keytool.1 90.3 KB
Newer Older
T
tbell 已提交
1
." Copyright 2002-2006 Sun Microsystems, Inc.  All Rights Reserved.
D
duke 已提交
2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
." DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER.
."
." This code is free software; you can redistribute it and/or modify it
." under the terms of the GNU General Public License version 2 only, as
." published by the Free Software Foundation.
."
." This code is distributed in the hope that it will be useful, but WITHOUT
." ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or
." FITNESS FOR A PARTICULAR PURPOSE.  See the GNU General Public License
." version 2 for more details (a copy is included in the LICENSE file that
." accompanied this code).
."
." You should have received a copy of the GNU General Public License version
." 2 along with this work; if not, write to the Free Software Foundation,
." Inc., 51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA.
."
18 19 20
." Please contact Oracle, 500 Oracle Parkway, Redwood Shores, CA 94065 USA
." or visit www.oracle.com if you need additional information or have any
." questions.
T
tbell 已提交
21 22 23
."
.TH keytool 1 "04 May 2009"
." Generated from HTML by html2man (author: Eric Armstrong)
D
duke 已提交
24 25

.LP
T
tbell 已提交
26 27
.SH "名前"
keytool \- 鍵と証明書の管理ツール
D
duke 已提交
28 29 30 31
.LP
.RS 3

.LP
T
tbell 已提交
32
暗号化鍵、X.509 証明書チェーン、および信頼できる証明書を含むキーストア (データベース) を管理します。
D
duke 已提交
33
.RE
T
tbell 已提交
34
.SH "形式"
D
duke 已提交
35 36 37 38 39 40 41 42 43 44 45 46
.LP

.LP
.nf
\f3
.fl
\fP\f3keytool\fP [ commands ]
.fl
.fi

.LP
.LP
T
tbell 已提交
47
Java SE 6 で keytool のコマンドインタフェースが変更されました。 詳細については「変更点」の節を参照してください。以前に定義されたコマンドも引き続きサポートされています。
D
duke 已提交
48
.LP
T
tbell 已提交
49
.SH "説明"
D
duke 已提交
50 51 52
.LP

.LP
T
tbell 已提交
53
\f3keytool\fP は、鍵と証明書を管理するためのユーティリティーです。keytool を使うと、自分の公開鍵と非公開鍵のペア、および関連する証明書を管理し、デジタル署名を使った自己認証 (ほかのユーザーまたはサービスに対して自分自身を認証すること) や、データの整合性と証明書に関するサービスを利用することができます。keytool では、通信相手の公開鍵を (証明書の形で) キャッシュすることもできます。 
D
duke 已提交
54
.LP
T
tbell 已提交
55
「証明書」とは、あるエンティティー (人物、会社など) からのデジタル署名付きの文書のことです。 証明書には、ほかのあるエンティティーの公開鍵 (およびその他の情報) が特別な値を持っていることが書かれています(「証明書」を参照)。データにデジタル署名が付いている場合は、デジタル署名を検証することで、データの整合性およびデータが本物であることをチェックできます。データの「整合性」とは、データが変更されたり、改変されたりしていないことを意味します。 また、データが「本物である」とは、そのデータが、データを作成して署名したと称する人物から実際に渡されたデータであることを意味します。
D
duke 已提交
56 57
.LP
.LP
T
tbell 已提交
58
また、\f3keytool\fP を使えば、DES などの対称暗号化/復号化で使用される秘密鍵を管理することもできます。
D
duke 已提交
59 60
.LP
.LP
T
tbell 已提交
61
\f3keytool\fP は、鍵と証明書を\f2「キーストア」\fPに格納します。 
D
duke 已提交
62
.LP
T
tbell 已提交
63
.SH "コマンドとオプションに関する注"
D
duke 已提交
64 65 66 67
.LP

.LP
.LP
T
tbell 已提交
68
以下では、コマンドとそのオプションについて説明します。注:
D
duke 已提交
69 70 71 72
.LP
.RS 3
.TP 2
o
T
tbell 已提交
73
どのコマンド名およびオプション名にも先頭にマイナス記号 (\-) が付く 
D
duke 已提交
74 75
.TP 2
o
T
tbell 已提交
76
各コマンドのオプションは任意の順序で指定できる 
D
duke 已提交
77 78
.TP 2
o
T
tbell 已提交
79
イタリック体になっていないすべての項目、または中括弧か角括弧で囲まれているすべての項目は、そのとおりに指定する必要がある 
D
duke 已提交
80 81
.TP 2
o
T
tbell 已提交
82
オプションを囲む中括弧は、一般に、そのオプションをコマンド行で指定しなかった場合に、デフォルト値が使われることを意味する。中括弧は、\f2\-v\fP、\f2\-rfc\fP、および \f2\-J\fP オプションを囲むのにも使われるが、これらのオプションはコマンド行で指定された場合にのみ意味を持つ (つまり、これらのオプションには、オプション自体を指定しないこと以外に「デフォルト値」は存在しない) 
D
duke 已提交
83 84
.TP 2
o
T
tbell 已提交
85
オプションを囲む角括弧は、そのオプションをコマンド行で指定しなかった場合に、値の入力を求められることを意味する。ただし、\f2\-keypass\fP オプションをコマンド行で指定しなかった場合は、\f3keytool\fP がキーストアのパスワードから非公開/秘密鍵の復元を試みる。 ユーザーは、この試みが失敗した場合に非公開/秘密鍵の入力を求められる 
D
duke 已提交
86 87
.TP 2
o
T
tbell 已提交
88
イタリック体の項目の実際の値 (オプションの値) は、ユーザーが指定する必要がある。たとえば、\f2\-printcert\fP コマンドの形式は次のとおりである 
D
duke 已提交
89 90 91 92 93 94 95 96
.nf
\f3
.fl
  keytool \-printcert {\-file \fP\f4cert_file\fP\f3} {\-v}
.fl
\fP
.fi
.LP
T
tbell 已提交
97
\f2\-printcert\fP コマンドを指定するときは、\f2cert_file\fP の代わりに実際のファイル名を指定する。次に例を示す 
D
duke 已提交
98 99 100 101 102 103 104 105 106
.nf
\f3
.fl
  keytool \-printcert \-file VScert.cer
.fl
\fP
.fi
.TP 2
o
T
tbell 已提交
107
オプションの値に空白 (スペース) が含まれている場合は、値を引用符で囲む必要がある 
D
duke 已提交
108 109
.TP 2
o
T
tbell 已提交
110
\f2\-help\fP コマンドはデフォルトのコマンドである。たとえば、次のようにコマンド行を指定したとする 
D
duke 已提交
111 112 113 114 115 116 117
.nf
\f3
.fl
  keytool
.fl
\fP
.fi
T
tbell 已提交
118
これは、次のように指定することと同じである 
D
duke 已提交
119 120 121 122 123 124 125 126 127 128 129
.nf
\f3
.fl
  keytool \-help
.fl
\fP
.fi
.RE

.LP
.SS 
T
tbell 已提交
130
オプションのデフォルト値
D
duke 已提交
131 132 133 134
.LP
.RS 3

.LP
T
tbell 已提交
135
オプションのデフォルト値は、次のとおりです。 
D
duke 已提交
136 137 138 139 140 141 142 143 144
.nf
\f3
.fl
\-alias "mykey"
.fl

.fl
\-keyalg
.fl
T
tbell 已提交
145
    "DSA" (\fP\f3\-genkeypair\fP\f3 を使用している場合)
D
duke 已提交
146
.fl
T
tbell 已提交
147
    "DES" (\fP\f3\-genseckey\fP\f3 を使用している場合)
D
duke 已提交
148 149 150 151 152
.fl

.fl
\-keysize
.fl
T
tbell 已提交
153
    1024 (\fP\f3\-genkeypair\fP\f3 を使用している場合)
D
duke 已提交
154
.fl
T
tbell 已提交
155
    56 (\fP\f3\-genseckey\fP\f3 を使用していて \-keyalg が "DES" の場合)
D
duke 已提交
156
.fl
T
tbell 已提交
157
    168 (\fP\f3\-genseckey\fP\f3 を使用していて \-keyalg が "DESede" の場合)
D
duke 已提交
158 159 160 161 162 163 164
.fl

.fl
\-validity 90
.fl

.fl
T
tbell 已提交
165
\-keystore \fP\f4ユーザーのホームディレクトリの \fP\f4.keystore\fP\f3 というファイル\fP\f3
D
duke 已提交
166 167 168
.fl

.fl
T
tbell 已提交
169 170 171
\-storetype \fP\f4セキュリティープロパティーファイルの「keystore.type」プロパティーの値で、
.fl
           \fP\f4java.security.KeyStore\fP\f3 の静的な \fP\f4getDefaultType\fP\f3 メソッドから返される\fP\f3
D
duke 已提交
172 173 174
.fl

.fl
T
tbell 已提交
175
\-file \fP\f4読み込みの場合は標準入力、書き込みの場合は標準出力\fP\f3
D
duke 已提交
176 177 178 179 180 181 182 183 184 185 186
.fl

.fl
\-protected false
.fl

.fl
\fP
.fi

.LP
T
tbell 已提交
187
公開/非公開鍵ペアの生成において、署名アルゴリズム (\f2\-sigalg\fP オプション) は、基になる非公開鍵のアルゴリズムから派生します。基になる非公開鍵が DSA タイプである場合、\f2\-sigalg\fP オプションのデフォルト値は SHA1withDSA になり、基になる非公開鍵が RSA タイプである場合は、\f2\-sigalg\fP オプションのデフォルト値は MD5withRSA になります。選択可能な \f2\-keyalg\fP および \f2\-sigalg\fP の完全な一覧については、
D
duke 已提交
188
.na
T
tbell 已提交
189 190 191
\f2「Java Cryptography Architecture API Specification & Reference」\fP @
.fi
http://java.sun.com/javase/6/docs/technotes/guides/security/crypto/CryptoSpec.html#AppAを参照してください。
D
duke 已提交
192 193
.RE
.SS 
T
tbell 已提交
194
一般オプション
D
duke 已提交
195 196 197 198
.LP
.RS 3

.LP
T
tbell 已提交
199
\f2\-v\fP オプションは、\f2\-help\fP コマンドを除くすべてのコマンドで使用できます。このオプションを指定した場合、コマンドは「冗長」モードで実行され、詳細な証明書情報が出力されます。 
D
duke 已提交
200
.LP
T
tbell 已提交
201
また、\f2\-J\fP\f2javaoption\fP オプションも、任意のコマンドで使用できます。このオプションを指定した場合、指定された \f2javaoption\fP 文字列が Java インタプリタに直接渡されます。このオプションには、空白を含めることはできません。このオプションは、実行環境またはメモリー使用を調整する場合に便利です。指定できるインタプリタオプションを一覧表示するには、コマンド行で \f2java \-h\fP または \f2java \-X\fP と入力してください。
D
duke 已提交
202 203
.LP
.LP
T
tbell 已提交
204
次のオプションは、キーストアに対する操作を行うすべてのコマンドで指定できます。
D
duke 已提交
205 206 207 208
.LP
.RS 3
.TP 3
\-storetype storetype 
T
tbell 已提交
209
この修飾子は、インスタンスを生成するキーストアのタイプを指定します。 
D
duke 已提交
210 211
.TP 3
\-keystore keystore 
T
tbell 已提交
212
キーストアの場所を指定します。 
D
duke 已提交
213
.LP
T
tbell 已提交
214
特定の \f3keytool\fP コマンドを実行する際に、JKS ストアタイプが使用され、かつキーストアファイルがまだ存在していなかった場合、新しいキーストアファイルが作成されます。たとえば、\f2keytool \-genkeypair\fP の実行時に \f2\-keystore\fP オプションが指定されなかった場合、\f2.keystore\fP という名前のデフォルトキーストアファイルがユーザーのホームディレクトリ内にまだ存在していなければ、そこに作成されます。同様に、\f2\-keystore \fP\f2ks_file\fP というオプションが指定されてもその \f2ks_file\fP が存在しなかった場合、そのファイルが作成されます。 
D
duke 已提交
215
.LP
T
tbell 已提交
216
\f2\-keystore\fP オプションからの入力ストリームは、\f2KeyStore.load\fP メソッドに渡されます。URL として \f2NONE\fP が指定されている場合は、null のストリームが \f2KeyStore.load\fP メソッドに渡されます。\f2NONE\fP は、\f2KeyStore\fP がファイルベースではなく、たとえば、ハードウェアトークンデバイスに置かれている場合に指定します。  
D
duke 已提交
217 218
.TP 3
\-storepass storepass 
T
tbell 已提交
219
キーストアの整合性を保護するために使うパスワードを指定します。 
D
duke 已提交
220
.LP
T
tbell 已提交
221
\f2storepass\fP は、6 文字以上にする必要があります。指定したパスワードは、キーストアの内容にアクセスするすべてのコマンドで使われます。この種のコマンドを実行するときに、コマンド行で \f2\-storepass\fP オプションを指定しなかった場合は、パスワードの入力を求められます。 
D
duke 已提交
222
.LP
T
tbell 已提交
223
キーストアから情報を取り出す場合は、パスワードを省略できます。 パスワードを省略すると、取り出す情報の整合性をチェックできないので、警告が表示されます。  
D
duke 已提交
224 225
.TP 3
\-providerName provider_name 
T
tbell 已提交
226
セキュリティープロパティーファイル内に含まれる暗号化サービスプロバイダ名を特定するために使用されます。 
D
duke 已提交
227 228
.TP 3
\-providerClass provider_class_name 
T
tbell 已提交
229
暗号化サービスプロバイダがセキュリティープロパティーファイルに指定されていないときは、そのマスタークラスファイルの名前を指定するときに使われます。 
D
duke 已提交
230 231
.TP 3
\-providerArg provider_arg 
T
tbell 已提交
232
\f2\-providerClass\fP と組み合わせて使用します。\f2provider_class_name\fP のコンストラクタに対する省略可能な文字列入力引数を表します。 
D
duke 已提交
233 234
.TP 3
\-protected 
T
tbell 已提交
235
\f2true\fP または \f2false\fP のいずれか。専用 PIN リーダーなどの保護された認証パスを介してパスワードを指定する必要がある場合には、この値に \f2true\fP を指定してください。 
D
duke 已提交
236 237 238 239
.RE

