1 .'" t
2 ." Copyright 2006 Sun Microsystems, Inc. All Rights Reserved.
3 ." DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER.
4 ."
5 ." This code is free software; you can redistribute it and/or modify it
6 ." under the terms of the GNU General Public License version 2 only, as
7 ." published by the Free Software Foundation.
8 ."
9 ." This code is distributed in the hope that it will be useful, but WITHOUT
10 ." ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or
11 ." FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License
12 ." version 2 for more details (a copy is included in the LICENSE file that
13 ." accompanied this code).
14 ."
15 ." You should have received a copy of the GNU General Public License version
16 ." 2 along with this work; if not, write to the Free Software Foundation,
17 ." Inc., 51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA.
18 ."
19 ." Please contact Oracle, 500 Oracle Parkway, Redwood Shores, CA 94065 USA
20 ." or visit www.oracle.com if you need additional information or have any
21 ." questions.
22 ." `
23 .TH keytool 1 "2006 年 9 月 4 日" "Java SE 6" "ユーザーコマンド"
24 ." Generated by html2man
25
26 .LP
27 .SH 名前
28 keytool \- 鍵と証明書の管理ツール
29 .LP
30 .RS 3
31
32 .LP
33 暗号化鍵、X.509 証明連鎖、および信頼できる証明書を含むキーストア (データベース) を管理します。
34 .RE
35 .SH "形式"
36 .LP
37
38 .LP
39 .nf
40 \f3
41 .fl
42 \fP\f3keytool\fP [ commands ]
43 .fl
44 .fi
45
46 .LP
47 .LP
48 Java SE 6 で keytool のコマンドインタフェースが変更されました。詳細については「変更点」の節を参照してください。以前に定義されたコマンドも引き続きサポートされています。
49 .LP
50 .SH "説明"
51 .LP
52
53 .LP
54 \f3keytool\fP は、鍵と証明書を管理するためのユーティリティです。\f3keytool\fP を使うと、自分の公開鍵と非公開鍵のペア、および関連する証明書を管理し、デジタル署名を使った自己認証 (ほかのユーザまたはサービスに対して自分自身を認証すること) や、データの完全性と証明書に関するサービスを利用することができます。\f3keytool\fP では、通信相手の公開鍵を (証明書の形で) キャッシュすることもできます。
55 .LP
56 「証明書」とは、あるエンティティ (人物、会社など) からのデジタル署名付きの文書のことです。証明書には、ほかのあるエンティティの公開鍵 (およびその他の情報) が特別な値を持っていることが書かれています(「証明書」を参照)。データにデジタル署名が付いている場合は、デジタル署名を検証することで、データの完全性およびデータが本物であることをチェックできます。データの「完全性」とは、データが変更されたり、改変されたりしていないことを意味します。また、データが「本物である」とは、そのデータが、データを作成して署名したと称する人物から実際に渡されたデータであることを意味します。
57 .LP
58 .LP
59 また、\f3keytool\fP を使えば、DES などの対称暗号化/復号化で使用される秘密鍵を管理することもできます。
60 .LP
61 .LP
62 \f3keytool\fP は、鍵と証明書をキーストアに格納します。
63 .LP
64 .SH "コマンドとオプションに関する注意"
65 .LP
66
67 .LP
68 .LP
69 以下では、コマンドとそのオプションについて説明します。次の点に注意してください。
70 .LP
71 .RS 3
72 .TP 2
73 o
74 どのコマンド名およびオプション名にも先頭にマイナス記号 (\-) が付く
75 .TP 2
76 o
77 各コマンドのオプションは任意の順序で指定できる
78 .TP 2
79 o
80 イタリック体になっていないすべての項目、または中括弧か角括弧で囲まれているすべての項目は、そのとおりに指定する必要がある
81 .TP 2
82 o
83 オプションを囲む中括弧は、一般に、そのオプションをコマンド行で指定しなかった場合に、既定値が使われることを意味する。中括弧は、\f2\-v\fP、\f2\-rfc\fP、および \f2\-J\fP オプションを囲むのにも使われるが、これらのオプションはコマンド行で指定された場合にのみ意味を持つ (つまり、これらのオプションには、オプション自体を指定しないこと以外に「既定値」は存在しない)
84 .TP 2
85 o
86 オプションを囲む角括弧は、そのオプションをコマンド行で指定しなかった場合に、値の入力を求められることを意味する。ただし、\f2\-keypass\fP オプションをコマンド行で指定しなかった場合は、\f3keytool\fP がキーストアのパスワードから非公開/秘密鍵の復元を試みる。ユーザは、この試みが失敗した場合に非公開/秘密鍵パスワードの入力を求められる
87 .TP 2
88 o
89 イタリック体の項目の実際の値 (オプションの値) は、ユーザが指定する必要がある。たとえば、\f2\-printcert\fP コマンドの形式は次のとおりである
90 .nf
91 \f3
92 .fl
93 keytool \-printcert {\-file \fP\f4cert_file\fP\f3} {\-v}
94 .fl
95 \fP
96 .fi
97 .LP
98 \f2\-printcert\fP コマンドを指定するときは、\f2cert_file\fP の代わりに実際のファイル名を指定する。 次に例を示す
99 .nf
100 \f3
101 .fl
102 keytool \-printcert \-file VScert.cer
103 .fl
104 \fP
105 .fi
106 .TP 2
107 o
108 オプションの値に空白 (スペース) が含まれている場合は、値を引用符で囲む必要がある
109 .TP 2
110 o
111 \f2\-help\fP コマンドはデフォルトのコマンドである。たとえば、次のようにコマンド行を指定したとする
112 .nf
113 \f3
114 .fl
115 keytool
116 .fl
117 \fP
118 .fi
119 これは、次のように指定することと同じである
120 .nf
121 \f3
122 .fl
123 keytool \-help
124 .fl
125 \fP
126 .fi
127 .RE
128
129 .LP
130 .SS
131 オプションの既定値
132 .LP
133 .RS 3
134
135 .LP
136 オプションの既定値は、次のとおりです。
137 .nf
138 \f3
139 .fl
140 \-alias "mykey"
141 .fl
142
143 .fl
144 \-keyalg
145 .fl
146 "DSA" (\fP\f3\-genkeypair\fP\f3 を使用している場合)
147 .fl
148 "DES" (\fP\f3\-genseckey\fP\f3 を使用している場合)
149 .fl
150
151 .fl
152 \-keysize
153 .fl
154 1024 (\fP\f3\-genkeypair\fP\f3 を使用している場合)
155 .fl
156 56 (\fP\f3\-genseckey\fP\f3 を使用していて \-keyalg が "DES" の場合)
157 .fl
158 168 (\fP\f3\-genseckey\fP\f3 を使用していて \-keyalg が "DESede" の場合)
159 .fl
160
161 .fl
162 \-validity 90
163 .fl
164
165 .fl
166 \-keystore ユーザのホームディレクトリの .keystore というファイル
167 .fl
168
169 .fl
170 \-storetype セキュリティプロパティファイルの「keystore.type」プロパティの値で、 java.security.KeyStore の静的な getDefaultType メソッドから返される
171 .fl
172
173 .fl
174 \-file 読み込みの場合は標準入力、書き込みの場合は標準出力
175 .fl
176
177 .fl
178 \-protected false
179 .fl
180
181 .fl
182 \fP
183 .fi
184
185 .LP
186 非公開/秘密鍵ペアの生成において、署名アルゴリズム (\f2\-sigalg\fP オプション) は、基になる非公開鍵のアルゴリズムから派生します。基になる非公開鍵が DSA タイプである場合、\f2\-sigalg\fP オプションの既定値は SHA1withDSA になり、基になる非公開鍵が RSA タイプである場合は、\f2\-sigalg\fP オプションの既定値は MD5withRSA になります。選択可能な \f2\-keyalg\fP および \f2\-sigalg\fP の完全な一覧については、
187 .fi
188 http://java.sun.com/javase/6/docs/technotes/guides/security/crypto/CryptoSpec.html#AppA
189 の
190 .na
191 「\f2Java Cryptography Architecture API Specification & Reference\fP」を参照してください。
192 .RE
193 .SS
194 一般オプション
195 .LP
196 .RS 3
197
198 .LP
199 \f2\-v\fP オプションは、\f2\-help\fP コマンドを除くすべてのコマンドで使用できます。このオプションを指定した場合、コマンドは「冗長」モードで実行され、詳細な情報が出力されます。
200 .LP
201 また、\f2\-J\fP\f2javaoption\fP オプションも、任意のコマンドで使用できます。このオプションを指定した場合、指定された \f2javaoption\fP 文字列が Java インタプリタに直接渡されます。
202 このオプションには、空白を含めることはできません。このオプションは、実行環境またはメモリ使用を調整する場合に便利です。指定できるインタプリタオプションを一覧表示するには、コマンド行で \f2java \-h\fP または \f2java \-X\fP と入力してください。
203 .LP
204 .LP
205 次のオプションは、キーストアに対する操作を行うすべてのコマンドで指定できます。
206 .LP
207 .RS 3
208 .TP 3
209 \-storetype storetype
210 この修飾子は、インスタンスを生成するキーストアのタイプを指定します。
211 .TP 3
212 \-keystore keystore
213 キーストアの場所を指定します。
214 .LP
215 特定の \f3keytool\fP コマンドを実行する際に、JKS ストアタイプが使用され、かつキーストアファイルがまだ存在していなかった場合、新しいキーストアファイルが作成されます。たとえば、\f2keytool \-genkeypair\fP の実行時に \f2\-keystore\fP オプションが指定されなかった場合、\f2.keystore\fP という名前のデフォルトキーストアファイルがユーザのホームディレクトリ内にまだ存在していなければ、そこに作成されます。同様に、\f2\-keystore \fP\f2ks_file\fP というオプションが指定されてもその \f2ks_file\fP が存在しなかった場合、そのファイルが作成されます。
216 .LP
217 \f2\-keystore\fP オプションからの入力ストリームは \f2KeyStore.load\fP メソッドに渡されます。\f2NONE\fP が URL として指定された場合は、null ストリームが \f2KeyStore.load\fP メソッドに渡されます。\f2KeyStore\fP がファイルベースでない場合 (ハードウェアトークンデバイス上に存在している場合など)、\f2NONE\fP を指定してください。
218 .TP 3
219 \-storepass storepass
220 キーストアの完全性を保護するために使うパスワードを指定します。
221 .LP
222 \f2storepass\fP は、6 文字以上でなければなりません。指定したパスワードは、キーストアの内容にアクセスするすべてのコマンドで使われます。この種のコマンドを実行するときに、コマンド行で \f2\-storepass\fP オプションを指定しなかった場合は、パスワードの入力を求められます。
223 .LP
