証明書の購入
CSR を生成した後で、CA に送信する必要があります。
VeriSign から証明書を購入する
まず、どの証明書を購入するのかを決定する必要があります。VeriSign の証明書関連製品の説明については、the section called VeriSign 認定パッケージ を参照してください。
決定したら、http://www.verisign.com/server/ にアクセスします。購入する証明書を選択します。
購入プロセスはいくぶん標準化されています。本マニュアルでは、Secure Site 証明書を購入するプロセスをステップ毎に進めて行きます。ただし、別のタイプの証明書を購入するためのプロセスも使用できるはずです。
Secure Site 証明書の場合は、(必要であれば) Two Year Option を選択して安全なサービスの場所を確認することができます。読み終えてから [Continue] をクリックします。
次のページは [Preparing for Enrollment] です。このページでは、VeriSign に提供すべき情報がまとめられています。申請の手続きを続行する前に、このページを通読して必要な情報が手元にあることを確認してください。読み終わったら、ページ下部の [Continue] ボタンをクリックします。
次のページは [CSR: Wizard: Verify Distinguished Name] です。まだ the section called 鍵の生成 と the section called 認定要求を作成して CA に送る で説明した指示にしたがって鍵と CSR を作成していない場合は、それらを作成してください。次に [I have already prepared a CSR for this enrollment] を選択し、[Continue] をクリックします。
次のステップ [Submit CSR] を Figure 5-1 に示します。[Server Software Vendor] 一覧から [Red Hat] を選択します。
CSR の内容を [Enter CSR Information] テキストボックスに貼り付けます。ファイルの内容を貼り付ける (X 使用時) には、まず /etc/htpd/conf/ssl.csr に cd します。server.csr の内容を cat server.csr コマンドによって表示します。マウスの左ボタンでクリック&ドラッグしてファイルの内容を強調表示します。Web ページ上のテキストボックスを左クリックします。中央のマウスボタンをクリックして、強調表示したテキストを貼り付けます。
CSR をコピーして貼り付ける場合は、テキストの前後にある余分な空白など (-----BEGIN CERTIFICATE REQUEST----- および -----END CERTIFICATE REQUEST----- の行を含む) をコピーしないように注意してください。これらの余分な空白を含んだ CSR を CA が拒否することが知られています。
CSR への貼り付けが成功した後で、[Continue] をクリックします。
次のステップは [Provide Proof of Right] です。これは、貴組織が合法的なものであることを VeriSign に対して証明する必要があることを意味します。まず、VeriSign は貴組織が記入した組織名を Dun & Bradstreet データベース内で検索します。貴組織が見つかった場合は、その名前を選択してください。見つからなかった場合は、[My company and/or my company's correct address is not displayed in this list.] を選択してください。[Continue] をクリックします。
VeriSign に対して貴組織の身元を証明するための最も簡単な方法は、VeriSign に D-U-N-S 番号を提出することですが、D-U-N-S 番号を持っていない場合、またはこの番号を使用したくない場合でも、他に方法があります。D-U-N-S 番号以外のものによって貴組織の身元を証明する必要がある場合は、VeriSign の指示を参照してください。証明書を申し込む前に、VeriSign に提出するための準備として証明が必要になります。必要な文書が揃ったら、登録プロセスを続行します。
Dun & Bradstreet データベースの一覧から正しい組織を選択した後で [Continue] をクリックすると、次のページ [Confirm Domain Registration] が表示されます。このページでVeriSign は、貴組織のドメインが貴組織のものとして登録されているか否かをチェックします。ドメイン名の登録については、InterNIC FAQ http://www.internic.net/faq.html を参照するか、貴組織のネットワーク管理者に相談してください。
組織のドメイン名は貴組織のものとして登録されていなければなりません。したがって、[Organization name listed in domain registry] は [Organization name you entered] と一致するはずです。一致しない場合は、おそらく正確な情報を含む CSR を新たに作成する必要があります。
ほとんどの場合、2 つのフィールドは一致します。したがって、[These organization name match] を選択して [Continue] をクリックすることができます。
次のページでは、VeriSign の初期検証チェックに合格したことが伝えられるはずです。[Continue] をクリックします。
次のページ [Complete Application] を Figure 5-2 に示します。
[Enter Technical Contact Information] セクションに、Red Hat Linux Secure Web Server の管理者または Web マスターに関する情報を入力します。
VeriSign の指示にしたがって、[Enter Organizational Contact Information] のセクションに適当な情報を入力します。
[Enter Billing Contact Information] には、請求書関連の連絡先とする人の情報を入力します。
表示される領域に 「チャレンジフレーズ」 と 「リマインダークエスチョン」 を入力します。VeriSign のサポートが必要になった場合には、チャレンジフレーズを要求されることがあるので、忘れずに記録して安全な場所に保管してください。