.LP
.RE
T
tbell 已提交
240
.SH "コマンド"
D
duke 已提交
241 242 243 244
.LP

.LP
.SS 
T
tbell 已提交
245
キーストアへのデータの作成または追加
D
duke 已提交
246 247 248 249 250 251
.LP
.RS 3

.LP
.RS 3
.TP 3
T
tbell 已提交
252
\-genkeypair {\-alias alias} {\-keyalg keyalg} {\-keysize keysize} {\-sigalg sigalg} [\-dname dname] [\-keypass keypass] {\-validity valDays} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 
D
duke 已提交
253
.LP
T
tbell 已提交
254
鍵のペア (公開鍵および関連する非公開鍵) を生成します。公開鍵は X.509 v3 自己署名証明書でラップされます。 証明書は、単一の要素を持つ証明書チェーンとして格納されます。この証明書チェーンと非公開鍵は、\f2alias\fP で特定される新しいキーストアエントリに格納されます。 
D
duke 已提交
255
.LP
T
tbell 已提交
256
\f2keyalg\fP には、鍵のペアを生成するのに使うアルゴリズムを指定し、\f2keysize\fP には、生成する各鍵のサイズを指定します。 \f2sigalg\fP には、自己署名証明書に署名を付けるときに使うアルゴリズムを指定します。このアルゴリズムは、\f2keyalg\fP と互換性のあるものでなければなりません。 
D
duke 已提交
257
.LP
T
tbell 已提交
258
\f2dname\fP には、\f2alias\fP に関連付け、自己署名証明書の \f2issuer\fP フィールドと \f2subject\fP フィールドとして使う X.500 識別名を指定します。コマンド行で識別名を指定しなかった場合は、識別名の入力を求められます。 
D
duke 已提交
259
.LP
T
tbell 已提交
260
\f2keypass\fP には、生成される鍵のペアのうち、非公開鍵を保護するのに使うパスワードを指定します。パスワードを指定しなかった場合、ユーザーはその入力求められます。このとき、Return キーを押すと、キーストアのパスワードと同じパスワードが鍵のパスワードに設定されます。 \f2keypass\fP は、6 文字以上でなければなりません。 
D
duke 已提交
261
.LP
T
tbell 已提交
262
\f2valDays\fP には、証明書の有効日数を指定します。 
D
duke 已提交
263
.LP
T
tbell 已提交
264
このコマンドは、以前のリリースでは \f2\-genkey\fP という名前でした。この古い名前は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。ただし、今後はわかりやすいように、新しい名前 \f2\-genkeypair\fP を使用することをお勧めします。  
D
duke 已提交
265
.TP 3
T
tbell 已提交
266
\-genseckey {\-alias alias} {\-keyalg keyalg} {\-keysize keysize} [\-keypass keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 
D
duke 已提交
267
.LP
T
tbell 已提交
268
秘密鍵を生成し、それを \f2alias\fP で特定される新しい \f2KeyStore.SecretKeyEntry\fP 内に格納します。 
D
duke 已提交
269
.LP
T
tbell 已提交
270
\f2keyalg\fP は秘密鍵の生成に使用するアルゴリズムを、\f2keysize\fP は生成する鍵のサイズを、それぞれ指定します。\f2keypass\fP は秘密鍵の保護に使用するパスワードです。パスワードを指定しなかった場合、ユーザーはその入力求められます。このとき、Return キーを押すと、キーストアのパスワードと同じパスワードが鍵のパスワードに設定されます。 \f2keypass\fP は、6 文字以上でなければなりません。  
D
duke 已提交
271
.TP 3
T
tbell 已提交
272
\-importcert {\-alias alias} {\-file cert_file} [\-keypass keypass] {\-noprompt} {\-trustcacerts} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 
D
duke 已提交
273
.LP
T
tbell 已提交
274
ファイル \f2cert_file\fP から証明書または証明書チェーン (証明書チェーンの場合は、PKCS#7 形式の応答で提供されるもの) を読み込み、\f2alias\fP によって特定されるキーストアエントリに格納します。ファイルが指定されていない場合は、標準入力から証明書または PKCS#7 応答を読み込みます。 
D
duke 已提交
275
.LP
T
tbell 已提交
276
\f3keytool\fP では、X.509 v1、v2、v3 の証明書、および、PKCS#7 形式の証明書から構成されている PKCS#7 形式の証明書チェーンをインポートできます。インポートするデータは、バイナリ符号化方式、または出力可能符号化方式 (Base64 符号化とも呼ばれる) のどちらかで提供する必要があります。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。この符号化方式の場合、証明書は「\-\-\-\-\-BEGIN」で始まる文字列で開始され、「\-\-\-\-\-END」で始まる文字列で終了しなければなりません。 
D
duke 已提交
277
.LP
T
tbell 已提交
278
証明書のインポートには、次の 2 つの目的があります。 
D
duke 已提交
279 280 281
.RS 3
.TP 3
1.
T
tbell 已提交
282
信頼できる証明書のリストに証明書を追加する 
D
duke 已提交
283 284
.TP 3
2.
T
tbell 已提交
285
CA に証明書署名要求 (\-certreq コマンドを参照) を送信した結果として、CA から受け取った証明応答をインポートする 
D
duke 已提交
286 287
.RE
.LP
T
tbell 已提交
288
どちらの種類のインポートを行うかは、\f2\-alias\fP オプションの値によって指定します。 
D
duke 已提交
289 290 291
.RS 3
.TP 3
1.
T
tbell 已提交
292
\f3別名がキーエントリをポイントしない場合\fP、\f3keytool\fP はユーザーが信頼できる証明書エントリを追加しようとしているものと見なします。この場合、別名がキーストア内にすでに存在していてはいけません。別名がすでに存在している場合、その別名の信頼できる証明書がすでに存在することになるので、\f3keytool\fP はエラーを出力し、証明書のインポートを行いません。 
D
duke 已提交
293 294
.TP 3
2.
T
tbell 已提交
295
\f3別名がキーエントリをポイントしない場合\fP、\f3keytool\fP はユーザーが信頼できる証明書エントリを追加しようとしているものと見なします。 
D
duke 已提交
296
.RE
T
tbell 已提交
297
\f3新しい信頼できる証明書のインポート\fP 
D
duke 已提交
298 299 300 301
.RS 3

.LP
.LP
T
tbell 已提交
302
\f3keytool\fP は、キーストアに証明書を追加する前に、キーストア内にすでに存在する信頼できる証明書を使って、インポートする証明書から (ルート CA の) 自己署名証明書に至るまでの信頼のチェーンの構築を試みます。
D
duke 已提交
303 304
.LP
.LP
T
tbell 已提交
305
\f2\-trustcacerts\fP オプションを指定した場合、追加の証明書は信頼できるすなわち cacerts という名前のファイルに含まれる証明書のチェーンと見なされます。
D
duke 已提交
306 307
.LP
.LP
T
tbell 已提交
308
\f3keytool\fP が、インポートする証明書から自己署名証明書 (キーストアまたは cacerts ファイルに含まれている自己署名証明書) に至るまでの信頼のパスの構築に失敗した場合は、インポートする証明書の情報を表示し、ユーザーに確認を求めます。 この場合は、表示された証明書のフィンガープリントと、ほかのなんらかの (信頼できる) 情報源 (証明書の所有者本人など) から入手したフィンガープリントとを比較します。「信頼できる証明書」として証明書をインポートするときは、証明書が有効であることを慎重に確認する必要があります。詳細は、「信頼できる証明書のインポートに関する注意事項」を参照してください。インポート操作は、証明書を確認する時点で中止できます。ただし、\f2\-noprompt\fP オプションが指定されている場合、ユーザーとの対話は行われません。
D
duke 已提交
309 310
.LP
.RE
T
tbell 已提交
311
\f3証明応答のインポート\fP 
D
duke 已提交
312 313
.RS 3
.LP
T
tbell 已提交
314
「証明応答」をインポートするときは、キーストア内の信頼できる証明書、および (\f2\-trustcacerts\fP オプションが指定されている場合は) cacerts キーストアファイルで構成された証明書を使って証明応答が検査されます。
D
duke 已提交
315 316
.LP
.LP
T
tbell 已提交
317
証明応答が信頼できるかどうかを決定する方法は次のとおりです。
D
duke 已提交
318 319 320 321
.LP
.RS 3
.TP 2
o
T
tbell 已提交
322
\f3証明応答が単一の X.509 証明書である場合\fP、\f3keytool\fP は、証明応答から (ルート CA の) 自己署名証明書に至るまでの信頼チェーンの確立を試みます。証明応答と、証明応答の認証に使われる証明書の階層構造は、\f2alias\fP の新しい証明書チェーンを形成します。信頼チェーンが確立されない場合、証明応答はインポートされません。この場合、\f3keytool\fP は証明書を出力せず、ユーザーに検証を求めるプロンプトを表示します。 ユーザーが証明応答の信頼性を判断するのは、不可能ではなくても非常に困難だからです。 
D
duke 已提交
323 324
.TP 2
o
T
tbell 已提交
325
\f3証明応答が PKCS#7 形式の証明書チェーンである場合\fP、\f3keytool\fP は、まずチェーンを並べ替えて、ユーザーの証明書が最初に、ルート CA の自己署名証明書が最後にくるようにしたあと、証明応答に含まれるルート CA の証明書と、キーストア内または (\f2\-trustcacerts\fP オプションが指定されている場合は) cacerts キーストアファイル内の信頼できる証明書とをすべて比較し、一致するものがあるかどうかを調べます。一致するものが見つからなかった場合は、ルート CA の証明書の情報を表示し、ユーザーに確認を求めます。 この場合は、表示された証明書のフィンガープリントと、ほかのなんらかの (信頼できる) 情報源 (ルート CA 自身など) から入手したフィンガープリントとを比較します。インポート操作は、証明書を確認する時点で中止できます。ただし、\f2\-noprompt\fP オプションが指定されている場合、ユーザーとの対話は行われません。 
D
duke 已提交
326 327 328 329
.RE

.LP
.LP
T
tbell 已提交
330
証明書応答内の公開鍵が \f2alias\fP の下にすでに格納されているユーザーの公開鍵に一致した場合、古い証明書チェーンが応答内の新しい証明書チェーンで置き換えられます。以前の証明書チェーンを新しい証明書チェーンで置き換えることができるのは、有効な \f2keypass\fP、つまり該当するエントリの非公開鍵を保護するためのパスワードを指定した場合だけです。パスワードを指定しておらず、非公開鍵のパスワードがキーストアのパスワードと異なる場合は、非公開鍵のパスワードの入力を求められます。
D
duke 已提交
331 332 333
.LP
.RE
.LP
T
tbell 已提交
334
このコマンドは、以前のリリースでは \f2\-import\fP という名前でした。この古い名前は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。ただし、今後はわかりやすいように、新しい名前 \f2\-importcert\fP を使用することをお勧めします。   
D
duke 已提交
335
.TP 3
T
tbell 已提交
336
\-importkeystore \-srckeystore srckeystore \-destkeystore destkeystore {\-srcstoretype srcstoretype} {\-deststoretype deststoretype} [\-srcstorepass srcstorepass] [\-deststorepass deststorepass] {\-srcprotected} {\-destprotected} {\-srcalias srcalias {\-destalias destalias} [\-srckeypass srckeypass] [\-destkeypass destkeypass] } {\-noprompt} {\-srcProviderName src_provider_name} {\-destProviderName dest_provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 
D
duke 已提交
337
.LP
T
tbell 已提交
338
ソースキーストアからターゲットキーストアへ、単一のエントリまたはすべてのエントリをインポートします。 
D
duke 已提交
339
.LP
T
tbell 已提交
340
\f2srcalias\fP オプションが指定された場合、このコマンドは、その別名で特定される単一のエントリをターゲットキーストアにインポートします。\f2destalias\fP 経由でターゲット別名が指定されなかった場合、\f2srcalias\fP がターゲット別名として使用されます。ソースのエントリがパスワードで保護されていた場合、\f2srckeypass\fP を使ってそのエントリが回復されます。\f2srckeypass\fP が指定されなかった場合、\f3keytool\fP は \f2srcstorepass\fP を使ってそのエントリを回復しようとします。\f2srcstorepass\fP が指定されなかったか正しくなかった場合、ユーザーはパスワードの入力を求められます。ターゲットエントリは \f2destkeypass\fP によって保護されます。\f2destkeypass\fP が指定されなかった場合、ターゲットエントリはソースエントリのパスワードによって保護されます。 
D
duke 已提交
341
.LP
T
tbell 已提交
342
\f2srcalias\fP オプションが指定されなかった場合、ソースキーストア内のすべてのエントリがターゲットキーストア内にインポートされます。各ターゲットエントリは対応するソースエントリの別名の下に格納されます。ソースのエントリがパスワードで保護されていた場合、\f2srcstorepass\fP を使ってそのエントリが回復されます。\f2srcstorepass\fP が指定されなかったか正しくなかった場合、ユーザーはパスワードの入力を求められます。ソースキーストア内のあるエントリタイプがターゲットキーストアでサポートされていない場合や、あるエントリをターゲットキーストアに格納する際にエラーが発生した場合、ユーザーはそのエントリをスキップして処理を続行するか、あるいは処理を中断するかの選択を求められます。ターゲットエントリはソースエントリのパスワードによって保護されます。 
D
duke 已提交
343
.LP
T
tbell 已提交
344
ターゲット別名がターゲットキーストア内にすでに存在していた場合、ユーザーは、そのエントリを上書きするか、あるいは異なる別名の下で新しいエントリを作成するかの選択を求められます。 
D
duke 已提交
345
.LP
T
tbell 已提交
346
\f2\-noprompt\fP を指定した場合、ユーザーは新しいターゲット別名の入力を求められません。既存のエントリはそのターゲット別名で自動的に上書きされます。最後に、インポートできないエントリは自動的にスキップされ、警告が出力されます。  
D
duke 已提交
347 348 349
.RE
.RE
.SS 
T
tbell 已提交
350
データのエクスポート
D
duke 已提交
351 352 353 354 355 356
.LP
.RS 3

