名称> -keyalg RSA -keysize <鍵長> -keypass <鍵パスワード>
        -keystore <鍵ストアファイル名> -storepass <鍵ストアパスワード>

    例: keytool -genkey -alias mpki -keyalg RSA -keysize 2048 -keypass 1password -keystore keystore -storepass 1password

    ※上記例の場合、keystore という鍵ストアファイル(秘密鍵情報が含まれるファイル)が作成されます。

    • 秘密鍵生成時には、必ず2048bitを選択してください。
    • 1024bit鍵長のCSRによる申請は、2012年9月28日をもって受付を停止いたしました。
       
  2. 続いて、ディスティングイッシュネーム情報を順に入力していきます。
    注意:
    CertCentralでの申請ではCSRに入力するディスティングネーム情報は使用されません。
    証明書に反映させたいコモンネームや組織名等の情報は申請時にページで指定してください。


    以下は、SSLサーバ証明書(サーバID)申請用 CSR のディスティングイッシュネーム登録例です。
    各項目を入力し [Enter]キーを押します。

    姓名を入力してください。
    [Unknown]: www.sample.co.jp

    組織単位名を入力してください。
    [Unknown]: System Department

    組織名を入力してください。
    [Unknown]: Sample K.K.

    都市名または地域名を入力してください。
    [Unknown]: Chuo-Ku

    州名または地方名を入力してください。
    [Unknown]: Tokyo

    都市名または地域名を入力してください。
    [Unknown]: Chuo-Ku

    州名または地方名を入力してください。
    [Unknown]: Tokyo

    この単位に該当する 2 文字の国番号を入力してください。
    [Unknown]: JP

    CN=www.sample.co.jp, OU=System Department, O=Sample K.K., L=Kawasaki, ST=Kanagawa, C=JP
    でよろしいですか? [no]: yes

     

  3. CSR ファイルを作成します。

    # keytool -certreq -alias <鍵名称> -file <CSRファイル名> -keystore <鍵ストアファイル名>

    (実行例)
     

    # keytool -certreq -alias mpki -file csr.pem -keystore keystore
    キーストアのパスワードを入力してください:
    #

  4. キーストアのパスワードの入力を求められます。
    ここでは、鍵ストアファイル作成時に「鍵ストアパスワード」として指定したパスワードを入力します。
     
  5. 上記の例の場合、csr.pem というCSRファイルが作成されます。 -alias で指定する鍵名称は、サーバIDを取得後、インストールの際にも使用します。
    鍵ストアパスワードと共に忘れないように保管してください。
     

Step 3:秘密鍵のバックアップ

「Step 1:秘密鍵とCSRの生成」 の手順で作成した鍵ストアファイルをバックアップします。
例: のファイル名では、"keystore"

サーバIDは、申請に利用したCSRの生成元秘密鍵との正しい組み合わせ以外にはインストールできません。
正しい秘密鍵を確実にバックアップし、設定したパスワードを忘れないよう注意してください。

お客様の秘密鍵について

  • 秘密鍵は、セキュリティ上最も大切な情報です。秘密鍵が漏洩した場合、暗号化の安全性が失われます。
  • 秘密鍵をEメールに添付して送信したり、共有のドライブで保存するなどの行為は絶対にお止めください。
  • 当社がお客様の秘密鍵情報を受け取ることは絶対にありません。
  • 秘密鍵は必ずハードディスク以外のメディアにもバックアップを取り、厳重管理してください。
  • 設定したパスワードを忘れないように十分注意してください。