Skip to content
CA API Gateway - 9.1 - Japanese - Japan
Documentation powered by DocOps

秘密鍵の作成

Last update December 12, 2017

秘密鍵は、SSL 通信、送信メッセージへの署名、および受信メッセージの復号化に使用します。Policy Manager を使用して、新しい秘密鍵を作成するか、または PKCS#12 ファイルから既存のキーをインポートできます。秘密鍵の詳細については、「秘密鍵の管理」を参照してください。

内蔵のハードウェア セキュリティ モジュール(HSM)を使用して設定された CA API Gateway クラスタに新しい秘密鍵を作成する場合、新しい秘密鍵が認識されるようにクラスタ内のすべてのノードを再起動する必要があります。

新しい秘密鍵を作成する方法

  1. Policy Manager で、メイン メニューから[Tasks]-[Certificates, Keys, and Secrets]-[Manage Private Keys]を選択します。[Manage Private Keys]ダイアログ ボックスが表示されます。
  2. Create]をクリックします。
    Basic]タブが表示された状態で、[Create Private Key]ダイアログ ボックスが表示されます。
  3. Basic]タブでプロパティを以下のように設定します。

    フィールド

    説明

    Alias

    キーのエイリアスを入力します。

    Subject DN

    新しい秘密鍵の初期自己署名証明書用のサブジェクト DN を入力します。これは、初期自己署名証明書の所有者を指定し、X.509 サブジェクトの形式である必要があります。以下に例を示します。
    CN=ssl.layer7tech.com, O="CA Technologies, Inc", L=Vancouver, ST=British Columbia, C=CA
    カンマが含まれるフィールドは引用符で囲む必要があることに注意してください。

    Key type

    ドロップダウン リストからキー タイプを選択します。

    Days until expiry

    初期自己署名証明書が期限切れになるまでの日数を入力します。デフォルトは 1825 日(5 年)です。

    CA capable

    秘密鍵が CA 対応である場合は、[Certificate will be used to sign other certificates]チェック ボックスをオンにします。Policy Manager は、 アイコンを使用して CA 対応のキーを示します。

    CA 対応として CA API Gateway によって作成された自己署名証明書を持つキーは、その他の目的には使用できません。
    高度なヒント: 初期自己署名証明書が[Certificate will be used to sign other certificates]オプションを使用して作成された場合でも、その他のキー使用方法に対して公開鍵を証明する別の証明書チェーン(たとえば、内部またはパブリック PKI プロバイダからの)に証明書チェーン全体を置き換えることができます。

    Security Zone

    必要に応じて、セキュリティ ゾーンを選択します。セキュリティ ゾーン(セキュリティ ロールの許可)からこのエンティティを削除するには、[No security zone]を選択します。
    セキュリティ ゾーンの詳細については、「セキュリティ ゾーンの理解」を参照してください。

    このコントロールは、(a)セキュリティ ゾーンが定義されていない、または(b)(ゾーン内部のエンティティへの読み取りアクセスがあるかどうかに関係なく)セキュリティ ゾーンへの読み取りアクセス権がない場合は表示されません。

    セキュリティ ゾーンはキーストア自体ではなく秘密鍵に適用されます。たとえば、「Manage Test Zone」ロールのみが割り当てられており、Test ゾーンの秘密鍵を管理する必要がある場合は、CA API Gateway のキーストアへの読み取り権限を付与する別のロールも必要です。

  4. Advanced]タブで、証明書を署名する場合に使用する特定のシグネチャ ハッシュを選択します。デフォルト設定の[Auto]は、CA API Gateway が自動的にシグネチャ ハッシュを決定することを意味します。このデフォルトは、ほとんどのインスタンスで問題なく動作するはずです。
  5. Create]をクリックして、新しいキー ペアを生成します。新しい秘密鍵が[Manage Private Keys]ダイアログ ボックスの証明書のリストに追加されます。

    シグネチャ ハッシュを確認するには、証明書のプロパティの[Details]タブで「シグネチャ アルゴリズム」の行を探します。

 

Was this helpful?

Please log in to post comments.