.LP
.RS 3
.TP 3
T
tbell 已提交
357
\-certreq {\-alias alias} {\-sigalg sigalg} {\-file certreq_file} [\-keypass keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 
D
duke 已提交
358
.LP
T
tbell 已提交
359
PKCS#10 形式を使って証明書署名要求 (CSR) を生成します。 
D
duke 已提交
360
.LP
T
tbell 已提交
361
CSR は、証明書発行局 (CA) に送信することを目的としたものです。CA は、証明書要求者を (通常はオフラインで) 認証し、証明書または証明書チェーンを送り返します。 この証明書または証明書チェーンは、キーストア内の既存の証明書チェーン (最初は 1 つの自己署名証明書から構成される) に置き換えて使います。 
D
duke 已提交
362
.LP
T
tbell 已提交
363
\f2alias\fP に関連付けられた非公開鍵と X.500 識別名は、PKCS#10 証明書要求を作成するのに使われます。非公開鍵はキーストア内ではパスワードによって保護されているので、非公開鍵にアクセスするには、適切なパスワードを提供する必要があります。コマンド行で \f2keypass\fP を指定しておらず、非公開鍵のパスワードがキーストアのパスワードと異なる場合は、非公開鍵のパスワードの入力を求められます。 
D
duke 已提交
364
.LP
T
tbell 已提交
365
\f2sigalg\fP には、CSR に署名を付けるときに使うアルゴリズムを指定します。 
D
duke 已提交
366
.LP
T
tbell 已提交
367
CSR は、ファイル \f2certreq_file\fP に格納されます。ファイルが指定されていない場合は、標準出力に CSR が出力されます。 
D
duke 已提交
368
.LP
T
tbell 已提交
369
CA からの応答をインポートするには、\f2importcert\fP コマンドを使います。  
D
duke 已提交
370
.TP 3
T
tbell 已提交
371
\-exportcert {\-alias alias} {\-file cert_file} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-rfc} {\-v} {\-protected} {\-Jjavaoption} 
D
duke 已提交
372
.LP
T
tbell 已提交
373
\f2alias\fP に関連付けられた証明書を (キーストアから) 読み込み、ファイル \f2cert_file\fP に格納します。 
D
duke 已提交
374
.LP
T
tbell 已提交
375
ファイルが指定されていない場合は、標準出力に証明書が出力されます。 
D
duke 已提交
376
.LP
T
tbell 已提交
377
デフォルトでは、バイナリ符号化方式の証明書が出力されます。 ただし、\f2\-rfc\fP オプションを指定した場合は、出力可能符号化方式の証明書が出力されます。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。 
D
duke 已提交
378
.LP
T
tbell 已提交
379
\f2alias\fP が、信頼できる証明書を参照している場合は、該当する証明書が出力されます。それ以外の場合、\f2alias\fP は、関連付けられた証明書チェーンを持つ鍵エントリを参照します。この場合は、チェーン内の最初の証明書が返されます。この証明書は、\f2alias\fP によって表されるエンティティーの公開鍵を認証する証明書です。 
D
duke 已提交
380
.LP
T
tbell 已提交
381
このコマンドは、以前のリリースでは \f2\-export\fP という名前でした。この古い名前は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。ただし、今後はわかりやすいように、新しい名前 \f2\-exportcert\fP を使用することをお勧めします。  
D
duke 已提交
382 383 384 385 386
.RE

.LP
.RE
.SS 
T
tbell 已提交
387
データの表示
D
duke 已提交
388 389 390 391 392 393
.LP
.RS 3

.LP
.RS 3
.TP 3
T
tbell 已提交
394
\-list {\-alias alias} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v | \-rfc} {\-protected} {\-Jjavaoption} 
D
duke 已提交
395
.LP
T
tbell 已提交
396
\f2alias\fP で特定されるキーストアエントリの内容を (標準出力に) 出力します。別名が指定されていない場合は、キーストア全体の内容が表示されます。 
D
duke 已提交
397
.LP
T
tbell 已提交
398
このコマンドは、デフォルトでは証明書の MD5 フィンガープリントを表示します。\f2\-v\fP オプションが指定されている場合は、所有者、発行者、シリアル番号、拡張機能などの付加的な情報とともに、人間が読むことのできる形式で証明書が表示されます。\f2\-rfc\fP オプションが指定されている場合は、出力可能符号化方式で証明書の内容が表示されます。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。 
D
duke 已提交
399
.LP
T
tbell 已提交
400
\f2\-v\fP オプションと \f2\-rfc\fP オプションとを同時に指定することはできません。  
D
duke 已提交
401 402 403
.TP 3
\-printcert {\-file cert_file} {\-v} {\-Jjavaoption} 
.LP
T
tbell 已提交
404
ファイル  
D
duke 已提交
405
.LP
T
tbell 已提交
406
インターネット RFC 1421 証明書符号化規格で定義されています。 
D
duke 已提交
407
.LP
T
tbell 已提交
408
注:このコマンドはキーストアとは関係なく動作します。  
D
duke 已提交
409 410 411 412 413
.RE

.LP
.RE
.SS 
T
tbell 已提交
414
キーストアの管理
D
duke 已提交
415 416 417 418 419 420
.LP
.RS 3

.LP
.RS 3
.TP 3
T
tbell 已提交
421
\-storepasswd [\-new new_storepass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-Jjavaoption} 
D
duke 已提交
422
.LP
T
tbell 已提交
423
キーストアの内容の整合性を保護するために使うパスワードを変更します。\f2new_storepass\fP には、新しいパスワードを指定します。 \f2new_storepass\fP は、6 文字以上でなければなりません。  
D
duke 已提交
424
.TP 3
T
tbell 已提交
425 426 427 428 429 430 431
\-keypasswd {\-alias alias} [\-keypass old_keypass] [\-new new_keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-Jjavaoption} 
.LP
\f2alias\fP によって特定される非公開/秘密鍵を保護するためのパスワードを、\f2old_keypass\fP から \f2new_keypass\fP に変更します。 \f2new_keypass\fP は、6 文字以上でなければなりません。 
.LP
コマンド行で \f2\-keypass\fP オプションを指定しておらず、鍵のパスワードがキーストアのパスワードと異なる場合は、鍵のパスワードの入力を求められます。 
.LP
コマンド行で \f2\-new\fP オプションを指定しなかった場合は、新しいパスワードの入力を求められます。  
D
duke 已提交
432
.TP 3
T
tbell 已提交
433
\-delete [\-alias alias] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 
D
duke 已提交
434
.LP
T
tbell 已提交
435
\f2alias\fP によって特定されるエントリをキーストアから削除します。コマンド行で別名を指定しなかった場合は、別名の入力を求められます。  
D
duke 已提交
436
.TP 3
T
tbell 已提交
437
\-changealias {\-alias alias} [\-destalias destalias] [\-keypass keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption} 
D
duke 已提交
438
.LP
T
tbell 已提交
439
指定された \f2alias\fP から新しい別名 \f2destalias\fP へ、既存のキーストアエントリを移動します。ターゲット別名が指定されなかった場合、このコマンドはその入力を求めます。元のエントリがエントリパスワードで保護されていた場合、「\-keypass」オプション経由でそのパスワードを指定できます。鍵パスワードが指定されなかった場合、\f2storepass\fP (指定された場合) がまず試みられます。その試みが失敗すると、ユーザーはパスワードの入力を求められます。  
D
duke 已提交
440 441 442 443 444
.RE

.LP
.RE
.SS 
T
tbell 已提交
445
ヘルプの表示
D
duke 已提交
446 447 448 449 450 451 452 453
.LP
.RS 3

.LP
.RS 3
.TP 3
\-help 
.LP
T
tbell 已提交
454
基本的なコマンドとそのオプションの一覧を表示します。  
D
duke 已提交
455 456 457 458
.RE

.LP
.RE
T
tbell 已提交
459
.SH "例"
D
duke 已提交
460 461 462 463
.LP

.LP
.LP
T
tbell 已提交
464
ここでは、自分の鍵のペアおよび信頼できるエンティティーからの証明書を管理するためのキーストアを作成する場合を例として示します。
D
duke 已提交
465 466
.LP
.SS 
T
tbell 已提交
467
鍵のペアの生成
D
duke 已提交
468 469 470 471 472
.LP
.RS 3

.LP
.LP
T
tbell 已提交
473
まず、キーストアを作成して鍵のペアを生成する必要があります。次に示すのは、実行するコマンドの例です。
D
duke 已提交
474 475 476 477 478 479 480 481 482 483 484 485 486 487 488
.LP
.nf
\f3
.fl
    keytool \-genkeypair \-dname "cn=Mark Jones, ou=JavaSoft, o=Sun, c=US"
.fl
      \-alias business \-keypass kpi135 \-keystore /working/mykeystore
.fl
      \-storepass ab987c \-validity 180
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
489
注:このコマンドは 1 行に入力しなければなりません。例で複数行に入力しているのは読みやすくするためです。
D
duke 已提交
490 491
.LP
.LP
T
tbell 已提交
492
この例では、working ディレクトリに mykeystore という名前のキーストアを作成し (キーストアはまだ存在していないと仮定する)、作成したキーストアにパスワード ab987c を割り当てます。生成する公開鍵と非公開鍵のペアに対応するエンティティーの「識別名」は、通称が「Mark Jones」、組織単位が「JavaSoft」、組織が「Sun」、2 文字の国番号が「US」です。公開鍵と非公開鍵のサイズはどちらも 1024 ビットで、鍵の作成にはデフォルトの DSA 鍵生成アルゴリズムを使用します。
D
duke 已提交
493 494
.LP
.LP
T
tbell 已提交
495
このコマンドは、公開鍵と識別名情報を含む自己署名証明書 (デフォルトの SHA1withDSA 署名アルゴリズムを使用) を作成します。証明書の有効期間は 180 日です。 証明書は、別名「business」で特定されるキーストアエントリ内の非公開鍵に関連付けられます。非公開鍵にはパスワード「kpi135」が割り当てられます。
D
duke 已提交
496 497
.LP
.LP
T
tbell 已提交
498
オプションのデフォルト値を使う場合は、上に示したコマンドを大幅に短くすることができます。実際には、オプションを 1 つも指定せずにコマンドを実行することも可能です。 デフォルト値を持つオプションでは、オプションを指定しなければデフォルト値が使われ、必要な値については入力を求められます。たとえば、単に次のように入力することもできます。
D
duke 已提交
499 500 501 502 503 504 505 506 507 508
.LP
.nf
\f3
.fl
    keytool \-genkeypair
.fl
\fP
.fi

.LP
T
tbell 已提交
509
この場合は、mykey という別名でキーストアエントリが作成され、新しく生成された鍵のペア、および 90 日間有効な証明書がこのエントリに格納されます。このエントリは、ホームディレクトリ内の .keystore という名前のキーストアに置かれます。このキーストアがまだ存在していない場合は、作成されます。識別名情報、キーストアのパスワード、および非公開鍵のパスワードについては、入力を求められます。 
D
duke 已提交
510
.LP
T
tbell 已提交
511
以下では、オプションを指定しないで \f2\-genkeypair\fP コマンドを実行したものとして例を示します。 情報の入力を求められた場合は、最初に示した \f2\-genkeypair\fP コマンドの値を入力したものとします (たとえば、非公開鍵のパスワードには kpi135 と指定)。
D
duke 已提交
512 513 514
.LP
.RE
.SS 
T
tbell 已提交
515
証明書発行局に対する署名付き証明書の要求
D
duke 已提交
516 517 518 519 520
.LP
.RS 3

.LP
.LP
T
tbell 已提交
521
現時点で手元にあるのは、1 通の自己署名証明書だけです。証明書に証明書発行局 (CA) の署名が付いていれば、ほかのユーザーから証明書が信頼できる可能性も高くなります。CA の署名を取得するには、まず、証明書署名要求 (CSR) を生成します。 たとえば、次のようにします。
D
duke 已提交
522 523 524 525 526 527 528 529 530 531
.LP
.nf
\f3
.fl
    keytool \-certreq \-file MarkJ.csr
.fl
\fP
.fi

.LP
T
tbell 已提交
532 533
CSR (デフォルト別名「mykey」によって特定されるエンティティーの CSR) が作成され、MarkJ.csr という名前のファイルに置かれます。このファイルは、VeriSign などの CA に提出します。 CA は要求者を (通常はオフラインで) 認証し、要求者の公開鍵を認証した署名付きの証明書を送り返します。場合によっては、CA が証明書のチェーンを返すこともあります。 証明書のチェーンでは、各証明書がチェーン内のその前の署名者の公開鍵を認証します。
.RE
D
duke 已提交
534
.SS 
T
tbell 已提交
535
CA からの証明書のインポート
D
duke 已提交
536 537 538 539 540
.LP
.RS 3