224 キーストアから情報を取り出す場合は、パスワードを省略できます。 パスワードを省略すると、取り出す情報の完全性をチェックできないので、警告が表示されます。
225 .TP 3
226 \-providerName provider_name
227 セキュリティプロパティファイル内に含まれる暗号化サービスプロバイダ名を特定するために使用されます。
228 .TP 3
229 \-providerClass provider_class_name
230 暗号化サービスプロバイダがセキュリティプロパティファイルに指定されていない場合は、そのマスタークラスファイルの名前を指定するときに使われます。
231 .TP 3
232 \-providerArg provider_arg
233 \f2\-providerClass\fP と組み合わせて使用します。\f2provider_class_name\fP のコンストラクタに対する省略可能な文字列入力引数を表します。
234 .TP 3
235 \-protected
236 \f2true\fP、\f2false\fP のいずれか。専用 PIN リーダなどの保護された認証パスを介してパスワードを指定する必要がある場合には、この値に \f2true\fP を指定してください。
237 .RE
238
239 .LP
240 .RE
241 .SH "コマンド"
242 .LP
243
244 .LP
245 .SS
246 キーストアへのデータの作成および追加
247 .LP
248 .RS 3
249
250 .LP
251 .RS 3
252 .TP 3
253 \-genkeypair {\-alias alias}
254 {\-keyalg keyalg} {\-keysize keysize} {\-sigalg sigalg} [\-dname dname] [\-keypass keypass] {\-validity valDays} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption}
255 .LP
256 鍵のペア (公開鍵および関連する非公開鍵) を生成します。公開鍵は X.509 v3 自己署名証明書でラップされます。
257 証明書は、単一の要素を持つ証明連鎖として格納されます。この証明連鎖と非公開鍵は、\f2alias\fP で特定される新しいキーストアエントリに格納されます。
258 .LP
259 \f2keyalg\fP には、鍵のペアを生成するのに使うアルゴリズムを指定し、\f2keysize\fP には、生成する各鍵のサイズを指定します。\f2sigalg\fP には、自己署名証明書に署名を付けるときに使うアルゴリズムを指定します。 このアルゴリズムは、\f2keyalg\fP と互換性のあるものでなければなりません。
260 .LP
261 \f2dname\fP には、\f2alias\fP に関連付け、自己署名証明書の \f2issuer\fP フィールドと \f2subject\fP フィールドとして使う X.500 識別名を指定します。コマンド行で識別名を指定しなかった場合は、識別名の入力を求められます。
262 .LP
263 \f2keypass\fP には、生成される鍵のペアのうち、非公開鍵を保護するのに使うパスワードを指定します。パスワードを指定しなかった場合は、パスワードの入力を求められます。このとき、Return キーを押すと、キーストアのパスワードと同じパスワードが鍵のパスワードに設定されます。\f2keypass\fP は、6 文字以上でなければなりません。
264 .LP
265 \f2valDays\fP には、証明書の有効日数を指定します。
266 .LP
267 このコマンドは、以前のリリースでは \f2\-genkey\fP という名前でした。この古い名前は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。ただし、今後はわかりやすいように、新しい名前 \f2\-genkeypair\fP を使用することをお勧めします。
268 .TP 3
269 \-genseckey {\-alias alias}
270 {\-keyalg keyalg} {\-keysize keysize} [\-keypass keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption}
271 .LP
272 秘密鍵を生成し、それを \f2alias\fP で特定される新しい \f2KeyStore.SecretKeyEntry\fP 内に格納します。
273 .LP
274 \f2keyalg\fP は秘密鍵の生成に使用するアルゴリズムを、\f2keysize\fP は生成する鍵のサイズを、それぞれ指定します。\f2keypass\fP は秘密鍵の保護に使用するパスワードです。パスワードを指定しなかった場合、ユーザはその入力を求められます。ユーザがプロンプトで RETURN キーを押した場合、鍵のパスワードはキーストアと同じパスワードに設定されます。\f2keypass\fP の長さは 6 文字以上でなければいけません。
275 .TP 3
276 \-importcert {\-alias alias}
277 {\-file cert_file} [\-keypass keypass] {\-noprompt} {\-trustcacerts} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption}
278 .LP
279 ファイル \f2cert_file\fP から証明書または証明連鎖 (証明連鎖の場合は、PKCS#7 形式の応答で提供されるもの) を読み込み、\f2alias\fP によって特定されるキーストアエントリに格納します。ファイルが指定されていない場合は、標準入力から証明書または PKCS#7 応答を読み込みます。
280 .LP
281 \f3keytool\fP では、X.509 v1、v2、v3 の証明書、および、PKCS#7 形式の証明書から構成されている PKCS#7 形式の証明連鎖をインポートできます。インポートするデータは、バイナリ符号化方式、または出力可能符号化方式 (Base64 符号化とも呼ばれる) のどちらかで提供する必要があります。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。この符号化方式の場合、証明書は「\-\-\-\-\-BEGIN」で始まる文字列で開始され、「\-\-\-\-\-END」で始まる文字列で終了しなければなりません。
282 .LP
283 証明書のインポートには、次の 2 つの目的があります。
284 .RS 3
285 .TP 3
286 1.
287 信頼できる証明書のリストに証明書を追加する
288 .TP 3
289 2.
290 CA に証明書署名要求 (\-certreq コマンドを参照) を送信した結果として、CA から受け取った証明応答をインポートする
291 .RE
292 .LP
293 ユーザがどのタイプのインポートを意図しているかは、次のように \f2\-alias\fP オプションの値によって示されます。
294 .RS 3
295 .TP 3
296 1.
297 \f3別名が特定の鍵エントリを指していない場合\fP、\f3keytool\fP は、ユーザが信頼できる証明書のエントリを追加しようとしていると見なします。この場合、その別名がキーストア内にすでに存在していてはいけません。その別名がすでに存在していた場合、その別名の信頼できる証明書がすでに存在することになるので、\f3keytool\fP はエラーを出力し、証明書のインポートを行いません。
298 .TP 3
299 2.
300 \f3別名が特定の鍵エントリを指している場合\fP、\f3keytool\fP は、ユーザが証明書応答をインポートしようとしていると見なします。
301 .RE
302 .LP
303 \f3新しい信頼できる証明書のインポート\fP
304 .RS 3
305
306 .LP
307 .LP
308 \f3keytool\fP は、キーストアに証明書を追加する前に、キーストア内にすでに存在する信頼できる証明書を使って、インポートする証明書から (ルート CA の) 自己署名証明書に至るまでの信頼の連鎖の構築を試みます。
309 .LP
310 .LP
311 \f2\-trustcacerts\fP オプションを指定した場合、追加の証明書は信頼できる、すなわち cacerts という名前のファイルに含まれる証明書の連鎖と見なされます。
312 .LP
313 .LP
314 \f3keytool\fP が、インポートする証明書から自己署名証明書 (キーストアまたは cacerts ファイルに含まれている自己署名証明書) に至るまでの信頼のパスの構築に失敗した場合は、インポートする証明書の情報を表示し、ユーザに確認を求めます。この場合は、表示された証明書のフィンガープリントと、ほかの何らかの (信頼できる) 情報源 (証明書の所有者本人など) から入手したフィンガープリントとを比較します。「信頼できる証明書」として証明書をインポートするときは、証明書が有効であることを慎重に確認する必要があります。詳細は、「信頼できる証明書のインポートに関する注意事項」を参照してください。インポート操作は、証明書を確認する時点で中止できます。ただし、\f2\-noprompt\fP オプションが指定されている場合、ユーザとの対話は行われません。
315 .LP
316 .RE
317 \f3証明応答のインポート\fP
318 .RS 3
319 .LP
320 「証明応答」をインポートするときは、キーストア内の信頼できる証明書、および (\f2\-trustcacerts\fP オプションが指定されている場合は) cacerts キーストアファイルで構成された証明書を使って証明応答が検査されます。
321 .LP
322 .LP
323 証明応答が信頼できるかどうかを決定する方法は次のとおりです。
324 .LP
325 .RS 3
326 .TP 2
327 o
328 \f3証明応答が単一の X.509 証明書である場合\fP、\f3keytool\fP は、証明応答から (ルート CA の) 自己署名証明書に至るまでの信頼連鎖の確立を試みます。証明応答と、証明応答の認証に使われる証明書の階層構造は、\f2alias\fP の新しい証明連鎖を形成します。信頼連鎖が確立されない場合、証明応答はインポートされません。この場合、\f3keytool\fP は証明書を出力せず、ユーザに検証を求めるプロンプトを表示します。ユーザが証明応答の信頼性を判断するのは、不可能ではなくても非常に困難だからです。
329 .TP 2
330 o
331 \f3証明応答が PKCS#7 形式の証明連鎖である場合\fP、\f3keytool\fP は、まず連鎖を並べ替えて、ユーザの証明書が最初に、ルート CA の自己署名証明書が最後にくるようにしたあと、証明応答に含まれるルート CA の証明書と、キーストア内または (\f2\-trustcacerts\fP オプションが指定されている場合は) cacerts キーストアファイル内の信頼できる証明書とをすべて比較し、一致するものがあるかどうかを調べます。一致するものが見つからなかった場合は、ルート CA の証明書の情報を表示し、ユーザに確認を求めます。 この場合は、表示された証明書のフィンガープリントと、ほかの何らかの (信頼できる) 情報源 (ルート CA 自身など) から入手したフィンガープリントとを比較します。インポート操作は、証明書を確認する時点で中止できます。ただし、\f2\-noprompt\fP オプションが指定されている場合、ユーザとの対話は行われません。
332 .RE
333
334 .LP
335 .LP
336 証明書応答内の公開鍵が \f2alias\fP の下にすでに格納されているユーザの公開鍵に一致した場合、古い証明連鎖が応答内の新しい証明連鎖で置き換えられます。
337 以前の証明連鎖を新しい証明連鎖で置き換えることができるのは、有効な \f2keypass\fP、つまり該当するエントリの非公開鍵を保護するためのパスワードを指定した場合だけです。パスワードを指定しておらず、非公開鍵のパスワードがキーストアのパスワードと異なる場合は、非公開鍵のパスワードの入力を求められます。
338 .LP
339 .RE
340 .LP
341 このコマンドは、以前のリリースでは \f2\-import\fP という名前でした。この古い名前は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。ただし、今後はわかりやすいように、新しい名前 \f2\-importcert\fP を使用することをお勧めします。
342 .TP 3
343 \-importkeystore \-srckeystore srckeystore
344 \-destkeystore destkeystore {\-srcstoretype srcstoretype} {\-deststoretype deststoretype} [\-srcstorepass srcstorepass] [\-deststorepass deststorepass] {\-srcprotected} {\-destprotected} {\-srcalias srcalias {\-destalias destalias} [\-srckeypass srckeypass] [\-destkeypass destkeypass] } {\-noprompt} {\-srcProviderName src_provider_name} {\-destProviderName dest_provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption}
345 .LP
346 ソースキーストアからターゲットキーストアへ、単一のエントリまたはすべてのエントリをインポートします。
347 .LP