証明書の料金の支払方法を指定します。
ページの下部にある契約書を参照してください。契約を読んだ上で、ページの下部にある [Continue] ボタンをクリックします。これで申込書が提出されます。
登録フォームの作成に成功し、貴組織の情報と領域が VeriSign に届いた後で、VeriSign が貴組織の身元を認証し、証明書を発行することになります。申込書を承認すると、VeriSign は申込書に記載された技術の担当者と組織の担当者宛てに証明書を電子メール送信します。
VeriSign から送信された証明書を /etc/httpd/conf/ssl.crt の中の server.crt ファイルの中に保存します。the section called 証明書のテスト で説明したステップにしたがって、証明書をインストールしてください。
Thawte から証明書を購入する
Thawte から証明書を購入するには、以下の指示にしたがいます。
ブラウザで http://www.thawte.com/certs/server/request.html にアクセスします。ここには必要なステップの概要が記載されています。
最初に行うべきことは、the section called Thawte に対して貴組織の身元を証明する および上記の Web ページに記載されているように、Thawte が要求する書類を集めることです。
次のステップで、鍵と認定署名要求 (CSR) を生成します。the section called 鍵の生成 および the section called 認定要求を作成して CA に送る に含まれる指示にしたがっている場合は、すでに鍵 (/etc/httpd/conf/ssl.key/server.key) と CSR (/etc/httpd/conf/ssl.csr/server.csr) が手元にあります。まだ鍵と認定要求を作成していない場合は、本マニュアルで説明した指示にしたがって、それらを作成してください。
Thawte の [Buy a Certificate] Web ページ https://www.thawte.com/cgi/server/step1.exe にアクセスします。[SSL Server Certificate] を選択します。ページの下部にある [Next] ボタンをクリックします。
次のページは [Server Cert Enrollment] です。Figure 5-3 に示すように、/etc/httpd/conf/ssl.csr/server.csr ファイルの内容を [Certificate Signing Request (CSR)] テキストボックスの中に貼り付けます。
ファイルの内容を貼り付ける (X 使用時) には、まず /etc/htpd/conf/ssl.csr に cd します。server.csr の内容を cat server.csr コマンドによって表示します。マウスの左ボタンでクリック&ドラッグしてファイルの内容を強調表示します。Web ページ上のテキストボックスを左クリックします。中央のマウスボタンをクリックして、強調表示したテキストを貼り付けます。
CSR をコピーして貼り付ける場合は、テキストの前後にある余分な空白など (-----BEGIN CERTIFICATE REQUEST----- および -----END CERTIFICATE REQUEST----- の行を含む) をコピーしないように注意してください。これらの余分な空白を含んだ CSR を CA が拒否することが知られています。
[Web Server Software] プルダウンメニューから [Red Hat Secure Server] を選択します。
証明書の料金支払方法を選択します。
ページの下部にある [Next] をクリックします。
次のページには、Figure 5-4 に示すような [Analysis of Certificate Signing Request] が表示されます。
[Background Information] までページをスクロールします。ここでは、プルダウンメニューから貴組織の説明を選択するか、表示されるテキストボックスに自分で説明を入力します。
D-U-N-S 番号を持っている場合は、[DUNS Number] の下のテキストボックスにその番号を入力します。
Thawte の [Subscriber Agreement] を見直してください。the section called Thawte に対して貴組織の身元を証明する で説明したように、[Subscribe Agreement] に署名する予定である、貴組織の担当者に関する必須情報を入力します。
[Technical Contact/Webmaster] の下に、貴組織の Red Hat Linux Secure Web Server の管理者または Web マスターに連絡するための情報を入力します。
ページの下部にある [Next] ボタンをクリックします。
次のこれもまた [Server Cert Enrollment] という表題のついたページが登録フォームの最終ページであり、Figure 5-5 に示すようなものとして表示されます。プルダウンメニューから、Thawte への支払で使用する通貨を選択します。
貴組織の所番地を [Office Street Address] テキストボックスに入力します。
貴組織の FAX 番号を [Office Fax Number] の下のテキストボックスに入力します。
[Nearest Thawte Office] の下のプルダウンメニューから、貴組織に最も近い Thawte の営業所を選択します。
[Privacy Protection Password] の下のテキストボックスにパスワードまたはチャレンジフレーズを入力します。申込書を提出した後で、申込書のステータスを Web 上でチェックできるようになります。
ページの下部にある [Next] をクリックします。
次のページに、提出が完了したことが表示されます。このページには申込書のステータスを追跡するための番号が表示されるので、ステータスを Web 上でモニタすることができます。
Thawte が書類と料金を受け取った後で、証明書が電子メールによって発行されるはずです。証明書を受信したら、それを /etc/httpd/conf/ssl.crf/server.crt ファイルの中に保存します。証明書のインストール方法については、the section called 証明書のテスト を参照してください。