.LP
.LP
T
tbell 已提交
541
作成した自己署名証明書は、証明書チェーンで置き換える必要があります。 証明書チェーンでは、各証明書が、「ルート」CA を起点とするチェーン内の次の証明書の署名者の公開鍵を認証します。
D
duke 已提交
542 543
.LP
.LP
T
tbell 已提交
544
CA からの証明応答をインポートするには、キーストアか、(importcert コマンド で説明しているように) \f2cacerts\fP キーストアファイル内に 1 つ以上の「信頼できる証明書」がある必要があります。
D
duke 已提交
545 546 547 548
.LP
.RS 3
.TP 2
o
T
tbell 已提交
549
証明応答が証明書チェーンの場合は、チェーンのトップの証明書 (その CA の公開鍵を認証する「ルート」CA の証明書) だけを必要とする 
D
duke 已提交
550 551
.TP 2
o
T
tbell 已提交
552
証明応答が単一の証明書の場合は、証明書に署名した CA の発行用の証明書が必要で、その証明書が自己署名されない場合は、さらにその証明書の署名者用の証明書を必要とする。 このようにして自己署名される「ルート」CA の証明書までそれぞれ証明書を必要とする 
D
duke 已提交
553 554 555 556
.RE

.LP
.LP
T
tbell 已提交
557
cacerts キーストアファイルは、5 つの VeriSign ルート CA 証明書を含んだ状態で出荷されているので、VeriSign の証明書を、信頼できる証明書としてキーストア内にインポートする必要はないかもしれません。ただし、ほかの CA に対して署名付き証明書を要求していて、この CA の公開鍵を認証する証明書が、cacerts にまだ追加されていない場合は、該当する CA からの証明書を、「信頼できる証明書」としてインポートする必要があります。
D
duke 已提交
558 559
.LP
.LP
T
tbell 已提交
560
通常、CA からの証明書は、自己署名証明書、またはほかの CA によって署名された証明書です (後者の場合は、該当するほかの CA の公開鍵を認証する証明書も必要)。たとえば、ABC という企業が CA だとします。 このとき、この CA の公開鍵を認証する自己署名証明書と考えられる ABCCA.cer という名前のファイルを、ABC から入手したとします。
D
duke 已提交
561 562
.LP
.LP
T
tbell 已提交
563
「信頼できる証明書」として証明書をインポートするときは、証明書が有効であることを慎重に確認する必要があります。まず、証明書の内容を表示し (\f3keytool\fP \f2\-printcert\fP コマンドを使用するか、または \f2\-noprompt\fP オプションを指定しないで \f3keytool\fP \f2\-importcert\fP コマンドを使用)、表示された証明書のフィンガープリントが、期待されるフィンガープリントと一致するかどうかを確認します。証明書を送信した人物に連絡し、この人物が提示した (または安全な公開鍵のリポジトリによって提示される) フィンガープリントと、上のコマンドで表示されたフィンガープリントとを比較します。フィンガープリントが一致すれば、送信途中でほかの何者か (攻撃者など) による証明書のすり替えが行われていないことを確認できます。送信途中でこの種の攻撃が行われていた場合、チェックを行わずに証明書をインポートすると、攻撃者によって署名されたすべてのものを信頼することになります。
D
duke 已提交
564 565
.LP
.LP
T
tbell 已提交
566
ABCCA.cer を有効な証明書として信頼する場合は、証明書をキーストアに追加できます。 たとえば、次のようにします。
D
duke 已提交
567 568 569 570 571 572 573 574 575 576
.LP
.nf
\f3
.fl
    keytool \-importcert \-alias abc \-file ABCCA.cer
.fl
\fP
.fi

.LP
T
tbell 已提交
577
ABCCA.cer ファイルのデータを含む「信頼できる証明書」のエントリがキーストア内に作成され、該当するエントリに abc という別名が割り当てられます。
D
duke 已提交
578 579
.RE
.SS 
T
tbell 已提交
580
CA からの証明応答のインポート
D
duke 已提交
581 582 583 584 585
.LP
.RS 3

.LP
.LP
T
tbell 已提交
586
証明書署名要求の提出先の CA の公開鍵を認証する証明書をインポートしたあとは (または同種の証明書がすでに cacerts ファイル内に存在している場合は)、証明応答をインポートし、自己署名証明書を証明書チェーンで置き換えることができます。この証明書チェーンは、CA の応答がチェーンの場合、証明書署名要求に対する応答として CA から送り返された証明書チェーンです。 また、CA の応答が単一の証明書の場合は、この証明応答と、インポート先のキーストア内または cacerts キーストアファイル内にすでに存在する信頼できる証明書とを使って構築した証明書チェーンです。
D
duke 已提交
587 588
.LP
.LP
T
tbell 已提交
589
たとえば、証明書署名要求を VeriSign に送信したとします。送り返された証明書の名前が VSMarkJ.cer だとすると、次のようにして応答をインポートできます。
D
duke 已提交
590 591 592 593 594 595 596 597 598 599 600 601
.LP
.nf
\f3
.fl
    keytool \-importcert \-trustcacerts \-file VSMarkJ.cer
.fl
\fP
.fi
.RE

.LP
.SS 
T
tbell 已提交
602
公開鍵を認証する証明書のエクスポート
D
duke 已提交
603 604 605 606
.LP
.RS 3

.LP
T
tbell 已提交
607
たとえば、jarsigner(1) を使って Java ARchive (JAR) ファイルに署名したとします。この JAR ファイルはクライアントによって使われますが、クライアント側では署名を認証したいと考えています。 
D
duke 已提交
608
.LP
T
tbell 已提交
609
クライアントが署名を認証する方法の 1 つに、まず自分の公開鍵の証明書を「信頼できる」エントリとしてクライアントのキーストアにインポートする方法があります。そのためには、証明書をエクスポートして、クライアントに提供します。たとえば、次のようにして、証明書を \f2MJ.cer\fP という名前のファイルにコピーします。 このエントリには「mykey」という別名が使われているとします。
D
duke 已提交
610 611 612 613 614 615 616 617 618 619
.LP
.nf
\f3
.fl
    keytool \-exportcert \-alias mykey \-file MJ.cer
.fl
\fP
.fi

.LP
T
tbell 已提交
620
証明書と署名付き JAR ファイルを入手したクライアントは、\f3jarsigner\fP ツールを使って署名を認証できます。
D
duke 已提交
621 622
.RE
.SS 
T
tbell 已提交
623
キーストアのインポート
D
duke 已提交
624 625 626 627 628
.LP
.RS 3

.LP
.LP
T
tbell 已提交
629
コマンド「importkeystore」を使えば、あるキーストアの全体を別のキーストア内にインポートできます。 これは、鍵や証明書といったソースキーストア内のすべてのエントリが、単一のコマンドを使ってターゲットキーストア内にインポートされることを意味します。このコマンドを使えば、異なるタイプのキーストア内に含まれるエントリをインポートすることができます。インポート時には、ターゲットキーストア内の新しいエントリはすべて、元と同じ別名および (秘密鍵や非公開鍵の場合は) 保護用パスワードを持ちます。ソースキーストア内の非公開鍵や秘密鍵の回復時に問題が発生した場合、\f3keytool\fP はユーザーにパスワードの入力を求めます。このコマンドは、別名の重複を検出すると、ユーザーに新しい別名の入力を求めます。 ユーザーは、新しい別名を指定することも、単純に既存の別名の上書きを \f3keytool\fP に許可することもできます。
D
duke 已提交
630 631
.LP
.LP
T
tbell 已提交
632
たとえば、通常の JKS タイプのキーストア key.jks 内のエントリを PKCS #11 タイプのハードウェアベースのキーストア内にインポートするには、次のコマンドを使用できます。
D
duke 已提交
633 634 635 636 637 638 639 640 641 642 643 644 645 646 647 648 649
.LP
.nf
\f3
.fl
keytool \-importkeystore
.fl
    \-srckeystore key.jks \-destkeystore NONE
.fl
    \-srcstoretype JKS \-deststoretype PKCS11
.fl
    \-srcstorepass changeit \-deststorepass topsecret
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
650
また、importkeystore コマンドを使えば、あるソースキーストア内の単一のエントリをターゲットキーストアにインポートすることもできます。この場合、上記の例で示したオプションに加え、インポート対象となる別名を指定する必要があります。srcalias オプションを指定する場合には、ターゲット別名もコマンド行から指定できるほか、秘密/非公開鍵の保護用パスワードやターゲット保護用パスワードも指定できます。そうすれば、プロンプトのまったく表示されない \f3keytool\fP コマンドを発行できます。これは、\f3keytool\fP コマンドをスクリプトファイルに含める際に非常に便利です。 次に例を示します。
D
duke 已提交
651 652 653 654 655 656 657 658 659 660 661 662 663 664 665 666 667 668 669 670 671 672 673
.LP
.nf
\f3
.fl
keytool \-importkeystore
.fl
    \-srckeystore key.jks \-destkeystore NONE
.fl
    \-srcstoretype JKS \-deststoretype PKCS11
.fl
    \-srcstorepass changeit \-deststorepass topsecret
.fl
    \-srcalias myprivatekey \-destalias myoldprivatekey
.fl
    \-srckeypass oldkeypass \-destkeypass mynewkeypass
.fl
    \-noprompt
.fl
\fP
.fi
.RE

.LP
T
tbell 已提交
674
.SH "用語と警告"
D
duke 已提交
675 676 677 678
.LP

.LP
.SS 
T
tbell 已提交
679
キーストア
D
duke 已提交
680 681 682 683
.LP
.RS 3

.LP
T
tbell 已提交
684
キーストアは、暗号化の鍵と証明書を格納するための機能です。
D
duke 已提交
685 686 687 688
.RE
.RS 3
.TP 2
o
T
tbell 已提交
689 690 691
.TP 2
o
\f3キーストアのエントリ\fP 
D
duke 已提交
692 693 694
.RS 3

.LP
T
tbell 已提交
695
キーストアには異なるタイプのエントリを含めることができます。\f3keytool\fP でもっとも適用範囲の広いエントリタイプは、次の 2 つです。 
D
duke 已提交
696 697 698
.RS 3
.TP 3
1.
T
tbell 已提交
699
\f3鍵のエントリ\fP \- 各エントリは、非常に重要な暗号化の鍵の情報を保持します。この情報は、許可していないアクセスを防ぐために、保護された形で格納されます。一般に、この種のエントリとして格納される鍵は、秘密鍵か、対応する公開鍵の証明書チェーンを伴う非公開鍵です。\f3keytool\fP がこの両方のタイプのエントリを処理できるのに対し、\f3jarsigner\fP ツールは後者のタイプのエントリ、つまり非公開鍵とそれに関連付けられた証明書チェーンのみを処理します。 
D
duke 已提交
700 701
.TP 3
2.
T
tbell 已提交
702
\f3信頼できる証明書のエントリ\fP \- 各エントリは、第三者からの公開鍵証明書を 1 つ含んでいます。この証明書は、「信頼できる証明書」と呼ばれます。 それは、証明書内の公開鍵が、証明書の「Subject」(所有者) によって特定されるアイデンティティーに由来するものであることを、キーストアの所有者が信頼するからです。証明書の発行者は、証明書に署名を付けることによって、その内容を保証します。 
D
duke 已提交
703 704 705 706 707 708
.RE

.LP
.RE
.TP 2
o
T
tbell 已提交
709
\f3キーストアの別名\fP 
D
duke 已提交
710 711
.RS 3
.LP
T
tbell 已提交
712
キーストアのすべてのエントリ (鍵および信頼できる証明書) は、一意の「別名」を介してアクセスされます。
D
duke 已提交
713 714
.LP
.LP
T
tbell 已提交
715
別名を指定するのは、\-genseckey コマンドを使って秘密鍵を生成したり、\-genkeypair コマンドを使って鍵ペア (公開鍵と非公開鍵) を生成したり、\-importcert コマンドを使って証明書または証明書チェーンを信頼できる証明書のリストに追加したりするなど、特定のエンティティーをキーストアに追加する場合です。これ以後、\f3keytool\fP コマンドでエンティティーを参照する場合は、このときに指定した別名を使用する必要があります。
D
duke 已提交
716 717
.LP
.LP
T
tbell 已提交
718
たとえば、\f2duke\fP という別名を使って新しい公開鍵と非公開鍵のペアを生成し、公開鍵を自己署名証明書 (「証明書チェーン」を参照) でラップするとします。 この場合は、次のコマンドを実行します。
D
duke 已提交
719 720 721 722 723 724 725 726 727 728
.LP
.nf
\f3
.fl
    keytool \-genkeypair \-alias duke \-keypass dukekeypasswd
.fl
\fP
.fi

.LP
T
tbell 已提交
729
ここでは、初期パスワードとして dukekeypasswd を指定しています。 以後、別名 \f2duke\fP に関連付けられた非公開鍵にアクセスするコマンドを実行するときは、このパスワードが必要になります。duke の非公開鍵のパスワードをあとから変更するには、次のコマンドを実行します。 
D
duke 已提交
730 731 732 733 734 735 736 737 738
.nf
\f3
.fl
    keytool \-keypasswd \-alias duke \-keypass dukekeypasswd \-new newpass
.fl
\fP
.fi