348 \f2srcalias\fP オプションが指定された場合、このコマンドは、その別名で特定される単一のエントリをターゲットキーストアにインポートします。\f2destalias\fP 経由でターゲット別名が指定されなかった場合、\f2srcalias\fP がターゲット別名として使用されます。ソースのエントリがパスワードで保護されていた場合、\f2srckeypass\fP を使ってそのエントリが回復されます。\f2srckeypass\fP が指定されなかった場合、\f3keytool\fP は \f2srcstorepass\fP を使ってそのエントリを回復しようとします。\f2srcstorepass\fP が指定されなかったか正しくなかった場合、ユーザはパスワードの入力を求められます。ターゲットエントリは \f2destkeypass\fP によって保護されます。\f2destkeypass\fP が指定されなかった場合、ターゲットエントリはソースエントリのパスワードによって保護されます。
349 .LP
350 \f2srcalias\fP オプションが指定されなかった場合、ソースキーストア内のすべてのエントリがターゲットキーストア内にインポートされます。各ターゲットエントリは対応するソースエントリの別名の下に格納されます。ソースエントリがパスワードで保護されていた場合、\f2srcstorepass\fP を使ってそのエントリが回復されます。\f2srcstorepass\fP が指定されなかったか正しくなかった場合、ユーザはパスワードの入力を求められます。ソースキーストア内のあるエントリタイプがターゲットキーストアでサポートされていない場合や、あるエントリをターゲットキーストアに格納する際にエラーが発生した場合、ユーザはそのエントリをスキップして処理を続行するか、あるいは処理を中断するかの選択を求められます。ターゲットエントリはソースエントリのパスワードによって保護されます。
351 .LP
352 ターゲット別名がターゲットキーストア内にすでに存在していた場合、ユーザは、そのエントリを上書きするか、あるいは異なる別名の下で新しいエントリを作成するかの選択を求められます。
353 .LP
354 \f2\-noprompt\fP を指定した場合、ユーザは新しいターゲット別名の入力を求められません。既存のエントリはそのターゲット別名で自動的に上書きされます。最後に、インポートできないエントリは自動的にスキップされ、警告が出力されます。
355 .RE
356 .RE
357 .SS
358 データのエクスポート
359 .LP
360 .RS 3
361
362 .LP
363 .RS 3
364 .TP 3
365 \-certreq {\-alias alias}
366 {\-sigalg sigalg} {\-file certreq_file} [\-keypass keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption}
367 .LP
368 PKCS#10 形式を使って証明書署名要求 (CSR) を生成します。
369 .LP
370 CSR は、認証局 (CA) に送信することを目的としたものです。CA は、証明書要求者を (通常はオフラインで) 認証し、証明書または証明連鎖を送り返します。 この証明書または証明連鎖は、キーストア内の既存の証明連鎖 (最初は 1 つの自己署名証明書から構成される) に置き換えて使います。
371 .LP
372 \f2alias\fP に関連付けられた非公開鍵と X.500 識別名は、PKCS#10 証明書要求を作成するのに使われます。非公開鍵はキーストア内ではパスワードによって保護されているので、非公開鍵にアクセスするには、適切なパスワードを提供する必要があります。コマンド行で \f2keypass\fP を指定しておらず、非公開鍵のパスワードがキーストアのパスワードと異なる場合は、非公開鍵のパスワードの入力を求められます。
373 .LP
374 \f2sigalg\fP には、CSR に署名を付けるときに使うアルゴリズムを指定します。
375 .LP
376 CSR は、ファイル \f2certreq_file\fP に格納されます。ファイルが指定されていない場合は、標準出力に CSR が出力されます。
377 .LP
378 CA からの応答をインポートするには、\f2importcert\fP コマンドを使います。
379 .TP 3
380 \-exportcert {\-alias alias}
381 {\-file cert_file} {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-rfc} {\-v} {\-protected} {\-Jjavaoption}
382 .LP
383 \f2alias\fP に関連付けられた証明書を (キーストアから) 読み込み、ファイル \f2cert_file\fP に格納します。
384 .LP
385 ファイルが指定されていない場合は、標準出力に証明書が出力されます。
386 .LP
387 デフォルトでは、バイナリ符号化方式の証明書が出力されます。 ただし、\f2\-rfc\fP オプションを指定した場合は、出力可能符号化方式の証明書が出力されます。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。
388 .LP
389 \f2alias\fP が、信頼できる証明書を参照している場合は、該当する証明書が出力されます。それ以外の場合、\f2alias\fP は、関連付けられた証明連鎖を持つ鍵エントリを参照します。この場合は、連鎖内の最初の証明書が返されます。この証明書は、\f2alias\fP によって表されるエンティティの公開鍵を認証する証明書です。
390 .LP
391 このコマンドは、以前のリリースでは \f2\-export\fP という名前でした。この古い名前は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。ただし、今後はわかりやすいように、新しい名前 \f2\-exportcert\fP を使用することをお勧めします。
392 .RE
393
394 .LP
395 .RE
396 .SS
397 データの表示
398 .LP
399 .RS 3
400
401 .LP
402 .RS 3
403 .TP 3
404 \-list {\-alias alias}
405 {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v | \-rfc} {\-protected} {\-Jjavaoption}
406 .LP
407 \f2alias\fP で特定されるキーストアエントリの内容を (標準出力に) 出力します。別名が指定されていない場合は、キーストア全体の内容が表示されます。
408 .LP
409 このコマンドは、デフォルトでは証明書の MD5 フィンガープリントを表示します。
410 \f2\-v\fP オプションが指定されている場合は、所有者、発行者、シリアル番号、拡張機能などの付加的な情報とともに、人間が読むことのできる形式で証明書が表示されます。
411 -rfc オプションが指定されている場合は、出力可能符号化方式で証明書の内容が表示されます。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。
412 .LP
413 \f2\-v\fP オプションと \f2\-rfc\fP オプションとを同時に指定することはできません。
414 .TP 3
415 \-printcert {\-file cert_file} {\-v} {\-Jjavaoption}
416 .LP
417 .LP
418 \f2cert_file\fP ファイルから証明書を読み込み、人間が読むことのできる形式で証明書の内容を表示します。ファイルが指定されていない場合は、標準入力から証明書を読み込みます。
419 .LP
420 証明書は、バイナリ符号化方式または出力可能符号化方式で表示できます。 出力可能符号化方式は、インターネット RFC 1421 証明書符号化規格で定義されています。
421 .LP
422 注: このコマンドはキーストアとは関係なく動作します。
423 .RE
424
425 .LP
426 .RE
427 .SS
428 キーストアの管理
429 .LP
430 .RS 3
431
432 .LP
433 .RS 3
434 .TP 3
435 \-storepasswd [\-new new_storepass]
436 {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-Jjavaoption}
437 .LP
438 キーストアの内容の完全性を保護するために使うパスワードを変更します。\f2new_storepass\fP には、新しいパスワードを指定します。\f2new_storepass\fP は、6 文字以上でなければなりません。
439 .TP 3
440 \-keypasswd {\-alias alias}
441 [\-keypass old_keypass] [\-new new_keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-Jjavaoption}
442 .LP
443 .I
444 alias
445 によって特定される非公開/秘密鍵を保護するためのパスワードを、
446 .I old_keypass
447 から
448 .I new_keypass
449 に変更します。
450 .I new_keypass
451 は、6 文字以上でなければなりません。
452 .LP
453 コマンド行で \f2\-keypass\fP オプションを指定しておらず、鍵のパスワードがキーストアのパスワードと異なる場合は、非公開鍵のパスワードの入力を求められます。
454 .LP
455 コマンド行で \f2\-new\fP オプションを指定しなかった場合は、新しいパスワードの入力を求められます。
456 .TP 3
457 \-delete [\-alias alias]
458 {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption}
459 .LP
460 .I alias
461 によって特定されるエントリをキーストアから削除します。コマンド行で別名を指定しなかった場合は、別名の入力を求められます。
462 .TP 3
463 \-changealias {\-alias alias}
464 [\-destalias destalias] [\-keypass keypass] {\-storetype storetype} {\-keystore keystore} [\-storepass storepass] {\-providerName provider_name} {\-providerClass provider_class_name {\-providerArg provider_arg}} {\-v} {\-protected} {\-Jjavaoption}
465 .LP
466 指定された \f2alias\fP から新しい別名 \f2destalias\fP へ、既存のキーストアエントリを移動します。ターゲット別名が指定されなかった場合、このコマンドはその入力を求めます。元のエントリがエントリパスワードで保護されていた場合、「-keypass」オプション経由でそのパスワードを指定できます。鍵パスワードが指定されなかった場合、\f2storepass\fP (指定された場合) がまず試みられます。その試みが失敗すると、ユーザはパスワードの入力を求められます。
467 .RE
468
469 .LP
470 .RE
471 .SS
472 ヘルプの表示
473 .LP
474 .RS 3
475
476 .LP
477 .RS 3
478 .TP 3
479 \-help
480 .LP
481 基本的なコマンドとそのオプションの一覧を表示します。
482 .RE
483
484 .LP
485 .RE
486 .SH "例"
487 .LP
488
489 .LP
490 .LP
491 ここでは、自分の鍵のペアおよび信頼できるエンティティからの証明書を管理するためのキーストアを作成する場合を例として示します。
492 .LP
493 .SS
494 鍵のペアの生成
495 .LP
496 .RS 3
497
498 .LP
499 .LP
500 まず、キーストアを作成して鍵のペアを生成する必要があります。次に示すのは、実行するコマンドの例です。
501 .LP
502 .nf
503 \f3
504 .fl
505 keytool \-genkeypair \-dname "cn=Mark Jones, ou=JavaSoft, o=Sun, c=US"
506 .fl
507 \-alias business \-keypass kpi135 \-keystore /working/mykeystore
508 .fl
509 \-storepass ab987c \-validity 180
510 .fl
511 \fP
512 .fi
513
514 .LP
515 .LP
516 注: このコマンドは 1 行に入力しなければなりません。例で複数行に入力しているのは読みやすくするためです。
517 .LP
518 .LP
519 この例では、working ディレクトリに mykeystore という名前のキーストアを作成し (キーストアはまだ存在していないと仮定する)、作成したキーストアにパスワード ab987c を割り当てます。生成する公開鍵と非公開鍵のペアに対応するエンティティの「識別名」は、通称が「Mark Jones」、組織単位が「JavaSoft」、組織が「Sun」、2 文字の国番号が「US」です。公開鍵と非公開鍵のサイズはどちらも 1024 ビットで、鍵の作成にはデフォルトの DSA 鍵生成アルゴリズムを使用します。
520 .LP
521 .LP
522 このコマンドは、公開鍵と識別名情報を含む自己署名証明書 (デフォルトの SHA1withDSA 署名アルゴリズムを使用) を作成します。証明書の有効期間は 180 日です。証明書は、別名「business」で特定されるキーストアエントリ内の非公開鍵に関連付けられます。非公開鍵にはパスワード「kpi135」が割り当てられます。
523 .LP
524 .LP
