Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.

SQL Anywhere 11.0.1 (日本語) » SQL Anywhere サーバ - データベース管理 » データベースの管理 » データベース管理ユーティリティ

 

証明書作成ユーティリティ (createcert)

X.509 証明書を作成します。

構文
createcert [ -r | -s ]
オプション 説明
-r PKCS10 証明書要求を作成します。このオプションを指定すると、署名者など証明書の署名に使用される情報を求めるプロンプトは表示されません。
-s filename 指定されたファイル内にある PKCS10 証明書要求に署名します。要求は、DER または PEM でコード化できます。このオプションを指定すると、キー生成やサブジェクト情報を求めるプロンプトは表示されません。
備考

ユーザは、一般的にサード・パーティから証明書を購入します。そのような認証局には、証明書を作成するために独自のツールが用意されています。次のツールは、開発用やテスト用の証明書を作成するときに特に便利ですが、稼働時の証明書に使用することもできます。

署名済みの証明書を作成するには、オプションなしで createcert を使用します。あるユーザが要求を作成して別のユーザがそれに署名するというように、処理を 2 つのステップに分ける場合、1 番目のユーザは -r を指定した createcert を実行して要求を作成し、2 番目のユーザは -s を指定した createcert を実行して要求に署名することができます。

createcert を実行する場合は、次の情報を求めるプロンプトが表示されます。-r または -s オプションを指定した場合は、一部のプロンプトは表示されません。

  • [暗号化タイプを選択してください。]   このプロンプトは、ECC 暗号化のライセンスを購入した場合にかぎり表示されます。[RSA] または [ECC] を選択します。

  • [RSA のキー長を入力してください (512 ~ 16384)。]   このプロンプトは、RSA 暗号化を選択した場合にかぎり表示されます。512 ~ 16384 ビットの間で長さを選択できます。

  • [ECC 曲線]   このプロンプトは、ECC 暗号化のライセンスを購入し、かつ ECC 暗号化タイプを選択した場合にかぎり表示されます。ECC 曲線のリストから選択することを求めるプロンプトが表示されます。デフォルトは sect163k1 です。

  • サブジェクト情報   エンティティを識別するための次の情報を入力する必要があります。

    • [国コード]
    • [都道府県]
    • [地方]
    • [組織]
    • [組織単位]
    • [通称]

  • [署名者の証明書のファイル・パスを入力してください。]   任意で、署名者の証明書のロケーションとファイル名を指定します。この情報を指定した場合、生成された証明書は署名済み証明書です。この情報を指定しなかった場合、生成された証明書は自己署名ルート証明書です。

  • [署名者のプライベート・キーのファイル・パスを入力してください。]   証明書要求に関連付けられたプライベート・キーを保存するロケーションとファイル名を指定します。このプロンプトは、前のプロンプトでファイルを指定した場合にのみ表示されます。

  • [署名者のプライベート・キーのパスワードを入力してください。]   署名者のプライベート・キーの暗号化に使用されたパスワードを指定します。このパスワードは、プライベート・キーが暗号化されている場合にのみ指定します。

  • [シリアル番号]   任意で、シリアル番号を指定します。シリアル番号は 40 桁以下の 16 進数文字列である必要があります。この番号は、現在の署名者が署名したすべての証明書でユニークである必要があります。シリアル番号を指定しなかった場合、シリアル番号として GUID が生成されます。

  • [証明書の有効期間 (年数) (1-100)]   証明書が有効である年数 (1 ~ 100) を指定します。この期間を過ぎると、証明書と、その証明書で署名されたすべての証明書の有効期限が切れます。

  • [認証局 (はい(y) またはいいえ(n))]   この証明書を使用して、他の証明書に署名できるかどうかを示します。デフォルトでは、証明書は認証局ではありません (n)。

  • [キーの使用法]   証明書のプライベート・キーをどのように使用できるかを示す番号をカンマ区切りのリストで指定します。これは詳細オプションであり、ほとんどの状況ではデフォルト設定で十分です。デフォルトは、証明書が認証局であるかどうかによって異なります。

  • [要求を保存するファイル名を入力してください。]   このプロンプトは、-r オプションを指定した場合にかぎり表示されます。PCKS10 証明書要求のロケーションとファイル名を指定します。

  • [証明書を保存するファイル名を入力してください。]   証明書を保存するロケーションとファイル名を指定します。ロケーションとファイル名を指定しなければ、証明書は保存されません。

  • [プライベート・キーを保存するファイル名を入力してください。]   プライベート・キーを保存するロケーションとファイル名を指定します。

  • [プライベート・キーを保護するためのパスワードを入力してください。]   任意で、プライベート・キーを暗号化するために使用するパスワードを指定します。パスワードを指定しなかった場合、プライベート・キーは暗号化されません。このプロンプトは、前のプロンプトでファイルを指定した場合にのみ表示されます。

  • [ID を保存するファイル名を入力してください。]   ID を保存するロケーションとファイル名を指定します。ID ファイルは、証明書、署名者、プライベート・キーの連結です。これがサーバの起動時に指定するファイルです。プライベート・キーが保存されなかった場合は、プライベート・キーを保存するためのパスワードを求めるプロンプトが表示されます。それ以外の場合、先に指定したパスワードが使用されます。ファイル名を指定しなければ、ID は保存されません。ID ファイルを保存しない場合、手動で証明書、署名者、プライベート・キーを ID ファイルに連結できます。

参照

次の例では、署名済み証明書を作成します。この例では、署名者の証明書にファイル名を指定しないため、自己署名ルート証明書になります。

>createcert
SQL Anywhere X.509 証明書ジェネレータ バージョン 11.0.1.3330 
暗号化タイプを選択してください ((R)SA または (E)CC): r 
RSA のキー長を入力してください (512 ~ 16384): 1024 
キー・ペア作成中...
国コード: CA 
都道府県: Ontario 
地方: Waterloo 
組織: Sybase iAnywhere 
組織単位: Engineering 
通称: Test Certificate 
署名者の証明書のファイル・パスを入力してください: 
証明書は自己署名ルートになります。
シリアル番号 [GUID の生成]: 
生成されたシリアル番号 : bfb89a26fb854955954cabc4d056e177 
証明書の有効期間 (年数) (1-100): 10 
認証局 (Y/N) [N]: n 
1.  デジタル化シグニチャ 
2.  否認防止 
3.  キーの暗号化 
4.  データの暗号化 
5.  キーの承諾 
6.  証明書の署名 
7.  CRL の署名 
8.  暗号化のみ 
9.  復号化のみ キーの使用法 [3,4,5]: 3,4,5 
証明書を保存するファイル名を入力してください: cert.pem 
プライベート・キーを保存するファイル名を入力してください: key.pem 
プライベート・キーを保護するためのパスワードを入力してください: pwd 
ID を保存するファイル名を入力してください: id.pem

エンタープライズ・ルート証明書 (他の証明書に署名する証明書) を生成するためには、認証局を使用して自己署名ルート証明書を作成する必要があります。手順は前述のものと似ています。ただし、認証局のプロンプトに対する応答を yes、ロールの選択肢をオプション 6,7 (デフォルト) にする必要があります。

認証局 (Y/N) [N]: y 
1.  デジタル化シグニチャ 
2.  否認防止 
3.  キーの暗号化 
4.  データの暗号化 
5.  キーの承諾 
6.  証明書の署名 
7.  CRL の署名 
8.  暗号化のみ 
9.  復号化のみ キーの使用法 [6,7]: 6,7