.LP
T
tbell 已提交
739
パスワードが、dukekeypasswd から newpass に変更されます。 
D
duke 已提交
740
.LP
T
tbell 已提交
741
注 \-テストを目的とする場合、または安全であることがわかっているシステムで実行する場合以外は、コマンド行やスクリプトでパスワードを指定しないでください。必要なパスワードのオプションをコマンド行で指定しなかった場合は、パスワードの入力を求められます。
D
duke 已提交
742 743 744 745
.LP
.RE
.TP 2
o
T
tbell 已提交
746
\f3キーストアの実装\fP 
D
duke 已提交
747
.RS 3
T
tbell 已提交
748
\f2java.security\fP パッケージで提供される \f2KeyStore\fP クラスには、キーストア内の情報に対するアクセスと変更を行うための明確に定義されたインタフェースが用意されています。キーストアの固定実装としては、それぞれが特定の「タイプ」のキーストアを対象とする複数の異なる実装が存在可能です。 
D
duke 已提交
749
.LP
T
tbell 已提交
750
現在、\f3keytool\fP と \f3jarsigner\fP の 2 つのコマンド行ツールと、\f3Policy Tool\fP という名前の 1 つの GUI ベースのツールが、キーストアの実装を使用しています。\f2KeyStore\fP は public として使用可能なので、JDK ユーザーは \f2KeyStore\fP を使ったほかのセキュリティーアプリケーションも作成できます。
D
duke 已提交
751 752
.LP
.LP
T
tbell 已提交
753
キーストアには、Sun が提供する組み込みのデフォルトの実装があります。これは、JKS という名前の独自のキーストアタイプ (形式) を利用するもので、キーストアをファイルとして実装しています。この実装では、個々の非公開鍵は個別のパスワードによって保護され、キーストア全体の整合性も (非公開鍵とは別の) パスワードによって保護されます。
D
duke 已提交
754 755
.LP
.LP
T
tbell 已提交
756 757 758 759 760
キーストアの実装は、プロバイダベースです。具体的には、\f2KeyStore\fP が提供するアプリケーションインタフェースは、Service Provider Interface (SPI) という形で実装されています。つまり、対応する \f2KeystoreSpi\fP 抽象クラス (これも \f2java.security\fP パッケージに含まれている) があり、このクラスが Service Provider Interface のメソッドを定義しています。 これらのメソッドは、「プロバイダ」が実装しなければなりません。ここで、「プロバイダ」とは、Java Security API によってアクセス可能なサービスのサブセットに対し、その固定実装を提供するパッケージまたはパッケージの集合のことです。したがって、キーストアの実装を提供するには、
.na
\f2「Java(TM) 暗号化アーキテクチャー用プロバイダの実装方法」\fP @
.fi
http://java.sun.com/javase/6/docs/technotes/guides/security/crypto/HowToImplAProvider.htmlで説明しているように、クライアントが「プロバイダ」を実装し、KeystoreSpi サブクラスの実装を提供する必要があります。
D
duke 已提交
761 762
.LP
.LP
T
tbell 已提交
763
アプリケーションでは、\f2KeyStore\fP クラスが提供する getInstance ファクトリメソッドを使うことで、さまざまなプロバイダから異なる「タイプ」のキーストアの実装を選択できます。キーストアのタイプは、キーストア情報の格納形式とデータ形式を定義するとともに、キーストア内の非公開/秘密鍵とキーストア自体の整合性を保護するために使われるアルゴリズムを定義します。異なるタイプのキーストアの実装には、互換性はありません。
D
duke 已提交
764 765
.LP
.LP
T
tbell 已提交
766
\f3keytool\fP は、任意のファイルベースのキーストア実装で動作します。keytool は、コマンド行から渡されたキーストアの場所をファイル名として扱い、これを FileInputStream に変換して、FileInputStream からキーストアの情報をロードします。一方、\f3jarsigner\fP ツールと \f3policytool\fP ツールは、URL で指定可能な任意の場所からキーストアを読み込むことができます。
D
duke 已提交
767 768
.LP
.LP
T
tbell 已提交
769
\f3keytool\fP と \f3jarsigner\fP の場合、\f2\-storetype\fP オプションを使ってコマンド行でキーストアのタイプを指定できます。\f3Policy Tool\fPの場合は、「キーストア」メニューによってキーストアのタイプを指定できます。
D
duke 已提交
770 771
.LP
.LP
T
tbell 已提交
772
キーストアのタイプを明示的に指定しない場合、keytool、jarsigner、および policytool の各ツールは、セキュリティープロパティーファイル内で指定された \f2keystore.type\fP プロパティーの値に基づいてキーストアの実装を選択します。セキュリティープロパティーファイルは、\f2java.security\fP という名前でセキュリティープロパティーディレクトリ \f2java.home\fP/lib/security に置かれています。 \f2java.home\fP は、実行環境のディレクトリ (SDK の \f2jre\fP ディレクトリまたは Java 2 Runtime Environment の最上位ディレクトリ) です。
D
duke 已提交
773 774
.LP
.LP
T
tbell 已提交
775
各ツールは、\f2keystore.type\fP の値を取得し、この値で指定されたタイプのキーストアを実装しているプロバイダが見つかるまで、現在インストールされているすべてのプロバイダを調べます。目的のプロバイダが見つかると、そのプロバイダからのキーストアの実装を使います。
D
duke 已提交
776 777
.LP
.LP
T
tbell 已提交
778
\f2KeyStore\fP クラスでは \f2getDefaultType\fP という名前の static メソッドが定義されており、アプリケーションとアプレットはこのメソッドを使うことで \f2keystore.type\fP プロパティーの値を取得できます。次のコードは、デフォルトのキーストアタイプ (\f2keystore.type\fP プロパティーで指定されたタイプ) のインスタンスを生成します。
D
duke 已提交
779 780 781 782 783 784 785 786 787 788 789
.LP
.nf
\f3
.fl
    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
790
デフォルトのキーストアタイプは JKS (Sun が提供する独自のタイプのキーストアの実装) です。これは、セキュリティープロパティーファイル内の次の行によって指定されています。
D
duke 已提交
791 792 793 794 795 796 797 798 799 800 801
.LP
.nf
\f3
.fl
    keystore.type=jks
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
802
各ツールでデフォルト以外のキーストアの実装を使用するには、上の行を変更して別のキーストアのタイプを指定します。
D
duke 已提交
803 804
.LP
.LP
T
tbell 已提交
805
たとえば、pkcs12 と呼ばれるタイプのキーストアの実装を提供しているプロバイダパッケージを使用するには、上の行を次のように変更します。
D
duke 已提交
806 807 808 809 810 811 812 813 814 815
.LP
.nf
\f3
.fl
    keystore.type=pkcs12
.fl
\fP
.fi

.LP
T
tbell 已提交
816
注:キーストアのタイプの指定では、大文字と小文字は区別されません。たとえば、JKS と jks は同じものとして扱われます。
D
duke 已提交
817 818 819
.RE
.RE
.SS 
T
tbell 已提交
820
証明書
D
duke 已提交
821 822 823 824
.LP
.RS 3

.LP
T
tbell 已提交
825
\f3証明書\fP (\f3公開鍵証明書\fPとも呼ぶ) とは、あるエンティティー (「発行者」) からのデジタル署名付きの文書のことです。 証明書には、ほかのあるエンティティー (「署名者」) の公開鍵 (およびその他の情報) が特別な値を持っていることが書かれています。
D
duke 已提交
826 827 828 829
.RE
.RS 3
.TP 2
o
T
tbell 已提交
830 831 832
.TP 2
o
\f3証明書の用語\fP 
D
duke 已提交
833 834 835 836 837
.RS 3

.LP
.RS 3
.TP 3
T
tbell 已提交
838 839
公開鍵 
公開鍵は、特定のエンティティーに関連付けられた数です。 公開鍵は、該当するエンティティーとの間に信頼できる関係を持つ必要があるすべての人に対して公開することを意図したものです。公開鍵は、署名を検証するのに使われます。 
D
duke 已提交
840
.TP 3
T
tbell 已提交
841 842
デジタル署名 
データが「\f2デジタル署名\fP」されると、そのデータは、エンティティーの「アイデンティティー」と、そのエンティティーがデータの内容について知っていることを証明する署名とともに格納されます。エンティティーの非公開鍵を使ってデータに署名を付けると、データの偽造は不可能になります。 
D
duke 已提交
843
.TP 3
T
tbell 已提交
844 845
アイデンティティー 
エンティティーを特定するための既知の方法です。システムによっては、公開鍵をアイデンティティーにするものがあります。 公開鍵のほかにも、Unix UID や電子メールアドレス、X.509 識別名など、さまざまなものをアイデンティティーとすることができます。 
D
duke 已提交
846
.TP 3
T
tbell 已提交
847 848
署名 
署名は、なんらかのデータを基にエンティティー (署名者。 証明書に関しては発行者とも呼ばれる) の非公開鍵を使って計算されます。 
D
duke 已提交
849
.TP 3
T
tbell 已提交
850 851
非公開鍵 
非公開鍵は特定のエンティティーだけが知っている数のことで、この数のことを、そのエンティティーの非公開鍵といいます。非公開鍵は、ほかに知られないように秘密にしておくことが前提になっています。 非公開鍵と公開鍵は、すべての公開鍵暗号化システムで対になって存在しています。DSA などの典型的な公開鍵暗号化システムの場合、1 つの非公開鍵は正確に 1 つの公開鍵に対応します。非公開鍵は、署名を計算するのに使われます。 
D
duke 已提交
852
.TP 3
T
tbell 已提交
853 854
エンティティー 
エンテンティーは、人、組織、プログラム、コンピュータ、企業、銀行など、一定の度合いで信頼の対象となるさまざまなものを指します。 
D
duke 已提交
855 856 857 858
.RE

.LP
.LP
T
tbell 已提交
859
公開鍵暗号化では、その性質上、ユーザーの公開鍵にアクセスする必要があります。大規模なネットワーク環境では、互いに通信しているエンティティー間で以前の関係が引き続き確立されていると仮定したり、使われているすべての公開鍵を収めた信頼できるリポジトリが存在すると仮定したりすることは不可能です。このような公開鍵の配布に関する問題を解決するために証明書が考案されました。現在では、「証明書発行局 (CA)」が信頼できる第三者として機能します。CA は、ほかのエンティティーの証明書に署名する (発行する) 行為を、信頼して任されているエンティティー (企業など) です。CA は法律上の契約に拘束されるので、有効かつ信頼できる証明書だけを作成するものとして扱われます。
D
duke 已提交
860
.na
T
tbell 已提交
861
\f2VeriSign\fP @
D
duke 已提交
862
.fi
T
tbell 已提交
863
http://www.verisign.com/、
D
duke 已提交
864
.na
T
tbell 已提交
865
\f2Thawte\fP @
D
duke 已提交
866
.fi
T
tbell 已提交
867
http://www.thawte.com/、
D
duke 已提交
868
.na
T
tbell 已提交
869
\f2Entrust\fP @
D
duke 已提交
870
.fi
T
tbell 已提交
871
http://www.entrust.com/ をはじめ、多くの CA が存在します。Netscape や Microsoft の認証サーバー、Entrust の CA 製品などを所属組織内で利用すれば、独自の証明書発行局を運営することも可能です。
D
duke 已提交
872 873
.LP
.LP
T
tbell 已提交
874
\f3keytool\fP を使うと、証明書の表示、インポート、およびエクスポートを行うことができます。また、自己署名証明書を生成することもできます。
D
duke 已提交
875 876
.LP
.LP
T
tbell 已提交
877
現在、\f3keytool\fP は X.509 証明書を対象にしています。
D
duke 已提交
878 879 880 881
.LP
.RE
.TP 2
o
T
tbell 已提交
882
\f3X.509 証明書\fP 
D
duke 已提交
883
.RS 3
T
tbell 已提交
884
X.509 規格では、証明書に含める情報が定義されており、この情報を証明書に書き込む方法 (データ形式) についても記述されています。証明書のすべてのデータは、ASN.1/DER と呼ばれる 2 つの関連規格を使って符号化されます。\f2Abstract Syntax Notation 1\fP はデータについて記述しています。\f2Definite Encoding Rules\fP は、データの保存および転送の方法について記述しています。 
D
duke 已提交
885
.LP
T
tbell 已提交
886
すべての X.509 証明書は、署名のほかに次のデータを含んでいます。
D
duke 已提交
887 888 889
.LP
.RS 3
.TP 3
T
tbell 已提交
890 891
バージョン 
証明書に適用される X.509 規格のバージョンを特定します。 証明書に指定できる情報は、バージョンによって異なります。これまでに、3 つのバージョンが定義されています。\f3keytool\fP では、v1、v2、および v3 の証明書のインポートとエクスポートが可能です。keytool が生成するのは、v3 の証明書です。 
D
duke 已提交
892
.LP
T
tbell 已提交
893
「X.509 Version 1」は、1988 年から利用されて広く普及しており、もっとも一般的です。 
D
duke 已提交
894
.LP
T
tbell 已提交
895
「X.509 Version 2」では、Subject や発行者の名前をあとで再利用できるようにするために、Subject と発行者の一意識別子の概念が導入されました。ほとんどの証明書プロファイル文書では、名前を再使用しないことと、証明書で一意な識別子を使わないことが、強く推奨されています。Version 2 の証明書は、広くは使われていません。 
D
duke 已提交
896
.LP
T
tbell 已提交
897
「X.509 Version 3」はもっとも新しい (1996 年) 規格で、エクステンションの概念をサポートしています。エクステンションは誰でも定義することができ、証明書に含めることができます。現在使われている一般的なエクステンションとしては、KeyUsage (「署名専用」など、鍵の使用を特定の目的に制限する)、AlternativeNames (DNS 名、電子メールアドレス、IP アドレスなど、ほかのアイデンティティーを公開鍵に関連付けることができる) などがあります。エクステンションには、critical というマークを付けて、そのエクステンションのチェックと使用を義務づけることができます。たとえば、critical とマークされ、KeyCertSign が設定された KeyUsage エクステンションが証明書に含まれている場合、この証明書を SSL 通信中に提示すると、証明書が拒否されます。 これは、証明書のエクステンションによって、関連する非公開鍵が証明書の署名専用として指定されており、SSL では使用できないためです。  
D
duke 已提交
898
.TP 3
T
tbell 已提交
899 900
シリアル番号 
証明書を作成したエンティティーは、そのエンティティーが発行するほかの証明書と区別するために、証明書にシリアル番号を割り当てます。この情報は、さまざまな方法で使われます。 たとえば、証明書が取り消されると、シリアル番号が証明書の取り消しリスト (CRL) に格納されます。 
D
duke 已提交
901
.TP 3
T
tbell 已提交
902 903
署名アルゴリズム識別子 
証明書に署名を付けるときに CA が使ったアルゴリズムを特定します。 
D
duke 已提交
904
.TP 3
T
tbell 已提交
905 906
発行者名 
証明書に署名を付けたエンティティーの X.500 識別名です。エンティティーは、通常は CA です。この証明書を使うことは、証明書に署名を付けたエンティティーを信頼することを意味します。「ルート」つまり「トップレベル」の CA の証明書など、場合によっては発行者が自身の証明書に署名を付けることがある点に注意してください。 
D
duke 已提交
907
.TP 3
T
tbell 已提交
908 909
有効期間 
各証明書は、限られた期間だけ有効になります。この期間は開始の日時と終了の日時によって指定され、数秒の短い期間から 100 年という長期にわたることもあります。選択される有効期間は、証明書への署名に使われる非公開鍵の強度や証明書に支払う金額など、さまざまな要因で異なります。有効期間は、使用する非公開鍵が損なわれない場合に、エンティティーが公開鍵を信頼できると期待される期間です。 
D
duke 已提交
910
.TP 3
T
tbell 已提交
911 912
Subject 名 
証明書で公開鍵が識別されているエンティティーの名前です。この名前は X.500 標準を使うので、インターネット全体で一意なものと想定されます。これは、エンティティーの X.500 識別名 (DN) です。 次に例を示します。 
D
duke 已提交
913 914 915 916 917 918 919
.nf
\f3
.fl
    CN=Java Duke, OU=Java Software Division, O=Sun Microsystems Inc, C=US
.fl
\fP
.fi
T
tbell 已提交
920
これらはそれぞれ主体の通称、組織単位、組織、国を表します。 
D
duke 已提交
921
.TP 3
T
tbell 已提交
922 923
Subject の公開鍵情報 
名前を付けられたエンティティーの公開鍵とアルゴリズム識別子です。 アルゴリズム識別子では、公開鍵に対して使われている公開鍵暗号化システムおよび関連する鍵パラメータが指定されています。 
D
duke 已提交
924 925 926 927 928 929
.RE