525 オプションの既定値を使う場合は、上に示したコマンドを大幅に短くすることができます。実際には、オプションを 1 つも指定せずにコマンドを実行することも可能です。既定値を持つオプションでは、オプションを指定しなければ既定値が使われ、必要な値については入力を求められます。たとえば、単に次のように入力することもできます。
526 .LP
527 .nf
528 \f3
529 .fl
530 keytool \-genkeypair
531 .fl
532 \fP
533 .fi
534
535 .LP
536 この場合は、mykey という別名でキーストアエントリが作成され、新しく生成された鍵のペア、および 90 日間有効な証明書がこのエントリに格納されます。このエントリは、ホームディレクトリ内の .keystore という名前のキーストアに置かれます。このキーストアがまだ存在していない場合は、作成されます。識別名情報、キーストアのパスワード、および非公開鍵のパスワードについては、入力を求められます。
537 .LP
538 以下では、オプションを指定しないで \f2\-genkeypair\fP コマンドを実行した場合の例を示します。 情報の入力を求められた場合は、最初に示した \f2\-genkeypair\fP コマンドの値を入力したものとします (たとえば、非公開鍵のパスワードには kpi135 と指定)。
539 .LP
540 .RE
541 .SS
542 認証局に対する署名付き証明書の要求
543 .LP
544 .RS 3
545
546 .LP
547 .LP
548 現時点で手元にあるのは、1 通の自己署名証明書だけです。証明書に認証局 (CA) の署名が付いていれば、ほかのユーザから証明書が信頼できる可能性も高くなります。CA の署名を取得するには、まず、証明書署名要求 (CSR) を生成します。 たとえば、次のようにします。
549 .LP
550 .nf
551 \f3
552 .fl
553 keytool \-certreq \-file MarkJ.csr
554 .fl
555 \fP
556 .fi
557
558 .LP
559 CSR (デフォルト別名「mykey」によって特定されるエンティティの CSR) が作成され、MarkJ.csr という名前のファイルに置かれます。このファイルは、VeriSign などの CA に提出します。 CA は要求者を (通常はオフラインで) 認証し、要求者の公開鍵を認証した署名付きの証明書を送り返します。場合によっては、CA が証明書の連鎖を返すこともあります。証明書の連鎖では、各証明書が連鎖内のその前の署名者の公開鍵を認証します。
560
561 .SS
562 CA からの証明書のインポート
563 .LP
564 .RS 3
565
566 .LP
567 .LP
568 作成した自己署名証明書は、証明連鎖で置き換える必要があります。 証明連鎖では、各証明書が、「ルート」CA を起点とする連鎖内の次の証明書の署名者の公開鍵を認証します。
569 .LP
570 .LP
571 CA からの証明応答をインポートするには、キーストアか、(importcert コマンドで説明しているように) \f2cacerts\fP キーストアファイル内に 1 つまたは複数の「信頼できる証明書」がある必要があります。
572 .LP
573 .RS 3
574 .TP 2
575 o
576 証明応答が証明連鎖の場合は、連鎖のトップの証明書 (その CA の公開鍵を認証する「ルート」CA の証明書) だけを必要とする
577 .TP 2
578 o
579 証明応答が単一の証明書の場合は、証明書に署名した CA の発行用の証明書が必要で、その証明書が自己署名されない場合は、さらにその証明書の署名者用の証明書を必要とする。 このようにして自己署名される「ルート」CA の証明書までそれぞれ証明書を必要とする
580 .RE
581
582 .LP
583 .LP
584 cacerts キーストアファイルは、5 つの VeriSign ルート CA 証明書を含んだ状態で出荷されているので、VeriSign の証明書を、信頼できる証明書としてキーストア内にインポートする必要はないかもしれません。ただし、ほかの CA に対して署名付き証明書を要求していて、この CA の公開鍵を認証する証明書が、cacerts にまだ追加されていない場合は、該当する CA からの証明書を、「信頼できる証明書」としてインポートする必要があります。
585 .LP
586 .LP
587 通常、CA からの証明書は、自己署名証明書、またはほかの CA によって署名された証明書です (後者の場合は、該当するほかの CA の公開鍵を認証する証明書も必要)。たとえば、ABC という企業が CA だとします。 このとき、この CA の公開鍵を認証する自己署名証明書と考えられる ABCCA.cer という名前のファイルを、ABC から入手したとします。
588 .LP
589 .LP
590 「信頼できる証明書」として証明書をインポートするときは、証明書が有効であることを慎重に確認する必要があります。
591 まず、証明書の内容を表示し (\f3keytool\fP \f2\-printcert\fP コマンドを使用するか、または \f2\-noprompt\fP オプションを指定しないで \f3keytool\fP \f2\-importcert\fP コマンドを使用)、表示された証明書のフィンガープリントが、期待されるフィンガープリントと一致するかどうかを確認します。
592 証明書を送信した人物に連絡し、この人物が提示した (または安全な公開鍵のリポジトリによって提示される) フィンガープリントと、上のコマンドで表示されたフィンガープリントとを比較します。フィンガープリントが一致すれば、送信途中でほかの何者か (攻撃者など) による証明書のすり替えが行われていないことを確認できます。送信途中でこの種の攻撃が行われていた場合、チェックを行わずに証明書をインポートすると、攻撃者によって署名されたすべてのものを信頼することになります。
593 .LP
594 .LP
595 ABCCA.cer を有効な証明書として信頼する場合は、証明書をキーストアに追加できます。 たとえば、次のようにします。
596 .LP
597 .nf
598 \f3
599 .fl
600 keytool \-importcert \-alias abc \-file ABCCA.cer
601 .fl
602 \fP
603 .fi
604
605 .LP
606 ABCCA.cer ファイルのデータを含む「信頼できる証明書」のエントリがキーストア内に作成され、該当するエントリに abc という別名が割り当てられます。
607 .RE
608 .SS
609 CA からの証明応答のインポート
610 .LP
611 .RS 3
612
613 .LP
614 .LP
615 証明書署名要求の提出先の CA の公開鍵を認証する証明書をインポートしたあとは (または同種の証明書がすでに cacerts ファイル内に存在している場合は)、証明応答をインポートし、自己署名証明書を証明連鎖で置き換えることができます。この証明連鎖は、CA の応答が連鎖の場合、証明書署名要求に対する応答として CA から送り返された証明連鎖です。 また、CA の応答が単一の証明書の場合は、この証明応答と、インポート先のキーストア内または cacerts キーストアファイル内にすでに存在する信頼できる証明書とを使って構築した証明連鎖です。
616 .LP
617 .LP
618 たとえば、証明書署名要求を VeriSign に送信したとします。送り返された証明書の名前が VSMarkJ.cer だとすると、次のようにして応答をインポートできます。
619 .LP
620 .nf
621 \f3
622 .fl
623 keytool \-importcert \-trustcacerts \-file VSMarkJ.cer
624 .fl
625 \fP
626 .fi
627 .RE
628
629 .LP
630 .SS
631 公開鍵を認証する証明書のエクスポート
632 .LP
633 .RS 3
634
635 .LP
636 たとえば、
637 .fi
638 http://java.sun.com/javase/6/docs/tooldocs/solaris/jarsigner.html
639 の \f2jarsigner\fP ツールを使って Java ARchive (JAR) ファイルに署名を付けたとします。この JAR ファイルはクライアントによって使われますが、クライアント側では署名を認証したいと考えています。
640 .LP
641 クライアントが署名を認証する方法の 1 つに、まず自分の公開鍵の証明書を「信頼できる」エントリとしてクライアントのキーストアにインポートする方法があります。そのためには、証明書をエクスポートして、クライアントに提供します。たとえば、次のようにして、証明書を \f2MJ.cer\fP という名前のファイルにコピーします。 このエントリには「mykey」という別名が使われているとします。
642 .LP
643 .nf
644 \f3
645 .fl
646 keytool \-exportcert \-alias mykey \-file MJ.cer
647 .fl
648 \fP
649 .fi
650
651 .LP
652 証明書と署名付き JAR ファイルを入手したクライアントは、\f3jarsigner\fP ツールを使って署名を認証できます。
653 .RE
654 .SS
655 キーストアのインポート
656 .LP
657 .RS 3
658
659 .LP
660 .LP
661 コマンド「importkeystore」を使えば、あるキーストアの全体を別のキーストア内にインポートできます。これは、鍵や証明書といったソースキーストア内のすべてのエントリが、単一のコマンドを使ってターゲットキーストア内にインポートされることを意味します。このコマンドを使えば、異なるタイプのキーストア内に含まれるエントリをインポートすることができます。インポート時には、ターゲットキーストア内の新しいエントリはすべて、元と同じ別名および (秘密鍵や非公開鍵の場合は) 保護用パスワードを持ちます。ソースキーストア内の非公開鍵や秘密鍵の回復時に問題が発生した場合、\f3keytool\fP はユーザにパスワードの入力を求めます。このコマンドは、別名の重複を検出すると、ユーザに新しい別名の入力を求めます。ユーザは、新しい別名を指定することも、単純に既存の別名の上書きを \f3keytool\fP に許可することもできます。
662 .LP
663 .LP
664 たとえば、通常の JKS タイプのキーストア key.jks 内のエントリを PKCS #11 タイプのハードウェアベースのキーストア内にインポートするには、次のコマンドを使用できます。
665 .LP
666 .nf
667 \f3
668 .fl
669 keytool \-importkeystore
670 .fl
671 \-srckeystore key.jks \-destkeystore NONE
672 .fl
673 \-srcstoretype JKS \-deststoretype PKCS11
674 .fl
675 \-srcstorepass changeit \-deststorepass topsecret
676 .fl
677 \fP
678 .fi
679
680 .LP
681 .LP
682 また、importkeystore コマンドを使えば、あるソースキーストア内の単一のエントリをターゲットキーストアにインポートすることもできます。この場合、上記の例で示したオプションに加え、インポート対象となる別名を指定する必要があります。srcalias オプションを指定する場合には、ターゲット別名もコマンド行から指定できるほか、秘密/非公開鍵の保護用パスワードやターゲット保護用パスワードも指定できます。そうすれば、プロンプトのまったく表示されない \f3keytool\fP コマンドを発行できます。これは、\f3keytool\fP コマンドをスクリプトファイルに含める際に非常に便利です。次に例を示します。
683 .LP
684 .nf
685 \f3
686 .fl
687 keytool \-importkeystore
688 .fl
689 \-srckeystore key.jks \-destkeystore NONE
690 .fl
691 \-srcstoretype JKS \-deststoretype PKCS11
692 .fl
693 \-srcstorepass changeit \-deststorepass topsecret
694 .fl
695 \-srcalias myprivatekey \-destalias myoldprivatekey
696 .fl
697 \-srckeypass oldkeypass \-destkeypass mynewkeypass
698 .fl
699 \-noprompt
700 .fl
701 \fP
702 .fi
703 .RE
704
705 .LP
706 .SH "用語と警告"
707 .LP
708
709 .LP
710 .SS
711 キーストア
712 .LP
713 .RS 3
714
715 .LP
716 キーストアは、暗号化の鍵と証明書を格納するための機構です。
717 .RE
718 .RS 3
719 .TP 2
720 o
721 \f3キーストアのエントリ\fP
722 .RS 3
723
724 .LP
725 キーストアには異なるタイプのエントリを含めることができます。\f3keytool\fP でもっとも適用範囲の広いエントリタイプは、次の 2 つです。
726 .RS 3
727 .TP 3
728 1.
729 \f3鍵のエントリ\fP \- 各エントリは、非常に重要な暗号化の鍵の情報を保持します。この情報は、許可していないアクセスを防ぐために、保護された形で格納されます。一般に、この種のエントリとして格納される鍵は、秘密鍵か、対応する公開鍵の証明連鎖を伴う非公開鍵です。
730 \f3keytool\fP がこの両方のタイプのエントリを処理できるのに対し、\f3jarsigner\fP ツールは後者のタイプのエントリ、つまり非公開鍵とそれに関連付けられた証明連鎖のみを処理します。
731 .TP 3
732 2.
