Oracle WebLogic Server 11g CSR生成手順 (新規)

Solution ID:    SO23395    Updated:    08/28/2014

Problem

Oracle WebLogic Server 11g CSR生成手順 (新規)

Solution

必ずお読みください

  • 本文書の内容によって生じた結果の影響について、弊社では一切の責任を負いかねますこと予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、製品のマニュアルをお読みいただくか、開発元にご確認ください。

事前にご確認ください

  • 以下の手順では、Oracle WebLogic Server が /opt/Oracle/WebLogic にインストールされている状態を想定しています。
  • 各証明書ファイルおよび鍵データベースファイルを保管するためのディレクトリを新規に作成する方法を想定します。
  • お客様の環境により、パスおよびファイル名が異なります。

Step 1:証明書保存用のディレクトリの作成

  1. Oracle WebLogic Server では、認証局証明書やサーバ証明書のキーペアを保存するためのデータベース(鍵ストアファイル)を作成する必要があります。
    このデータベースの他、各証明書ファイルを保存するための適当なディレクトリを作成します。

    # mkdir -p /opt/Oracle/Middleware/wlserver_10.3/cert

Step 2:秘密鍵とCSRの生成

  1. keytool を実行し、コマンドラインから証明書の記載される各項目を指定します。

    # keytool -genkey -alias <鍵名称> -keyalg RSA -keysize <鍵長> -keypass <鍵パスワード>
        -keystore <鍵ストアファイル名> -storepass <鍵ストアパスワード>

    例: keytool -genkey -alias mpki -keyalg RSA -keysize 2048 -keypass 1password -keystore keystore -storepass 1password

    ※上記例の場合、keystore という鍵ストアファイル(秘密鍵情報が含まれるファイル)が作成されます。

    • 秘密鍵生成時には、必ず2048bitを選択してください。
    • 1024bit鍵長のCSRによる申請は、2012年9月28日をもって受付を停止いたしました。
       
  2. 続いて、ディスティングイッシュネーム情報を順に入力していきます。

    各項目の入力要領は、以下のFAQを確認してください。

    以下は、SSLサーバ証明書(サーバID)申請用 CSR のディスティングイッシュネーム登録例です。
    「EV SSL証明書」申請用 CSR については、必ず以下 FAQ を事前に確認してください。

    【Common Name(コモンネーム)】 (例:https://www.sample.co.jp/ の場合→ www.sample.co.jp)
    サーバIDを導入するサイトのURL(SSL接続の際のURL:FQDN)を入力し、[Enter]キーを押します。

    姓名を入力してください。
    [Unknown]: www.sample.co.jp


    【Organizational Unit(部門名)】 (例:System Department)
    部門名・部署名など、任意の判別文字列を入力し、[Enter]キーを押します。
    ※申請団体名以外の組織名、団体名、 商号、商標 またはそれらに近似する文字列は指定できません。
    ※Division , Department , Project など、内部組織名であることが判別できる単位名を指定してください。 

    組織単位名を入力してください。
    [Unknown]: System Department


    【Organizational Name(組織名)】 (例:Sample K.K.)
    サーバID申請団体の 正式英語組織名(会社名・団体名)を入力し、[Enter]キーを押します。 

    組織名を入力してください。
    [Unknown]: Sample K.K.


    【Locality(市区町村名)】 (例:Chuo-Ku)
    市区町村名(都道府県の1つ下のレベル)をローマ字表記で入力し、[Enter]キーを押します。 

    都市名または地域名を入力してください。
    [Unknown]: Chuo-Ku


    【State(都道府県名)】 (例:Tokyo)
    都道府県名をローマ字表記で入力し、[Enter]キーを押します。 

    州名または地方名を入力してください。
    [Unknown]: Tokyo


    【Country (国名)】
    半角大文字で JP と入力し、[Enter]キーを押します。 

    この単位に該当する 2 文字の国番号を入力してください。
    [Unknown]: JP


    入力必須項目は、ここまでの6項目です。
    入力した結果に誤りがないことを確認し、問題がなければ “yes” と入力して[Enter]キーを押します。 

    CN=www.sample.co.jp, OU=System Department, O=Sample K.K., L=Kawasaki, ST=Kanagawa, C=JP
    でよろしいですか? [no]: yes

  3. CSR ファイルを作成します。

    # keytool -certreq -alias <鍵名称> -file <CSRファイル名> -keystore <鍵ストアファイル名>

    (実行例)
     

    # keytool -certreq -alias mpki -file csr.pem -keystore keystore
    キーストアのパスワードを入力してください:
    #

  4. キーストアのパスワードの入力を求められます。
    ここでは、鍵ストアファイル作成時に「鍵ストアパスワード」として指定したパスワードを入力します。
     
  5. 上記の例の場合、csr.pem というCSRファイルが作成されます。 -alias で指定する鍵名称は、サーバIDを取得後、インストールの際にも使用します。
    鍵ストアパスワードと共に忘れないように保管してください。
     

Step 3:秘密鍵のバックアップ

「Step 1:秘密鍵とCSRの生成」 の手順で作成した鍵ストアファイルをバックアップします。
例: のファイル名では、"keystore"

サーバIDは、申請に利用したCSRの生成元秘密鍵との正しい組み合わせ以外にはインストールできません。
正しい秘密鍵を確実にバックアップし、設定したパスワードを忘れないよう注意してください。

お客様の秘密鍵について

  • 秘密鍵は、セキュリティ上最も大切な情報です。秘密鍵が漏洩した場合、暗号化の安全性が失われます。
  • 秘密鍵をEメールに添付して送信したり、共有のドライブで保存するなどの行為は絶対にお止めください。
  • 当社がお客様の秘密鍵情報を受け取ることは絶対にありません。
  • 秘密鍵は必ずハードディスク以外のメディアにもバックアップを取り、厳重管理してください。
  • 設定したパスワードを忘れないように十分注意してください。

 

Disclaimer:

本情報の使用条件は次を参照してください。 利用規約

Knowledge Center