.LP
.RE
.TP 2
o
T
tbell 已提交
930
\f3証明書チェーン\fP 
D
duke 已提交
931 932
.RS 3
.LP
T
tbell 已提交
933
\f3keytool\fP では、非公開鍵および関連する証明書「チェーン」を含むキーストアの「鍵」エントリを作成し、管理することができます。このようなエントリでは、非公開鍵に対応する公開鍵は、チェーンの最初の証明書に含まれています。
D
duke 已提交
934 935
.LP
.LP
T
tbell 已提交
936
鍵を初めて作成すると (\-genkeypair コマンドを参照)、「自己署名証明書」という 1 つの要素だけを含むチェーンが開始されます。自己署名証明書は、発行者 (署名者) が主体 (証明書で認証されている公開鍵の持ち主) と同じである証明書のことです。\f2\-genkeypair\fP コマンドを呼び出して新しい公開鍵と非公開鍵のペアを作成すると、公開鍵は常に自己署名証明書でラップされます。
D
duke 已提交
937 938
.LP
.LP
T
tbell 已提交
939
このあと、証明書署名要求 (CSR) が生成されて (\-certreq コマンドを参照)、CSR が証明書発行局 (CA) に送信されると、CA からの応答がインポートされ (\-importcert コマンドを参照)、元の自己署名証明書は証明書チェーンによって置き換えられます。チェーンの最後にあるのは、Subject の公開鍵を認証した CA が発行した証明書 (応答) です。チェーン内のその前の証明書は、「CA」の公開鍵を認証する証明書です。
D
duke 已提交
940 941
.LP
.LP
T
tbell 已提交
942
CA の公開鍵を認証する証明書は、多くの場合、自己署名証明書 (つまり CA が自身の公開鍵を認証した証明書) であり、これはチェーンの最初の証明書になります。場合によっては、CA が証明書のチェーンを返すこともあります。この場合、チェーン内の最後の証明書 (CA によって署名され、鍵エントリの公開鍵を認証する証明書) に変わりはありませんが、チェーン内のその前の証明書は、CSR の送信先の CA とは「別の」CA によって署名され、CSR の送信先の CA の公開鍵を認証する証明書になります。さらに、チェーン内のその前の証明書は、次の CA の鍵を認証する証明書になります。 以下同様に、自己署名された「ルート」証明書に達するまでチェーンが続きます。したがって、チェーン内の (最初の証明書以後の) 各証明書では、チェーン内の次の証明書の署名者の公開鍵が認証されていることになります。
D
duke 已提交
943 944
.LP
.LP
T
tbell 已提交
945
多くの CA は、チェーンをサポートせずに発行済みの証明書だけを返します。 特に、中間の CA が存在しないフラットな階層構造の場合は、その傾向が顕著です。このような場合は、キーストアにすでに格納されている信頼できる証明書情報から、証明書チェーンを確立する必要があります。
D
duke 已提交
946 947
.LP
.LP
T
tbell 已提交
948
別の応答形式 (PKCS#7 で定義されている形式) でも、発行済み証明書に加え、証明書チェーンのサポートが含まれています。\f3keytool\fP では、どちらの応答形式も扱うことができます。
D
duke 已提交
949 950
.LP
.LP
T
tbell 已提交
951
トップレベル (ルート) CA の証明書は、自己署名証明書です。ただし、ルートの公開鍵に対する信頼は、ルートの証明書自体から導き出されるものではなく (たとえば、VeriSign ルート CA のような有名な識別名を使った自己署名証明書を作成すること自体は誰でも可能)、新聞などのほかの情報源に由来するものです。ルート CA の公開鍵は広く知られています。ルート CA の公開鍵を証明書に格納する理由は、証明書という形式にすることで多くのツールから利用できるようになるからにすぎません。 つまり、証明書は、ルート CA の公開鍵を運ぶ「媒体」として利用されるだけです。ルート CA の証明書をキーストアに追加するときは、その前に証明書の内容を表示し (\f2\-printcert\fP オプションを使用)、表示されたフィンガープリントと、新聞やルート CA の Web ページなどから入手した既知のフィンガープリントとを比較する必要があります。
D
duke 已提交
952 953 954 955
.LP
.RE
.TP 2
o
T
tbell 已提交
956
\f3cacerts 証明書ファイル\fP 
D
duke 已提交
957 958
.RS 3
.LP
T
tbell 已提交
959
\f3cacerts\fP 証明書ファイルは、セキュリティープロパティーディレクトリ \f2java.home\fP/lib/security に置かれています。 \f2java.home\fP は、実行環境のディレクトリ (SDK の \f2jre\fP ディレクトリまたは Java 2 Runtime Environment の最上位ディレクトリ) です。
D
duke 已提交
960 961
.LP
.LP
T
tbell 已提交
962
cacerts ファイルは、CA の証明書を含む、システム全体のキーストアです。システム管理者は、キーストアタイプに jks を指定することで、\f3keytool\fP を使ってこのファイルの構成と管理を行うことができます。cacerts キーストアファイルは、次の別名および X.500 所有者識別名を持ついくつかのルート CA 証明書を含んだ状態で出荷されています。
D
duke 已提交
963 964 965 966
.LP
.RS 3
.TP 2
*
T
tbell 已提交
967
\f3Alias\fP:thawtepersonalfreemailca
D
duke 已提交
968
.br
T
tbell 已提交
969
\f3Owner DN\fP:EmailAddress=personal\-freemail@thawte.com,
D
duke 已提交
970 971 972 973 974 975 976 977
.br
CN=Thawte Personal Freemail CA,
.br
OU=Certification Services Division,
.br
O=Thawte Consulting, L=Cape Town, ST=Western Cape, C=ZA 
.TP 2
*
T
tbell 已提交
978
\f3Alias\fP:thawtepersonalbasicca
D
duke 已提交
979
.br
T
tbell 已提交
980
\f3Owner DN\fP:EmailAddress=personal\-basic@thawte.com,
D
duke 已提交
981 982 983 984 985 986 987 988
.br
CN=Thawte Personal Basic CA,
.br
OU=Certification Services Division,
.br
O=Thawte Consulting, L=Cape Town, ST=Western Cape, C=ZA 
.TP 2
*
T
tbell 已提交
989
\f3Alias\fP:thawtepersonalpremiumca
D
duke 已提交
990
.br
T
tbell 已提交
991
\f3Owner DN\fP:EmailAddress=personal\-premium@thawte.com,
D
duke 已提交
992 993 994 995 996 997 998 999
.br
CN=Thawte Personal Premium CA,
.br
OU=Certification Services Division,
.br
O=Thawte Consulting, L=Cape Town, ST=Western Cape, C=ZA 
.TP 2
*
T
tbell 已提交
1000
\f3Alias\fP:thawteserverca
D
duke 已提交
1001
.br
T
tbell 已提交
1002
\f3Owner DN\fP:EmailAddress=server\-certs@thawte.com,
D
duke 已提交
1003 1004 1005 1006 1007 1008
.br
CN=Thawte Server CA, OU=Certification Services Division,
.br
O=Thawte Consulting cc, L=Cape Town, ST=Western Cape, C=ZA 
.TP 2
*
T
tbell 已提交
1009
\f3Alias\fP:thawtepremiumserverca
D
duke 已提交
1010
.br
T
tbell 已提交
1011
\f3Owner DN\fP:EmailAddress=premium\-server@thawte.com,
D
duke 已提交
1012 1013 1014 1015 1016 1017 1018 1019
.br
CN=Thawte Premium Server CA,
.br
OU=Certification Services Division,
.br
O=Thawte Consulting cc, L=Cape Town, ST=Western Cape, C=ZA 
.TP 2
*
T
tbell 已提交
1020
\f3Alias\fP:verisignclass1ca
D
duke 已提交
1021
.br
T
tbell 已提交
1022
\f3Owner DN\fP:OU=Class 1 Public Primary Certification Authority,
D
duke 已提交
1023 1024 1025 1026
.br
O="VeriSign, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1027
\f3Alias\fP:verisignclass2ca
D
duke 已提交
1028
.br
T
tbell 已提交
1029
\f3Owner DN\fP:OU=Class 2 Public Primary Certification Authority,
D
duke 已提交
1030 1031 1032 1033
.br
O="VeriSign, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1034
\f3Alias\fP:verisignclass3ca
D
duke 已提交
1035
.br
T
tbell 已提交
1036
\f3Owner DN\fP:OU=Class 3 Public Primary Certification Authority,
D
duke 已提交
1037 1038 1039 1040
.br
O="VeriSign, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1041
\f3Alias\fP:verisignserverca
D
duke 已提交
1042
.br
T
tbell 已提交
1043
\f3Owner DN\fP:OU=Secure Server Certification Authority,
D
duke 已提交
1044 1045 1046 1047
.br
O="RSA Data Security, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1048
\f3Alias\fP:verisignclass1g2ca
D
duke 已提交
1049
.br
T
tbell 已提交
1050
\f3Owner DN\fP:OU=VeriSign Trust Network,
D
duke 已提交
1051 1052 1053 1054 1055 1056 1057 1058
.br
OU="(c) 1998 VeriSign, Inc. \- For authorized use only",
.br
OU=Class 1 Public Primary Certification Authority \- G2,
.br
O="VeriSign, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1059
\f3Alias\fP:verisignclass1g3ca
D
duke 已提交
1060
.br
T
tbell 已提交
1061
\f3Owner DN\fP:CN=VeriSign Class 1 Public Primary Certification Authority \- G3, OU="(c) 1999 VeriSign, Inc. \- For authorized use only",
D
duke 已提交
1062 1063 1064 1065 1066 1067
.br
OU=VeriSign Trust Network,
.br
O="VeriSign, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1068
\f3Alias\fP:verisignclass2g2ca
D
duke 已提交
1069
.br
T
tbell 已提交
1070
\f3Owner DN\fP:OU=VeriSign Trust Network,
D
duke 已提交
1071 1072 1073 1074 1075 1076 1077 1078
.br
OU="(c) 1998 VeriSign, Inc. \- For authorized use only",
.br
OU=Class 2 Public Primary Certification Authority \- G2,
.br
O="VeriSign, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1079
\f3Alias\fP:verisignclass2g3ca
D
duke 已提交
1080
.br
T
tbell 已提交
1081
\f3Owner DN\fP:CN=VeriSign Class 2 Public Primary Certification Authority \- G3,
D
duke 已提交
1082 1083 1084 1085 1086 1087 1088 1089
.br
OU="(c) 1999 VeriSign, Inc. \- For authorized use only",
.br
OU=VeriSign Trust Network,
.br
O="VeriSign, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1090
\f3Alias\fP:verisignclass3g2ca
D
duke 已提交
1091
.br
T
tbell 已提交
1092
\f3Owner DN\fP:OU=VeriSign Trust Network,
D
duke 已提交
1093 1094 1095 1096 1097 1098 1099 1100
.br
OU="(c) 1998 VeriSign, Inc. \- For authorized use only",
.br
OU=Class 3 Public Primary Certification Authority \- G2,
.br
O="VeriSign, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1101
\f3Alias\fP:verisignclass3g3ca
D
duke 已提交
1102
.br
T
tbell 已提交
1103
\f3Owner DN\fP:CN=VeriSign Class 3 Public Primary Certification Authority \- G3,
D
duke 已提交
1104 1105 1106 1107 1108 1109 1110 1111
.br
OU="(c) 1999 VeriSign, Inc. \- For authorized use only",
.br
OU=VeriSign Trust Network,
.br
O="VeriSign, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1112
\f3Alias\fP:baltimorecodesigningca
D
duke 已提交
1113
.br
T
tbell 已提交
1114
\f3Owner DN\fP:CN=Baltimore CyberTrust Code Signing Root,
D
duke 已提交
1115 1116 1117 1118
.br
OU=CyberTrust, O=Baltimore, C=IE 
.TP 2
*
T
tbell 已提交
1119
\f3Alias\fP:gtecybertrustglobalca
D
duke 已提交
1120
.br
T
tbell 已提交
1121
\f3Owner DN\fP:CN=GTE CyberTrust Global Root,
D
duke 已提交
1122 1123 1124 1125
.br
OU="GTE CyberTrust Solutions, Inc.", O=GTE Corporation, C=US 
.TP 2
*
T
tbell 已提交
1126
\f3Alias\fP:baltimorecybertrustca
D
duke 已提交
1127
.br
T
tbell 已提交
1128
\f3Owner DN\fP:CN=Baltimore CyberTrust Root,
D
duke 已提交
1129 1130 1131 1132
.br
OU=CyberTrust, O=Baltimore, C=IE 
.TP 2
*
T
tbell 已提交
1133
\f3Alias\fP:gtecybertrust5ca
D
duke 已提交
1134
.br
T
tbell 已提交
1135
\f3Owner DN\fP:CN=GTE CyberTrust Root 5,
D
duke 已提交
1136 1137 1138 1139
.br
OU="GTE CyberTrust Solutions, Inc.", O=GTE Corporation, C=US 
.TP 2
*
T
tbell 已提交
1140
\f3Alias\fP:entrustclientca
D
duke 已提交
1141
.br
T
tbell 已提交
1142
\f3Owner DN\fP:CN=Entrust.net Client Certification Authority,
D
duke 已提交
1143 1144 1145 1146 1147 1148 1149 1150
.br
OU=(c) 1999 Entrust.net Limited,
.br
OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref. limits liab.,
.br
O=Entrust.net, C=US 
.TP 2
*
T
tbell 已提交
1151
\f3Alias\fP:entrustglobalclientca
D
duke 已提交
1152
.br
T
tbell 已提交
1153
\f3Owner DN\fP:CN=Entrust.net Client Certification Authority,
D
duke 已提交
1154 1155 1156 1157 1158 1159 1160 1161
.br
OU=(c) 2000 Entrust.net Limited,
.br
OU=www.entrust.net/GCCA_CPS incorp. by ref. (limits liab.),
.br
O=Entrust.net 
.TP 2
*
T
tbell 已提交
1162
\f3Alias\fP:entrust2048ca
D
duke 已提交
1163
.br
T
tbell 已提交
1164
\f3Owner DN\fP:CN=Entrust.net Certification Authority (2048),
D
duke 已提交
1165 1166 1167 1168 1169 1170 1171 1172
.br
OU=(c) 1999 Entrust.net Limited,
.br
OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.),
.br
O=Entrust.net 
.TP 2
*
T
tbell 已提交
1173
\f3Alias\fP:entrustsslca
D
duke 已提交
1174
.br
T
tbell 已提交
1175
\f3Owner DN\fP:CN=Entrust.net Secure Server Certification Authority,
D
duke 已提交
1176 1177 1178 1179 1180 1181 1182 1183
.br
OU=(c) 1999 Entrust.net Limited,
.br
OU=www.entrust.net/CPS incorp. by ref. (limits liab.),
.br
O=Entrust.net, C=US 
.TP 2
*
T
tbell 已提交
1184
\f3Alias\fP:entrustgsslca
D
duke 已提交
1185
.br
T
tbell 已提交
1186
\f3Owner DN\fP:CN=Entrust.net Secure Server Certification Authority,
D
duke 已提交
1187 1188 1189 1190 1191 1192 1193 1194
.br
OU=(c) 2000 Entrust.net Limited,
.br
OU=www.entrust.net/SSL_CPS incorp. by ref. (limits liab.),
.br
O=Entrust.net 
.TP 2
*
T
tbell 已提交
1195
\f3Alias\fP:godaddyclass2ca
D
duke 已提交
1196
.br
T
tbell 已提交
1197
\f3Owner DN\fP:OU=Go Daddy Class 2 Certification Authority,
D
duke 已提交
1198 1199 1200 1201
.br
O="The Go Daddy Group, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1202
\f3Alias\fP:starfieldclass2ca
D
duke 已提交
1203
.br
T
tbell 已提交
1204
\f3Owner DN\fP:OU=Starfield Class 2 Certification Authority,
D
duke 已提交
1205 1206 1207 1208
.br
O="Starfield Technologies, Inc.", C=US 
.TP 2
*
T
tbell 已提交
1209
\f3Alias\fP:valicertclass2ca
D
duke 已提交
1210
.br
T
tbell 已提交
1211
\f3Owner DN\fP:EMAILADDRESS=info@valicert.com,
D
duke 已提交
1212 1213 1214 1215 1216 1217 1218 1219
.br
CN=http://www.valicert.com/,
.br
OU=ValiCert Class 2 Policy Validation Authority,
.br
O="ValiCert, Inc.", L=ValiCert Validation Network 
.TP 2
*
T
tbell 已提交
1220
\f3Alias\fP:geotrustglobalca
D
duke 已提交
1221
.br
T
tbell 已提交
1222
\f3Owner DN\fP:CN=GeoTrust Global CA,
D
duke 已提交
1223 1224 1225 1226
.br
O=GeoTrust Inc., C=US 
.TP 2
*
T
tbell 已提交
1227
\f3Alias\fP:equifaxsecureca
D
duke 已提交
1228
.br
T
tbell 已提交
1229
\f3Owner DN\fP:OU=Equifax Secure Certificate Authority,
D
duke 已提交
1230 1231 1232 1233
.br
O=Equifax, C=US 
.TP 2
*
T
tbell 已提交
1234
\f3Alias\fP:equifaxsecureebusinessca1
D
duke 已提交
1235
.br
T
tbell 已提交
1236
\f3Owner DN\fP:CN=Equifax Secure eBusiness CA\-1,
D
duke 已提交
1237 1238 1239 1240
.br
O=Equifax Secure Inc., C=US 
.TP 2
*
T
tbell 已提交
1241
\f3Alias\fP:equifaxsecureebusinessca2
D
duke 已提交
1242
.br
T
tbell 已提交
1243
\f3Owner DN\fP:OU=Equifax Secure eBusiness CA\-2,
D
duke 已提交
1244 1245 1246 1247
.br
O=Equifax Secure, C=US 
.TP 2
*
T
tbell 已提交
1248
\f3Alias\fP:equifaxsecureglobalebusinessca1
D
duke 已提交
1249
.br
T
tbell 已提交
1250
\f3Owner DN\fP:CN=Equifax Secure Global eBusiness CA\-1,
D
duke 已提交
1251 1252 1253 1254
.br
O=Equifax Secure Inc., C=US 
.TP 2
*
T
tbell 已提交
1255
\f3Alias\fP:soneraclass1ca
D
duke 已提交
1256
.br
T
tbell 已提交
1257
\f3Owner DN\fP:CN=Sonera Class1 CA, O=Sonera, C=FI 
D
duke 已提交
1258 1259
.TP 2
*
T
tbell 已提交
1260
\f3Alias\fP:soneraclass2ca
D
duke 已提交
1261
.br
T
tbell 已提交
1262
\f3Owner DN\fP:CN=Sonera Class2 CA, O=Sonera, C=FI 
D
duke 已提交
1263 1264
.TP 2
*
T
tbell 已提交
1265
\f3Alias\fP:comodoaaaca
D
duke 已提交
1266
.br
T
tbell 已提交
1267
\f3Owner DN\fP:CN=AAA Certificate Services,
D
duke 已提交
1268 1269 1270 1271
.br
O=Comodo CA Limited, L=Salford, ST=Greater Manchester, C=GB 
.TP 2
*
T
tbell 已提交
1272
\f3Alias\fP:addtrustclass1ca
D
duke 已提交
1273
.br
T
tbell 已提交
1274
\f3Owner DN\fP:CN=AddTrust Class 1 CA Root,
D
duke 已提交
1275 1276 1277 1278
.br
OU=AddTrust TTP Network, O=AddTrust AB, C=SE 
.TP 2
*
T
tbell 已提交
1279
\f3Alias\fP:addtrustexternalca
D
duke 已提交
1280
.br
T
tbell 已提交
1281
\f3Owner DN\fP:CN=AddTrust External CA Root,
D
duke 已提交
1282 1283 1284 1285
.br
OU=AddTrust External TTP Network, O=AddTrust AB, C=SE 
.TP 2
*
T
tbell 已提交
1286
\f3Alias\fP:addtrustqualifiedca
D
duke 已提交
1287
.br
T
tbell 已提交
1288
\f3Owner DN\fP:CN=AddTrust Qualified CA Root,
D
duke 已提交
1289 1290 1291 1292
.br
OU=AddTrust TTP Network, O=AddTrust AB, C=SE 
.TP 2
*
T
tbell 已提交
1293
\f3Alias\fP:utnuserfirsthardwareca
D
duke 已提交
1294
.br
T
tbell 已提交
1295
\f3Owner DN\fP:CN=UTN\-USERFirst\-Hardware,
D
duke 已提交
1296 1297 1298 1299 1300 1301
.br
OU=http://www.usertrust.com, O=The USERTRUST Network,
.br
L=Salt Lake City, ST=UT, C=US 
.TP 2
*
T
tbell 已提交
1302
\f3Alias\fP:utnuserfirstclientauthemailca
D
duke 已提交
1303
.br
T
tbell 已提交
1304
\f3Owner DN\fP:CN=UTN\-USERFirst\-Client Authentication and Email,
D
duke 已提交
1305 1306 1307 1308 1309 1310
.br
OU=http://www.usertrust.com, O=The USERTRUST Network,
.br
L=Salt Lake City, ST=UT, C=US 
.TP 2
*
T
tbell 已提交
1311
\f3Alias\fP:utndatacorpsgcca
D
duke 已提交
1312
.br
T
tbell 已提交
1313
\f3Owner DN\fP:CN=UTN \- DATACorp SGC,
D
duke 已提交
1314 1315 1316 1317 1318 1319
.br
OU=http://www.usertrust.com, O=The USERTRUST Network,
.br
L=Salt Lake City, ST=UT, C=US 
.TP 2
*
T
tbell 已提交
1320
\f3Alias\fP:utnuserfirstobjectca
D
duke 已提交
1321
.br
T
tbell 已提交
1322
\f3Owner DN\fP:CN=UTN\-USERFirst\-Object,
D
duke 已提交
1323 1324 1325 1326 1327 1328 1329 1330
.br
OU=http://www.usertrust.com, O=The USERTRUST Network,
.br
L=Salt Lake City, ST=UT, C=US 
.RE