733 \f3信頼できる証明書のエントリ\fP \- 各エントリは、第三者からの公開鍵証明書を 1 つ含んでいます。この証明書は、「信頼できる証明書」と呼ばれます。 それは、証明書内の公開鍵が、証明書の「Subject」(所有者) によって特定されるアイデンティティに由来するものであることを、キーストアの所有者が信頼するからです。証明書の発行者は、証明書に署名を付けることによって、その内容を保証します。
734 .RE
735
736 .LP
737 .RE
738 .TP 2
739 o
740 \f3キーストアの別名\fP
741 .RS 3
742 .LP
743 キーストアのすべてのエントリ (鍵および信頼できる証明書) は、一意の「別名」を介してアクセスされます。
744 .LP
745 .LP
746 別名を指定するのは、\-genseckey コマンドを使って秘密鍵を生成したり、\-genkeypair コマンドを使って鍵ペア (公開鍵と非公開鍵) を生成したり、\-importcert コマンドを使って証明書または証明連鎖を信頼できる証明書のリストに追加したりするなど、特定のエンティティをキーストアに追加する場合です。
747 これ以後、\f3keytool\fP コマンドでエンティティを参照する場合は、このときに指定した別名を使用する必要があります。
748 .LP
749 .LP
750 たとえば、\f2duke\fP という別名を使って新しい公開鍵と非公開鍵のペアを生成し、公開鍵を自己署名証明書 (「証明連鎖」を参照) でラップするとします。 この場合は、次のコマンドを実行します。
751 .LP
752 .nf
753 \f3
754 .fl
755 keytool \-genkeypair \-alias duke \-keypass dukekeypasswd
756 .fl
757 \fP
758 .fi
759
760 .LP
761 ここでは、初期パスワードとして dukekeypasswd を指定しています。 以後、別名 \f2duke\fP に関連付けられた非公開鍵にアクセスするコマンドを実行するときは、このパスワードが必要になります。duke の非公開鍵のパスワードをあとから変更するには、次のコマンドを実行します。
762 .nf
763 \f3
764 .fl
765 keytool \-keypasswd \-alias duke \-keypass dukekeypasswd \-new newpass
766 .fl
767 \fP
768 .fi
769
770 .LP
771 パスワードが、dukekeypasswd から newpass に変更されます。
772 .LP
773 注 - テストを目的とする場合、または安全であることがわかっているシステムで実行する場合以外は、コマンド行やスクリプトでパスワードを指定しないでください。必要なパスワードのオプションをコマンド行で指定しなかった場合は、パスワードの入力を求められます。
774 .LP
775 .RE
776 .TP 2
777 o
778 \f3キーストアの実装\fP
779 .RS 3
780 \f2java.security\fP パッケージで提供される \f2KeyStore\fP クラスには、キーストア内の情報に対するアクセスと変更を行うための明確に定義されたインタフェースが用意されています。キーストアの固定実装としては、それぞれが特定の「タイプ」のキーストアを対象とする複数の異なる実装が存在可能です。
781 .LP
782 現在、\f3keytool\fP と \f3jarsigner\fP の 2 つのコマンド行ツールと、\f3Policy Tool\fP という名前の 1 つの GUI ベースのツールが、キーストアの実装を使用しています。\f2KeyStore\fP は public として使用可能なので、JDK ユーザは \f2KeyStore\fP を使ったほかのセキュリティアプリケーションも作成できます。
783 .LP
784 .LP
785 キーストアには、Sun が提供する組み込みのデフォルトの実装があります。これは、JKS という名前の独自のキーストアタイプ (形式) を利用するもので、キーストアをファイルとして実装しています。この実装では、個々の非公開鍵は個別のパスワードによって保護され、キーストア全体の完全性も (非公開鍵とは別の) パスワードによって保護されます。
786 .LP
787 .LP
788 キーストアの実装は、プロバイダベースです。具体的には、\f2KeyStore\fP が提供するアプリケーションインタフェースは、Service Provider Interface (SPI) という形で実装されています。つまり、対応する \f2KeystoreSpi\fP 抽象クラス (これも \f2java.security\fP パッケージに含まれている) があり、このクラスが Service Provider Interface のメソッドを定義しています。これらのメソッドは、「プロバイダ」が実装しなければなりません。ここで、「プロバイダ」とは、Java Security API によってアクセス可能なサービスのサブセットに対し、その固定実装を提供するパッケージまたはパッケージの集合のことです。したがって、キーストアの実装を提供するには、「Java(TM) 暗号化アーキテクチャ用プロバイダの実装方法」で説明しているように、クライアントが「プロバイダ」を実装し、KeystoreSpi サブクラスの実装を提供する必要があります。
789 .LP
790 .LP
791 アプリケーションでは、\f2KeyStore\fP クラスが提供する getInstance ファクトリメソッドを使うことで、さまざまなプロバイダから異なる「タイプ」のキーストアの実装を選択できます。
792 キーストアのタイプは、キーストア情報の格納形式とデータ形式を定義するとともに、キーストア内の非公開/秘密鍵とキーストア自体の完全性を保護するために使われるアルゴリズムを定義します。
793 異なるタイプのキーストアの実装には、互換性はありません。
794 .LP
795 .LP
796 \f3keytool\fP は、任意のファイルベースのキーストア実装で動作します。\f3keytool\fP は、コマンド行から渡されたキーストアの場所をファイル名として扱い、これを FileInputStream に変換して、FileInputStream からキーストアの情報をロードします。一方、\f3jarsigner\fP と \f3policytool\fP ツールは、URL で指定可能な任意の場所からキーストアを読み込むことができます。
797 .LP
798 .LP
799 \f3keytool\fP と \f3jarsigner\fP の場合、\f2\-storetype\fP オプションを使ってコマンド行でキーストアのタイプを指定できます。\f3Policy Tool\fP の場合は、「キーストア」メニューによってキーストアのタイプを指定できます。
800 .LP
801 .LP
802 キーストアのタイプを明示的に指定しない場合、keytool、jarsigner、および policytool の各ツールは、セキュリティプロパティファイル内で指定された \f2keystore.type\fP プロパティの値に基づいてキーストアの実装を選択します。セキュリティプロパティファイルは、\f2java.security\fP という名前でセキュリティプロパティディレクトリ \f2java.home\fP/lib/security に置かれています。 \f2java.home\fP は、実行環境のディレクトリ (SDK の \f2jre\fP ディレクトリまたは Java 2 Runtime Environment の最上位ディレクトリ) です。
803 .LP
804 .LP
805 各ツールは、\f2keystore.type\fP の値を取得し、この値で指定されたタイプのキーストアを実装しているプロバイダが見つかるまで、現在インストールされているすべてのプロバイダを調べます。目的のプロバイダが見つかると、そのプロバイダからのキーストアの実装を使います。
806 .LP
807 .LP
808 \f2KeyStore\fP クラスでは \f2getDefaultType\fP という名前の static メソッドが定義されており、アプリケーションとアプレットはこのメソッドを使うことで \f2keystore.type\fP プロパティの値を取得できます。次のコードは、デフォルトのキーストアタイプ (\f2keystore.type\fP プロパティで指定されたタイプ) のインスタンスを生成します。
809 .LP
810 .nf
811 \f3
812 .fl
813 KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
814 .fl
815 \fP
816 .fi
817
818 .LP
819 .LP
820 デフォルトのキーストアタイプは JKS (Sun が提供する独自のタイプのキーストアの実装) です。これは、セキュリティプロパティファイル内の次の行によって指定されています。
821 .LP
822 .nf
823 \f3
824 .fl
825 keystore.type=jks
826 .fl
827 \fP
828 .fi
829
830 .LP
831 .LP
832 各ツールでデフォルト以外のキーストアの実装を使用するには、上の行を変更して別のキーストアのタイプを指定します。
833 .LP
834 .LP
835 たとえば、pkcs12 と呼ばれるタイプのキーストアの実装を提供しているプロバイダパッケージを使用するには、上の行を次のように変更します。
836 .LP
837 .nf
838 \f3
839 .fl
840 keystore.type=pkcs12
841 .fl
842 \fP
843 .fi
844
845 .LP
846 注: キーストアのタイプの指定では、大文字と小文字は区別されません。たとえば、JKS と jks は同じものとして扱われます。
847 .RE
848 .RE
849 .SS
850 証明書
851 .LP
852 .RS 3
853
854 .LP
855 証明書 (公開鍵証明書とも呼ぶ) とは、あるエンティティ (「発行者」) からのデジタル署名付きの文書のことです。 証明書には、ほかのあるエンティティ (「署名者」) の公開鍵 (およびその他の情報) が特別な値を持っていることが書かれています。
856 .RE
857 .RS 3
858 .TP 2
859 o
860 \f3証明書の用語\fP
861 .RS 3
862
863 .LP
864 .RS 3
865 .TP 3
866 公開鍵
867 公開鍵は、特定のエンティティに関連付けられた数です。公開鍵は、該当するエンティティとの間に信頼できる関係を持つ必要があるすべての人に対して公開することを意図したものです。公開鍵は、署名を検証するのに使われます。
868 .TP 3
869 デジタル署名
870 データが「デジタル署名」されると、そのデータは、エンティティの「アイデンティティ」と、そのエンティティがデータの内容について知っていることを証明する署名とともに格納されます。エンティティの非公開鍵を使ってデータに署名を付けると、データの偽造は不可能になります。
871 .TP 3
872 アイデンティティ
873 エンティティを特定するための既知の方法です。システムによっては、公開鍵をアイデンティティにするものがあります。公開鍵のほかにも、Unix UID や電子メールアドレス、X.509 識別名など、さまざまなものをアイデンティティとすることができます。
874 .TP 3
875 署名
876 署名は、何らかのデータを基にエンティティ (署名者。 証明書に関しては発行者とも呼ばれる) の非公開鍵を使って計算されます。
877 .TP 3
878 非公開鍵
879 非公開鍵は特定のエンティティだけが知っている数のことで、この数のことを、そのエンティティの非公開鍵といいます。非公開鍵は、ほかに知られないように秘密にしておくことが前提になっています。非公開鍵と公開鍵は、すべての公開鍵暗号化システムで対になって存在しています。DSA などの典型的な公開鍵暗号化システムの場合、1 つの非公開鍵は正確に 1 つの公開鍵に対応します。非公開鍵は、署名を計算するのに使われます。
880 .TP 3
881 エンティティ
882 エンテンティは、人、組織、プログラム、コンピュータ、企業、銀行など、一定の度合いで信頼の対象となるさまざまなものを指します。
883 .RE
884
885 .LP
886 .LP
887 公開鍵暗号化では、その性質上、ユーザの公開鍵にアクセスする必要があります。大規模なネットワーク環境では、互いに通信しているエンティティ間で以前の関係が引き続き確立されていると仮定したり、使われているすべての公開鍵を収めた信頼できるリポジトリが存在すると仮定したりすることは不可能です。このような公開鍵の配布に関する問題を解決するために証明書が考案されました。現在では、「認証局 (CA)」が信頼できる第三者として機能します。CA は、ほかのエンティティの証明書に署名する (発行する) 行為を、信頼して任されているエンティティ (企業など) です。CA は法律上の契約に拘束されるので、有効かつ信頼できる証明書だけを作成するものとして扱われます。
888 .na
889 \f2VeriSign\fP
890 .fi
891 (http://www.verisign.com/)、
892 .na
893 \f2Thawte\fP
894 .fi
895 (http://www.thawte.com/)、
896 .na
897 \f2Entrust\fP
898 .fi
899 (http://www.entrust.com/) をはじめ、多くの CA が存在します。
900 Netscape や Microsoft の認証サーバ、Entrust の CA 製品などを所属組織内で利用すれば、独自の認証局を運営することも可能です。
901 .LP
902 .LP
903 \f3keytool\fP を使うと、証明書の表示、インポート、およびエクスポートを行うことができます。また、自己署名証明書を生成することもできます。
904 .LP
905 .LP
906 現在、\f3keytool\fP は X.509 証明書を対象にしています。
907 .LP
908 .RE
909 .TP 2
910 o
911 \f3X.509 証明書\fP
912 .RS 3
913 X.509 規格では、証明書に含める情報が定義されており、この情報を証明書に書き込む方法 (データ形式) についても記述されています。証明書のすべてのデータは、ASN.1/DER と呼ばれる 2 つの関連規格を使って符号化されます。\f2Abstract Syntax Notation 1\fP はデータについて記述しています。\f2Definite Encoding Rules\fP は、データの保存および転送の方法について記述しています。
914 .LP
915 すべての X.509 証明書は、署名のほかに次のデータを含んでいます。
916 .LP
917 .RS 3
918 .TP 3
919 バージョン
920 証明書に適用される X.509 規格のバージョンを特定します。証明書に指定できる情報は、バージョンによって異なります。これまでに、3 つのバージョンが定義されています。\f3keytool\fP では、v1、v2、および v3 の証明書のインポートとエクスポートが可能です。
921 \f3keytool\fP が生成するのは、v3 の証明書です。
922 .LP
923 「\f2X.509 Version 1\fP」は、1988 年から利用されて広く普及しており、もっとも一般的です。
924 .LP
925 「\f2X.509 Version 2\fP」では、Subject や発行者の名前をあとで再利用できるようにするために、Subject と発行者の一意識別子の概念が導入されました。ほとんどの証明書プロファイル文書では、名前を再使用しないことと、証明書で一意な識別子を使わないことが、強く推奨されています。Version 2 の証明書は、広くは使われていません。
926 .LP
927 「\f2X.509 Version 3\fP」はもっとも新しい (1996 年) 規格で、エクステンションの概念をサポートしています。エクステンションは誰でも定義することができ、証明書に含めることができます。現在使われている一般的なエクステンションとしては、\f2KeyUsage\fP (「署名専用」など、鍵の使用を特定の目的に制限する)、\f2AlternativeNames\fP (DNS 名、電子メールアドレス、IP アドレスなど、ほかのアイデンティティを公開鍵に関連付けることができる) などがあります。エクステンションには、\f2critical\fP というマークを付けて、そのエクステンションのチェックと使用を義務づけることができます。たとえば、critical とマークされ、KeyCertSign が設定された KeyUsage エクステンションが証明書に含まれている場合、この証明書を SSL 通信中に提示すると、証明書が拒否されます。これは、証明書のエクステンションによって、関連する非公開鍵が証明書の署名専用として指定されており、SSL では使用できないためです。
928 .TP 3
929 シリアル番号
930 証明書を作成したエンティティは、そのエンティティが発行するほかの証明書と区別するために、証明書にシリアル番号を割り当てます。この情報は、さまざまな方法で使われます。たとえば、証明書が取り消されると、シリアル番号が証明書の取り消しリスト (CRL) に格納されます。
931 .TP 3
932 署名アルゴリズム識別子
933 証明書に署名を付けるときに CA が使ったアルゴリズムを特定します。
934 .TP 3
935 発行者名
936 証明書に署名を付けたエンティティの X.500 識別名です。エンティティは、通常は CA です。この証明書を使うことは、証明書に署名を付けたエンティティを信頼することを意味します。「ルート」つまり「トップレベル」の CA の証明書など、場合によっては発行者が自身の証明書に署名を付けることがある点に注意してください。
937 .TP 3
938 有効期間
939 各証明書は、限られた期間だけ有効になります。この期間は開始の日時と終了の日時によって指定され、数秒の短い期間から 100 年という長期にわたることもあります。選択される有効期間は、証明書への署名に使われる非公開鍵の強度や証明書に支払う金額など、さまざまな要因で異なります。有効期間は、使用する非公開鍵が損なわれない場合に、エンティティが公開鍵を信頼できると期待される期間です。
940 .TP 3
941 Subject 名
942 証明書で公開鍵が識別されているエンティティの名前です。この名前は X.500 標準を使うので、インターネット全体で一意なものと想定されます。これは、エンティティの X.500 識別名 (DN) です。 次に例を示します。
943 .nf
944 \f3
945 .fl
946 CN=Java Duke, OU=Java Software Division, O=Sun Microsystems Inc, C=US
947 .fl
948 \fP
949 .fi
950 これらはそれぞれ主体の通称、組織単位、組織、国を表します。
951 .TP 3
952 Subject の公開鍵情報
953 名前を付けられたエンティティの公開鍵とアルゴリズム識別子です。アルゴリズム識別子では、公開鍵に対して使われている公開鍵暗号化システムおよび関連する鍵パラメータが指定されています。
954 .RE
955
956 .LP
957 .RE
958 .TP 2
959 o
960 \f3証明連鎖\fP
961 .RS 3
962 .LP
963 \f3keytool\fP では、非公開鍵および関連する証明「連鎖」を含むキーストアの「鍵」エントリを作成し、管理することができます。このようなエントリでは、非公開鍵に対応する公開鍵は、連鎖の最初の証明書に含まれています。
964 .LP
965 .LP
966 鍵を初めて作成すると (\-genkeypair コマンドを参照)、「自己署名証明書」という 1 つの要素だけを含む連鎖が開始されます。自己署名証明書は、発行者 (署名者) が主体 (証明書で認証されている公開鍵の持ち主) と同じである証明書のことです。\f2\-genkeypair\fP コマンドを呼び出して新しい公開鍵と非公開鍵のペアを作成すると、公開鍵は常に自己署名証明書でラップされます。
967 .LP
968 .LP
969 このあと、証明書署名要求 (CSR) が生成されて (\-certreq コマンドを参照)、CSR が認証局 (CA) に送信されると、CA からの応答がインポートされ (\-importcert コマンドを参照)、元の自己署名証明書は証明連鎖によって置き換えられます。連鎖の最後にあるのは、Subject の公開鍵を認証した CA が発行した証明書 (応答) です。連鎖内のその前の証明書は、「CA」の公開鍵を認証する証明書です。
970 .LP
971 .LP
972 CA の公開鍵を認証する証明書は、多くの場合、自己署名証明書 (つまり CA が自身の公開鍵を認証した証明書) であり、これは連鎖の最初の証明書になります。場合によっては、CA が証明書の連鎖を返すこともあります。この場合、連鎖内の最後の証明書 (CA によって署名され、鍵エントリの公開鍵を認証する証明書) に変わりはありませんが、連鎖内のその前の証明書は、CSR の送信先の CA とは「別の」CA によって署名され、CSR の送信先の CA の公開鍵を認証する証明書になります。さらに、連鎖内のその前の証明書は、次の CA の鍵を認証する証明書になります。以下同様に、自己署名された「ルート」証明書に達するまで連鎖が続きます。したがって、連鎖内の (最初の証明書以後の) 各証明書では、連鎖内の次の証明書の署名者の公開鍵が認証されていることになります。
973 .LP
974 .LP
975 多くの CA は、連鎖をサポートせずに発行済みの証明書だけを返します。特に、中間の CA が存在しないフラットな階層構造の場合は、その傾向が顕著です。このような場合は、キーストアにすでに格納されている信頼できる証明書情報から、証明連鎖を確立する必要があります。
976 .LP
977 .LP
978 別の応答形式 (PKCS#7 で定義されている形式) でも、発行済み証明書に加え、証明連鎖のサポートが含まれています。\f3keytool\fP では、どちらの応答形式も扱うことができます。
979 .LP
980 .LP
981 トップレベル (ルート) CA の証明書は、自己署名証明書です。ただし、ルートの公開鍵に対する信頼は、ルートの証明書自体から導き出されるものではなく (たとえば、VeriSign ルート CA のような有名な識別名を使った自己署名証明書を作成すること自体は誰でも可能)、新聞などのほかの情報源に由来するものです。ルート CA の公開鍵は広く知られています。ルート CA の公開鍵を証明書に格納する理由は、証明書という形式にすることで多くのツールから利用できるようになるからにすぎません。 つまり、証明書は、ルート CA の公開鍵を運ぶ「媒体」として利用されるだけです。ルート CA の証明書をキーストアに追加するときは、その前に証明書の内容を表示し (\f2\-printcert\fP オプションを使用)、表示されたフィンガープリントと、新聞やルート CA の Web ページなどから入手した既知のフィンガープリントとを比較する必要があります。
982 .LP
983 .RE
984 .TP 2
985 o
986 \f3cacerts 証明書ファイル\fP
987 .RS 3
988 .LP
989 cacerts 証明書ファイルは、セキュリティプロパティディレクトリ \f2java.home\fP/lib/security に置かれています。\f2java.home\fP は、実行環境のディレクトリ (SDK の \f2jre\fP ディレクトリまたは Java 2 Runtime Environment の最上位ディレクトリ) です。
990 .LP
991 .LP
992 cacerts ファイルは、CA の証明書を含む、システム全体のキーストアです。システム管理者は、キーストアタイプに jks を指定することで、\f3keytool\fP を使ってこのファイルの構成と管理を行うことができます。cacerts キーストアファイルは、次の別名および X.500 所有者識別名を持ついくつかのルート CA 証明書を含んだ状態で出荷されています。
993 .LP
994 .RS 3
995 .TP 2
996 *
997 \f3Alias\fP: thawtepersonalfreemailca
998 .br
999 \f3Owner DN\fP: EmailAddress=personal\-freemail@thawte.com,
1000 .br
1001 CN=Thawte Personal Freemail CA,
1002 .br
1003 OU=Certification Services Division,
1004 .br
1005 O=Thawte Consulting, L=Cape Town, ST=Western Cape, C=ZA
1006 .TP 2
1007 *
1008 \f3Alias\fP: thawtepersonalbasicca
1009 .br
1010 \f3Owner DN\fP: EmailAddress=personal\-basic@thawte.com,
1011 .br
1012 CN=Thawte Personal Basic CA,
1013 .br
1014 OU=Certification Services Division,
1015 .br
1016 O=Thawte Consulting, L=Cape Town, ST=Western Cape, C=ZA
1017 .TP 2
1018 *
1019 .br
1020 \f3Owner DN\fP: EmailAddress=personal\-premium@thawte.com,
1021 .br
1022 CN=Thawte Personal Premium CA,
1023 .br
1024 OU=Certification Services Division,
1025 .br
1026 O=Thawte Consulting, L=Cape Town, ST=Western Cape, C=ZA
1027 .TP 2
1028 *
1029 \f3Alias\fP: thawteserverca
1030 .br
1031 \f3Owner DN\fP: EmailAddress=server\-certs@thawte.com,
1032 .br
1033 CN=Thawte Server CA, OU=Certification Services Division,
1034 .br
1035 O=Thawte Consulting cc, L=Cape Town, ST=Western Cape, C=ZA
1036 .TP 2
1037 *
1038 \f3Alias\fP: thawtepremiumserverca
1039 .br
1040 \f3Owner DN\fP: EmailAddress=premium\-server@thawte.com,
1041 .br
1042 CN=Thawte Premium Server CA,
1043 .br
1044 OU=Certification Services Division,
1045 .br
1046 O=Thawte Consulting cc, L=Cape Town, ST=Western Cape, C=ZA
1047 .TP 2
1048 *
1049 \f3Alias\fP: verisignclass1ca
1050 .br
1051 \f3Owner DN\fP: OU=Class 1 Public Primary Certification Authority,
1052 .br
1053 O="VeriSign, Inc.", C=US
1054 .TP 2
1055 *
1056 \f3Alias\fP: verisignclass2ca
1057 .br
1058 \f3Owner DN\fP: OU=Class 2 Public Primary Certification Authority,
1059 .br
1060 O="VeriSign, Inc.", C=US
1061 .TP 2
1062 *
1063 \f3Alias\fP: verisignclass3ca
1064 .br
1065 \f3Owner DN\fP: OU=Class 3 Public Primary Certification Authority,
1066 .br
1067 O="VeriSign, Inc.", C=US
1068 .TP 2
1069 *
1070 \f3Alias\fP: verisignserverca
1071 .br
1072 \f3Owner DN\fP: OU=Secure Server Certification Authority,
1073 .br
1074 O="RSA Data Security, Inc.", C=US
1075 .TP 2
1076 *
1077 \f3Alias\fP: verisignclass1g2ca
1078 .br
1079 \f3Owner DN\fP: OU=VeriSign Trust Network,
1080 .br
1081 OU="(c) 1998 VeriSign, Inc. \- For authorized use only",
1082 .br
1083 OU=Class 1 Public Primary Certification Authority \- G2,
1084 .br
1085 O="VeriSign, Inc.", C=US
1086 .TP 2
1087 *
1088 \f3Alias\fP: verisignclass1g3ca
1089 .br