.LP
.LP
T
tbell 已提交
1331
cacerts キーストアファイルの初期パスワードは、changeit です。システム管理者は、SDK のインストール後、このファイルのパスワードとデフォルトアクセス権を変更する必要があります。
D
duke 已提交
1332 1333 1334 1335 1336 1337
.LP
.RS 3

.LP

.LP
T
tbell 已提交
1338
\f3重要:\fP\f4cacerts\fP\f3 ファイルを確認してください。\fP
D
duke 已提交
1339 1340 1341
.br

.LP
T
tbell 已提交
1342
\f2cacerts\fP ファイル内の CA は、署名および他のエンティティーへの証明書発行のためのエンティティーとして信頼されるため、\f2cacerts\fP ファイルの管理は慎重に行う必要があります。\f2cacerts\fP ファイルには、信頼する CA の証明書だけが含まれていなければなりません。ユーザーは、自身の責任において、\f2cacerts\fP ファイルにバンドルされている信頼できるルート CA 証明書を検証し、信頼性に関する独自の決定を行います。信頼できない CA 証明書を \f2cacerts\fP ファイルから削除するには、\f2keytool\fP コマンドの削除オプションを使用します。\f2cacerts\fP ファイルは JRE のインストールディレクトリにあります。このファイルを編集するアクセス権がない場合は、システム管理者に連絡してください。
D
duke 已提交
1343 1344 1345 1346 1347 1348 1349 1350 1351
.br