1090 \f3Owner DN\fP: CN=VeriSign Class 1 Public Primary Certification Authority \- G3, OU="(c) 1999 VeriSign, Inc. \- For authorized use only",
1091 .br
1092 OU=VeriSign Trust Network,
1093 .br
1094 O="VeriSign, Inc.", C=US
1095 .TP 2
1096 *
1097 \f3Alias\fP: verisignclass2g2ca
1098 .br
1099 \f3Owner DN\fP: OU=VeriSign Trust Network,
1100 .br
1101 OU="(c) 1998 VeriSign, Inc. \- For authorized use only",
1102 .br
1103 OU=Class 2 Public Primary Certification Authority \- G2,
1104 .br
1105 O="VeriSign, Inc.", C=US
1106 .TP 2
1107 *
1108 \f3Alias\fP: verisignclass2g3ca
1109 .br
1110 \f3Owner DN\fP: CN=VeriSign Class 2 Public Primary Certification Authority \- G3,
1111 .br
1112 OU="(c) 1999 VeriSign, Inc. \- For authorized use only",
1113 .br
1114 OU=VeriSign Trust Network,
1115 .br
1116 O="VeriSign, Inc.", C=US
1117 .TP 2
1118 *
1119 \f3Alias\fP: verisignclass3g2ca
1120 .br
1121 \f3Owner DN\fP: OU=VeriSign Trust Network,
1122 .br
1123 OU="(c) 1998 VeriSign, Inc. \- For authorized use only",
1124 .br
1125 OU=Class 3 Public Primary Certification Authority \- G2,
1126 .br
1127 O="VeriSign, Inc.", C=US
1128 .TP 2
1129 *
1130 \f3Alias\fP: verisignclass3g3ca
1131 .br
1132 \f3Owner DN\fP: CN=VeriSign Class 3 Public Primary Certification Authority \- G3,
1133 .br
1134 OU="(c) 1999 VeriSign, Inc. \- For authorized use only",
1135 .br
1136 OU=VeriSign Trust Network,
1137 .br
1138 O="VeriSign, Inc.", C=US
1139 .TP 2
1140 *
1141 \f3Alias\fP: baltimorecodesigningca
1142 .br
1143 \f3Owner DN\fP: CN=Baltimore CyberTrust Code Signing Root,
1144 .br
1145 OU=CyberTrust, O=Baltimore, C=IE
1146 .TP 2
1147 *
1148 \f3Alias\fP: gtecybertrustglobalca
1149 .br
1150 \f3Owner DN\fP: CN=GTE CyberTrust Global Root,
1151 .br
1152 OU="GTE CyberTrust Solutions, Inc.", O=GTE Corporation, C=US
1153 .TP 2
1154 *
1155 \f3Alias\fP: baltimorecybertrustca
1156 .br
1157 \f3Owner DN\fP: CN=Baltimore CyberTrust Root,
1158 .br
1159 OU=CyberTrust, O=Baltimore, C=IE
1160 .TP 2
1161 *
1162 \f3Alias\fP: gtecybertrustca
1163 .br
1164 \f3Owner DN\fP: CN=GTE CyberTrust Root,
1165 .br
1166 O=GTE Corporation, C=US
1167 .TP 2
1168 *
1169 \f3Alias\fP: gtecybertrust5ca
1170 .br
1171 \f3Owner DN\fP: CN=GTE CyberTrust Root 5,
1172 .br
1173 OU="GTE CyberTrust Solutions, Inc.", O=GTE Corporation, C=US
1174 .TP 2
1175 *
1176 \f3Alias\fP: entrustclientca
1177 .br
1178 \f3Owner DN\fP: CN=Entrust.net Client Certification Authority,
1179 .br
1180 OU=(c) 1999 Entrust.net Limited,
1181 .br
1182 OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref. limits liab.,
1183 .br
1184 O=Entrust.net, C=US
1185 .TP 2
1186 *
1187 \f3Alias\fP: entrustglobalclientca
1188 .br
1189 \f3Owner DN\fP: CN=Entrust.net Client Certification Authority,
1190 .br
1191 OU=(c) 2000 Entrust.net Limited,
1192 .br
1193 OU=www.entrust.net/GCCA_CPS incorp. by ref. (limits liab.),
1194 .br
1195 O=Entrust.net
1196 .TP 2
1197 *
1198 \f3Alias\fP: entrust2048ca
1199 .br
1200 \f3Owner DN\fP: CN=Entrust.net Certification Authority (2048),
1201 .br
1202 OU=(c) 1999 Entrust.net Limited,
1203 .br
1204 OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.),
1205 .br
1206 O=Entrust.net
1207 .TP 2
1208 *
1209 \f3Alias\fP: entrustsslca
1210 .br
1211 \f3Owner DN\fP: CN=Entrust.net Secure Server Certification Authority,
1212 .br
1213 OU=(c) 1999 Entrust.net Limited,
1214 .br
1215 OU=www.entrust.net/CPS incorp. by ref. (limits liab.),
1216 .br
1217 O=Entrust.net, C=US
1218 .TP 2
1219 *
1220 \f3Alias\fP: entrustgsslca
1221 .br
1222 \f3Owner DN\fP: CN=Entrust.net Secure Server Certification Authority,
1223 .br
1224 OU=(c) 2000 Entrust.net Limited,
1225 .br
1226 OU=www.entrust.net/SSL_CPS incorp. by ref. (limits liab.),
1227 .br
1228 O=Entrust.net
1229 .TP 2
1230 *
1231 \f3Alias\fP: godaddyclass2ca
1232 .br
1233 \f3Owner DN\fP: OU=Go Daddy Class 2 Certification Authority,
1234 .br
1235 O="The Go Daddy Group, Inc.", C=US
1236 .TP 2
1237 *
1238 \f3Alias\fP: starfieldclass2ca
1239 .br
1240 \f3Owner DN\fP: OU=Starfield Class 2 Certification Authority,
1241 .br
1242 O="Starfield Technologies, Inc.", C=US
1243 .TP 2
1244 *
1245 \f3Alias\fP: valicertclass2ca
1246 .br
1247 \f3Owner DN\fP: EMAILADDRESS=info@valicert.com,
1248 .br
1249 CN=http://www.valicert.com/,
1250 .br
1251 OU=ValiCert Class 2 Policy Validation Authority,
1252 .br
1253 O="ValiCert, Inc.", L=ValiCert Validation Network
1254 .TP 2
1255 *
1256 \f3Alias\fP: geotrustglobalca
1257 .br
1258 \f3Owner DN\fP: CN=GeoTrust Global CA,
1259 .br
1260 O=GeoTrust Inc., C=US
1261 .TP 2
1262 *
1263 \f3Alias\fP: equifaxsecureca
1264 .br
1265 \f3Owner DN\fP: OU=Equifax Secure Certificate Authority,
1266 .br
1267 O=Equifax, C=US
1268 .TP 2
1269 *
1270 \f3Alias\fP: equifaxsecureebusinessca1
1271 .br
1272 \f3Owner DN\fP: CN=Equifax Secure eBusiness CA\-1,
1273 .br
1274 O=Equifax Secure Inc., C=US
1275 .TP 2
1276 *
1277 \f3Alias\fP: equifaxsecureebusinessca2
1278 .br
1279 \f3Owner DN\fP: OU=Equifax Secure eBusiness CA\-2,
1280 .br
1281 O=Equifax Secure, C=US
1282 .TP 2
1283 *
1284 \f3Alias\fP: equifaxsecureglobalebusinessca1
1285 .br
1286 \f3Owner DN\fP: CN=Equifax Secure Global eBusiness CA\-1,
1287 .br
1288 O=Equifax Secure Inc., C=US
1289 .TP 2
1290 *
1291 \f3Alias\fP: soneraclass1ca
1292 .br
1293 \f3Owner DN\fP: CN=Sonera Class1 CA, O=Sonera, C=FI
1294 .TP 2
1295 *
1296 \f3Alias\fP: soneraclass2ca
1297 .br
1298 \f3Owner DN\fP: CN=Sonera Class2 CA, O=Sonera, C=FI
1299 .TP 2
1300 *
1301 \f3Alias\fP: comodoaaaca
1302 .br
1303 \f3Owner DN\fP: CN=AAA Certificate Services,
1304 .br
1305 O=Comodo CA Limited, L=Salford, ST=Greater Manchester, C=GB
1306 .TP 2
1307 *
1308 \f3Alias\fP: addtrustclass1ca
1309 .br
1310 \f3Owner DN\fP: CN=AddTrust Class 1 CA Root,
1311 .br
1312 OU=AddTrust TTP Network, O=AddTrust AB, C=SE
1313 .TP 2
1314 *
1315 \f3Alias\fP: addtrustexternalca
1316 .br
1317 \f3Owner DN\fP: CN=AddTrust External CA Root,
1318 .br
1319 OU=AddTrust External TTP Network, O=AddTrust AB, C=SE
1320 .TP 2
1321 *
1322 \f3Alias\fP: addtrustqualifiedca
1323 .br
1324 \f3Owner DN\fP: CN=AddTrust Qualified CA Root,
1325 .br
1326 OU=AddTrust TTP Network, O=AddTrust AB, C=SE
1327 .TP 2
1328 *
1329 \f3Alias\fP: utnuserfirsthardwareca
1330 .br
1331 \f3Owner DN\fP: CN=UTN\-USERFirst\-Hardware,
1332 .br
1333 OU=http://www.usertrust.com, O=The USERTRUST Network,
1334 .br
1335 L=Salt Lake City, ST=UT, C=US
1336 .TP 2
1337 *
1338 \f3Alias\fP: utnuserfirstclientauthemailca
1339 .br
1340 \f3Owner DN\fP: CN=UTN\-USERFirst\-Client Authentication and Email,
1341 .br
1342 OU=http://www.usertrust.com, O=The USERTRUST Network,
1343 .br
1344 L=Salt Lake City, ST=UT, C=US
1345 .TP 2
1346 *
1347 \f3Alias\fP: utndatacorpsgcca
1348 .br
1349 \f3Owner DN\fP: CN=UTN \- DATACorp SGC,
1350 .br
1351 OU=http://www.usertrust.com, O=The USERTRUST Network,
1352 .br
1353 L=Salt Lake City, ST=UT, C=US