.LP
.RE

.LP
.RE
.TP 2
o
T
tbell 已提交
1352
\f3インターネット RFC 1421 証明書符号化規格\fP 
D
duke 已提交
1353 1354
.RS 3
.LP
T
tbell 已提交
1355
多くの場合、証明書は、バイナリ符号化ではなく、インターネット RFC 1421 規格で定義されている出力可能符号化方式を使って格納されます。「Base 64 符号化」とも呼ばれるこの証明書形式では、電子メールやその他の機構を通じて、ほかのアプリケーションに証明書を容易にエクスポートできます。
D
duke 已提交
1356 1357
.LP
.LP
T
tbell 已提交
1358
\f2\-importcert\fP コマンドと \f2\-printcert\fP コマンドでは、この形式の証明書とバイナリ符号化の証明書を読み込むことができます。
D
duke 已提交
1359 1360
.LP
.LP
T
tbell 已提交
1361
\f2\-exportcert\fP コマンドでは、デフォルトでバイナリ符号化の証明書が出力されます。 ただし、\f2\-rfc\fP オプションを指定した場合は、出力可能符号化方式の証明書が出力されます。
D
duke 已提交
1362 1363
.LP
.LP
T
tbell 已提交
1364
\f2\-list\fP コマンドでは、デフォルトで証明書の MD5 フィンガープリントが出力されます。\f2\-v\fP オプションを指定すると、人間が読むことのできる形式で証明書が出力されます。 一方、\f2\-rfc\fP オプションを指定すると、出力可能符号化方式で証明書が出力されます。
D
duke 已提交
1365 1366
.LP
.LP
T
tbell 已提交
1367
出力可能符号化方式で符号化された証明書は、次の行で始まります。
D
duke 已提交
1368 1369 1370 1371 1372 1373 1374 1375 1376 1377 1378
.LP
.nf
\f3
.fl
\-\-\-\-\-BEGIN CERTIFICATE\-\-\-\-\-
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
1379
最後は、次の行で終わります。
D
duke 已提交
1380 1381 1382 1383 1384 1385 1386 1387 1388 1389 1390 1391 1392
.LP
.nf
\f3
.fl
\-\-\-\-\-END CERTIFICATE\-\-\-\-\-
.fl
\fP
.fi
.RE
.RE

.LP
.SS 
T
tbell 已提交
1393
X.500 識別名
D
duke 已提交
1394 1395 1396 1397
.LP
.RS 3

.LP
T
tbell 已提交
1398
X.500 識別名は、エンティティーを特定するために使われます。 たとえば、X.509 証明書の \f2subject\fP フィールドと \f2issuer\fP (署名者) フィールドで指定される名前は、X.500 識別名です。 \f3keytool\fP は、次のサブパートをサポートしています。 
D
duke 已提交
1399 1400 1401
.RS 3
.TP 2
o
T
tbell 已提交
1402
\f2commonName\fP \- 人の通称。 「Susan Jones」など 
D
duke 已提交
1403 1404
.TP 2
o
T
tbell 已提交
1405
\f2organizationUnit\fP \- 小さな組織 (部、課など) の名称。 「仕入部」など 
D
duke 已提交
1406 1407
.TP 2
o
T
tbell 已提交
1408
\f2organizationName\fP \- 大きな組織の名称。 「ABCSystems, Inc.」など 
D
duke 已提交
1409 1410
.TP 2
o
T
tbell 已提交
1411
\f2localityName\fP \- 地域 (都市) 名。 「Palo Alto」など 
D
duke 已提交
1412 1413
.TP 2
o
T
tbell 已提交
1414
\f2stateName\fP \- 州名または地方名。 「California」など 
D
duke 已提交
1415 1416
.TP 2
o
T
tbell 已提交
1417
\f2country\fP \- 2 文字の国番号。 「CH」など 
D
duke 已提交
1418 1419 1420 1421
.RE

.LP
.LP
T
tbell 已提交
1422
\f2\-genkeypair\fP  コマンド の \f2\-dname\fP オプションの値として識別名文字列を指定する場合は、次の形式で指定する必要があります。
D
duke 已提交
1423 1424 1425 1426 1427 1428 1429 1430 1431 1432 1433
.LP
.nf
\f3
.fl
CN=\fP\f4cName\fP\f3, OU=\fP\f4orgUnit\fP\f3, O=\fP\f4org\fP\f3, L=\fP\f4city\fP\f3, S=\fP\f4state\fP\f3, C=\fP\f4countryCode\fP\f3
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
1434
イタリック体の項目は、実際に指定する値を表します。 短縮形のキーワードの意味は、次のとおりです。
D
duke 已提交
1435 1436 1437 1438 1439 1440 1441 1442 1443 1444 1445 1446 1447 1448 1449 1450 1451 1452 1453 1454 1455
.LP
.nf
\f3
.fl
       CN=commonName
.fl
        OU=organizationUnit
.fl
        O=organizationName
.fl
        L=localityName
.fl
        S=stateName
.fl
        C=country
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
1456
次に示すのは、識別名文字列の例です。
D
duke 已提交
1457 1458 1459 1460 1461 1462 1463 1464 1465 1466
.LP
.nf
\f3
.fl
CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino, S=California, C=US
.fl
\fP
.fi

.LP
T
tbell 已提交
1467
次は、この文字列を使ったコマンドの例です。 
D
duke 已提交
1468 1469 1470 1471 1472 1473 1474 1475 1476 1477 1478 1479
.nf
\f3
.fl
keytool \-genkeypair \-dname "CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino,
.fl
S=California, C=US" \-alias mark
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
1480
キーワードの短縮形では、大文字と小文字は区別されません。たとえば、CN、cn、および Cn は、どれも同じものとして扱われます。
D
duke 已提交
1481 1482
.LP
.LP
T
tbell 已提交
1483
一方、キーワードの指定順序には意味があり、各サブコンポーネントは上に示した順序で指定する必要があります。ただし、サブコンポーネントをすべて指定する必要はありません。たとえば、次のように一部のサブコンポーネントだけを指定できます。
D
duke 已提交
1484 1485 1486 1487 1488 1489 1490 1491 1492 1493 1494
.LP
.nf
\f3
.fl
CN=Steve Meier, OU=SunSoft, O=Sun, C=US
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
1495
識別名文字列の値にコンマが含まれる場合に、コマンド行で文字列を指定するときには、次のようにコンマを文字 \\ でエスケープする必要があります。
D
duke 已提交
1496 1497 1498 1499 1500 1501 1502 1503 1504 1505 1506
.LP
.nf
\f3
.fl
   cn=peter schuster, o=Sun Microsystems\\, Inc., o=sun, c=us
.fl
\fP
.fi

.LP
.LP
T
tbell 已提交
1507
識別名文字列をコマンド行で指定する必要はありません。識別名を必要とするコマンドを実行するときに、コマンド行で識別名を指定しなかった場合は、各サブコンポーネントの入力を求められます。この場合は、コンマを文字 \\ でエスケープする必要はありません。
D
duke 已提交
1508 1509 1510
.LP
.RE
.SS 
T
tbell 已提交
1511
信頼できる証明書のインポートに関する注意事項
D
duke 已提交
1512 1513 1514 1515
.LP
.RS 3

.LP
T
tbell 已提交
1516
重要:信頼できる証明書として証明書をインポートする前に、証明書の内容を慎重に調べてください。 
D
duke 已提交
1517
.LP
T
tbell 已提交
1518
まず、証明書の内容を表示し (\f2\-printcert\fP コマンドを使用するか、または \f2\-noprompt\fP オプションを指定しないで \f2\-import\fP コマンドを使用)、表示された証明書のフィンガープリントが、期待されるフィンガープリントと一致するかどうかを確認します。たとえば、あるユーザーから証明書が送られてきて、この証明書を \f2/tmp/cert\fP という名前でファイルに格納しているとします。この場合は、信頼できる証明書のリストにこの証明書を追加する前に、\f2\-printcert\fP コマンドを実行してフィンガープリントを表示できます。 たとえば、次のようにします。
D
duke 已提交
1519 1520 1521 1522 1523 1524 1525 1526 1527 1528 1529 1530 1531 1532 1533 1534 1535 1536 1537 1538 1539 1540 1541 1542
.LP
.nf
\f3
.fl
  keytool \-printcert \-file /tmp/cert
.fl
    Owner: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
.fl
    Issuer: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
.fl
    Serial Number: 59092b34
.fl
    Valid from: Thu Sep 25 18:01:13 PDT 1997 until: Wed Dec 24 17:01:13 PST 1997
.fl
    Certificate Fingerprints:
.fl
         MD5:  11:81:AD:92:C8:E5:0E:A2:01:2E:D4:7A:D7:5F:07:6F
.fl
         SHA1: 20:B6:17:FA:EF:E5:55:8A:D0:71:1F:E8:D6:9D:C0:37:13:0E:5E:FE
.fl
\fP
.fi

.LP
T
tbell 已提交
1543
次に、証明書を送信した人物に連絡し、この人物が提示したフィンガープリントと、上のコマンドで表示されたフィンガープリントとを比較します。フィンガープリントが一致すれば、送信途中でほかの何者か (攻撃者など) による証明書のすり替えが行われていないことを確認できます。送信途中でこの種の攻撃が行われていた場合、チェックを行わずに証明書をインポートすると、攻撃者によって署名されたすべてのもの (攻撃的意図を持つクラスファイルを含んだ JAR ファイルなど) を信頼することになります。 
D
duke 已提交
1544
.LP
T
tbell 已提交
1545
注:証明書をインポートする前に必ず \f2\-printcert\fP コマンドを実行しなければならないわけではありません。 キーストア内の信頼できる証明書のリストに証明書を追加する前に \f2\-importcert\fP コマンドを実行すると、証明書の情報が表示され、確認を求めるメッセージが表示されます。インポート操作は、この時点で中止できます。ただし、確認メッセージが表示されるのは、\f2\-importcert\fP コマンドを \f2\-noprompt\fP オプションを指定せずに実行した場合だけです。\f2\-noprompt\fP オプションが指定されている場合、ユーザーとの対話は行われません。
D
duke 已提交
1546 1547 1548
.LP
.RE
.SS 
T
tbell 已提交
1549
パスワードに関する注意事項
D
duke 已提交
1550 1551 1552 1553 1554
.LP
.RS 3

.LP
.LP
T
tbell 已提交
1555
キーストアに対する操作を行うほとんどのコマンドでは、ストアのパスワードが必要です。また、一部のコマンドでは、非公開/秘密鍵のパスワードが必要になることがあります。
D
duke 已提交
1556 1557
.LP
.LP
T
tbell 已提交
1558
パスワードはコマンド行で指定できます (ストアのパスワードには \f2\-storepass\fP オプション、非公開鍵のパスワードには \f2\-keypass\fP オプションを使用)。ただし、テストを目的とする場合、または安全であることがわかっているシステムで実行する場合以外は、コマンド行やスクリプトでパスワードを指定しないでください。
D
duke 已提交
1559 1560
.LP
.LP
T
tbell 已提交
1561
必要なパスワードのオプションをコマンド行で指定しなかった場合は、パスワードの入力を求められます。
D
duke 已提交
1562 1563
.LP
.RE
T
tbell 已提交
1564
.SH "関連項目"
D
duke 已提交
1565 1566 1567 1568 1569 1570
.LP

.LP
.RS 3
.TP 2
o
T
tbell 已提交
1571 1572
.LP
jar(1) ツールのドキュメント  
D
duke 已提交
1573 1574
.TP 2
o
T
tbell 已提交
1575 1576
.LP
jarsigner(1) ツールのドキュメント  
D
duke 已提交
1577 1578
.TP 2
o
T
tbell 已提交
1579 1580
.LP
\f3keytool\fP の使用例については、
D
duke 已提交
1581
.na
T
tbell 已提交
1582
\f4「Java Tutorial」\fP @
D
duke 已提交
1583
.fi
T
tbell 已提交
1584
http://java.sun.com/docs/books/tutorialの
D
duke 已提交
1585
.na
T
tbell 已提交
1586 1587 1588
\f4「Security」\fP @
.fi
http://java.sun.com/docs/books/tutorial/security/index.htmlを参照  
D
duke 已提交
1589 1590 1591
.RE

.LP
T
tbell 已提交
1592
.SH "変更点"
D
duke 已提交
1593 1594 1595 1596
.LP

.LP
.LP
T
tbell 已提交
1597
Java SE 6 で keytool のコマンドインタフェースが変更されました。
D
duke 已提交
1598 1599
.LP
.LP
T
tbell 已提交
1600
\f3keytool\fP は、ユーザーがパスワードを入力する際にその入力内容を表示しなくなりました。ユーザーはパスワード入力時にその入力内容を確認できなくなったため、初期キーストアパスワードを設定したり鍵パスワードを変更したりするなど、パスワードの設定や変更を行うたびにパスワードの再入力を求められます。
D
duke 已提交
1601 1602
.LP
.LP
T
tbell 已提交
1603
変更されたコマンドの中には、名前が変更されただけのものもあれば、廃止されてこのドキュメントに記載されなくなったものもあります。以前のすべてのコマンド (名前が変更されたものと廃止されたものの両方) は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。keytool のコマンドインタフェースに加えられたすべての変更点の概要を、次に示します。
D
duke 已提交
1604 1605
.LP
.LP
T
tbell 已提交
1606
名前が変更されたコマンド:
D
duke 已提交
1607 1608 1609 1610
.LP
.RS 3
.TP 2
o
T
tbell 已提交
1611
\f2\-export\fP の名前が \f2\-exportcert\fP に変更 
D
duke 已提交
1612 1613
.TP 2
o
T
tbell 已提交
1614
\f2\-genkey\fP の名前が \f2\-genkeypair\fP に変更 
D
duke 已提交
1615 1616
.TP 2
o
T
tbell 已提交
1617
\f2\-import\fP の名前が \f2\-importcert\fP に変更 
D
duke 已提交
1618 1619 1620 1621
.RE

.LP
.LP
T
tbell 已提交
1622
廃止されてドキュメントに記載されなくなったコマンド:
D
duke 已提交
1623 1624 1625 1626 1627
.LP
.RS 3
.TP 2
o
.na
T
tbell 已提交
1628 1629 1630
\f2\-keyclone\fP @
.fi
http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html#keycloneCmd 
D
duke 已提交
1631 1632 1633
.TP 2
o
.na
T
tbell 已提交
1634 1635 1636
\f2\-identitydb\fP @
.fi
http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html#identitydbCmd 
D
duke 已提交
1637 1638 1639
.TP 2
o
.na
T
tbell 已提交
1640 1641 1642
\f2\-selfcert\fP @
.fi
http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html#selfcertCmd 
D
duke 已提交
1643 1644 1645 1646 1647 1648
.RE

.LP

.LP