1354 .TP 2
1355 *
1356 \f3Alias\fP: utnuserfirstobjectca
1357 .br
1358 \f3Owner DN\fP: CN=UTN\-USERFirst\-Object,
1359 .br
1360 OU=http://www.usertrust.com, O=The USERTRUST Network,
1361 .br
1362 L=Salt Lake City, ST=UT, C=US
1363 .RE
1364
1365 .LP
1366 .LP
1367 cacerts キーストアファイルの初期パスワードは、changeit です。システム管理者は、SDK のインストール後、このファイルのパスワードとデフォルトアクセス権を変更する必要があります。
1368 .LP
1369 .RS 3
1370
1371 .LP
1372
1373 .LP
1374 \f3重要: \fP\f4cacerts\fP\f3 ファイルを確認してください。\fP
1375 .br
1376
1377 .LP
1378 \f2cacerts\fP ファイル内の CA は、署名および他のエンティティへの証明書発行のためのエンティティとして信頼されるため、\f2cacerts\fP ファイルの管理は慎重に行う必要があります。\f2cacerts\fP ファイルには、信頼する CA の証明書だけが含まれていなければなりません。ユーザは、自身の責任において、\f2cacerts\fP ファイルにバンドルされている信頼できるルート CA 証明書を検証し、信頼性に関する独自の決定を行います。信頼できない CA 証明書を \f2cacerts\fP ファイルから削除するには、\f2keytool\fP コマンドの削除オプションを使用します。\f2cacerts\fP ファイルは JRE のインストールディレクトリにあります。このファイルを編集するアクセス権がない場合は、システム管理者に連絡してください。
1379 .br
1380
1381 .LP
1382 .RE
1383
1384 .LP
1385 .RE
1386 .TP 2
1387 o
1388 \f3インターネット RFC 1421 証明書符号化規格\fP
1389 .RS 3
1390 .LP
1391 多くの場合、証明書は、バイナリ符号化ではなく、インターネット RFC 1421 規格で定義されている出力可能符号化方式を使って格納されます。「Base 64 符号化」とも呼ばれるこの証明書形式では、電子メールやその他の機構を通じて、ほかのアプリケーションに証明書を容易にエクスポートできます。
1392 .LP
1393 .LP
1394 \f2\-importcert\fP と \f2\-printcert\fP コマンドでは、この形式の証明書とバイナリ符号化の証明書を読み込むことができます。
1395 .LP
1396 .LP
1397 \f2\-exportcert\fP コマンドでは、デフォルトでバイナリ符号化の証明書が出力されます。
1398 ただし、\f2\-rfc\fP オプションを指定した場合は、出力可能符号化方式の証明書が出力されます。
1399 .LP
1400 .LP
1401 \f2\-list\fP コマンドでは、デフォルトで証明書の MD5 フィンガープリントが出力されます。\f2\-v\fP オプションを指定すると、人間が読むことのできる形式で証明書が出力されます。一方、\f2\-rfc\fP オプションを指定すると、出力可能符号化方式で証明書が出力されます。
1402 .LP
1403 .LP
1404 出力可能符号化方式で符号化された証明書は、次の行で始まります。
1405 .LP
1406 .nf
1407 \f3
1408 .fl
1409 \-\-\-\-\-BEGIN CERTIFICATE\-\-\-\-\-
1410 .fl
1411 \fP
1412 .fi
1413
1414 .LP
1415 .LP
1416 最後は、次の行で終わります。
1417 .LP
1418 .nf
1419 \f3
1420 .fl
1421 \-\-\-\-\-END CERTIFICATE\-\-\-\-\-
1422 .fl
1423 \fP
1424 .fi
1425 .RE
1426 .RE
1427
1428 .LP
1429 .SS
1430 X.500 識別名
1431 .LP
1432 .RS 3
1433
1434 .LP
1435 X.500 識別名は、エンティティを特定するために使われます。 たとえば、X.509 証明書の \f2subject\fP フィールドと \f2issuer\fP (署名者) フィールドで指定される名前は、X.500 識別名です。\f3keytool\fP は、次のサブパートをサポートしています。
1436 .RS 3
1437 .TP 2
1438 o
1439 \f2commonName\fP \- 人の通称。「Susan Jones」など
1440 .TP 2
1441 o
1442 \f2organizationUnit\fP \- 小さな組織 (部、課など) の名称。「仕入部」など
1443 .TP 2
1444 o
1445 \f2organizationName\fP \- 大きな組織の名称。「ABCSystems, Inc.」など
1446 .TP 2
1447 o
1448 \f2localityName\fP \- 地域 (都市) 名。「Palo Alto」など
1449 .TP 2
1450 o
1451 \f2stateName\fP \- 州名または地方名。「California」など
1452 .TP 2
1453 o
1454 \f2country\fP \- 2 文字の国番号。「CH」など
1455 .RE
1456
1457 .LP
1458 .LP
1459 \f2\-genkeypair\fP コマンドの \f2\-dname\fP オプションの値として識別名文字列を指定する場合は、次の形式で指定する必要があります。
1460 .LP
1461 .nf
1462 \f3
1463 .fl
1464 CN=\fP\f4cName\fP\f3, OU=\fP\f4orgUnit\fP\f3, O=\fP\f4org\fP\f3, L=\fP\f4city\fP\f3, S=\fP\f4state\fP\f3, C=\fP\f4countryCode\fP\f3
1465 .fl
1466 \fP
1467 .fi
1468
1469 .LP
1470 .LP
1471 イタリック体の項目は、実際に指定する値を表します。短縮形のキーワードの意味は、次のとおりです。
1472 .LP
1473 .nf
1474 \f3
1475 .fl
1476 CN=commonName
1477 .fl
1478 OU=organizationUnit
1479 .fl
1480 O=organizationName
1481 .fl
1482 L=localityName
1483 .fl
1484 S=stateName
1485 .fl
1486 C=country
1487 .fl
1488 \fP
1489 .fi
1490
1491 .LP
1492 .LP
1493 次に示すのは、識別名文字列の例です。
1494 .LP
1495 .nf
1496 \f3
1497 .fl
1498 CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino, S=California, C=US
1499 .fl
1500 \fP
1501 .fi
1502
1503 .LP
1504 次は、この文字列を使ったコマンドの例です。
1505 .nf
1506 \f3
1507 .fl
1508 keytool \-genkeypair \-dname "CN=Mark Smith, OU=JavaSoft, O=Sun, L=Cupertino,
1509 .fl
1510 S=California, C=US" \-alias mark
1511 .fl
1512 \fP
1513 .fi
1514
1515 .LP
1516 .LP
1517 キーワードの短縮形では、大文字と小文字は区別されません。たとえば、CN、cn、および Cn は、どれも同じものとして扱われます。
1518 .LP
1519 .LP
1520 一方、キーワードの指定順序には意味があり、各サブコンポーネントは上に示した順序で指定する必要があります。ただし、サブコンポーネントをすべて指定する必要はありません。たとえば、次のように一部のサブコンポーネントだけを指定できます。
1521 .LP
1522 .nf
1523 \f3
1524 .fl
1525 CN=Steve Meier, OU=SunSoft, O=Sun, C=US
1526 .fl
1527 \fP
1528 .fi
1529
1530 .LP
1531 .LP
1532 識別名文字列の値にコンマが含まれる場合に、コマンド行の文字列を指定するときには、次のようにコンマを文字 \\ でエスケープする必要があります。
1533 .LP
1534 .nf
1535 \f3
1536 .fl
1537 cn=peter schuster, o=Sun Microsystems\\, Inc., o=sun, c=us
1538 .fl
1539 \fP
1540 .fi
1541
1542 .LP
1543 .LP
1544 識別名文字列をコマンド行で指定する必要はありません。識別名を必要とするコマンドを実行するときに、コマンド行で識別名を指定しなかった場合は、各サブコンポーネントの入力を求められます。この場合は、コンマを文字 \\ でエスケープする必要はありません。
1545 .LP
1546 .RE
1547 .SS
1548 信頼できる証明書のインポートに関する注意事項
1549 .LP
1550 .RS 3
1551
1552 .LP
1553 重要: 信頼できる証明書として証明書をインポートする前に、証明書の内容を慎重に調べてください。
1554 .LP
1555 まず、証明書の内容を表示し (\f2\-printcert\fP コマンドを使用するか、または \f2\-noprompt\fP オプションを指定しないで \f2\-importcert\fP コマンドを使用)、表示された証明書のフィンガープリントが、期待されるフィンガープリントと一致するかどうかを確認します。
1556 たとえば、あるユーザから証明書が送られてきて、この証明書を \f2/tmp/cert\fP という名前でファイルに格納しているとします。この場合は、信頼できる証明書のリストにこの証明書を追加する前に、\f2\-printcert\fP コマンドを実行してフィンガープリントを表示できます。たとえば、次のようにします。
1557 .LP
1558 .nf
1559 \f3
1560 .fl
1561 keytool \-printcert \-file /tmp/cert
1562 .fl
1563 Owner: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
1564 .fl
1565 Issuer: CN=ll, OU=ll, O=ll, L=ll, S=ll, C=ll
1566 .fl
1567 Serial Number: 59092b34
1568 .fl
1569 Valid from: Thu Sep 25 18:01:13 PDT 1997 until: Wed Dec 24 17:01:13 PST 1997
1570 .fl
1571 Certificate Fingerprints:
1572 .fl
1573 MD5: 11:81:AD:92:C8:E5:0E:A2:01:2E:D4:7A:D7:5F:07:6F
1574 .fl
1575 SHA1: 20:B6:17:FA:EF:E5:55:8A:D0:71:1F:E8:D6:9D:C0:37:13:0E:5E:FE
1576 .fl
1577 \fP
1578 .fi
1579
1580 .LP
1581 次に、証明書を送信した人物に連絡し、この人物が提示したフィンガープリントと、上のコマンドで表示されたフィンガープリントとを比較します。フィンガープリントが一致すれば、送信途中でほかの何者か (攻撃者など) による証明書のすり替えが行われていないことを確認できます。送信途中でこの種の攻撃が行われていた場合、チェックを行わずに証明書をインポートすると、攻撃者によって署名されたすべてのもの (攻撃的意図を持つクラスファイルを含んだ JAR ファイルなど) を信頼することになります。
1582 .LP
1583 注: 証明書をインポートする前に必ず \f2\-printcert\fP コマンドを実行しなければならないわけではありません。
1584 \f2\-importcert\fP コマンドを実行すると、キーストア内の信頼できる証明書のリストに証明書を追加する前に、証明書の情報が表示され、確認を求めるメッセージが表示されます。インポート操作は、この時点で中止できます。ただし、確認メッセージが表示されるのは、\f2\-importcert\fP コマンドを \f2\-noprompt\fP オプションを指定せずに実行した場合だけです。
1585 \f2\-noprompt\fP オプションが指定されている場合、ユーザとの対話は行われません。
1586 .LP
1587 .RE
1588 .SS
1589 パスワードに関する注意事項
1590 .LP
1591 .RS 3
1592
1593 .LP
1594 .LP
1595 キーストアに対する操作を行うほとんどのコマンドでは、ストアのパスワードが必要です。
1596 また、一部のコマンドでは、非公開/秘密鍵のパスワードが必要になることがあります。
1597 .LP
1598 .LP
1599 パスワードはコマンド行で指定できます (ストアのパスワードには \f2\-storepass\fP オプション、非公開鍵のパスワードには \f2\-keypass\fP オプションを使用)。ただし、テストを目的とする場合、または安全であることがわかっているシステムで実行する場合以外は、コマンド行やスクリプトでパスワードを指定しないでください。
1600 .LP
1601 .LP
1602 必要なパスワードのオプションをコマンド行で指定しなかった場合は、パスワードの入力を求められます。
1603 .LP
1604 .RE
1605 .SH "関連項目"
1606 .LP
1607
1608 .LP
1609 .RS 3
1610 .TP 2
1611 o
1612 .fi
1613 http://java.sun.com/javase/6/docs/tooldocs/solaris/jar.html
1614 の
1615 .na
1616 「\f2jar\fP」ツールのドキュメント
1617 .TP 2
1618 o
1619 .fi
1620 http://java.sun.com/javase/6/docs/tooldocs/solaris/jarsigner.html
1621 の
1622 .na
1623 「\f2jarsigner\fP」ツールのドキュメント
1624 .TP 2
1625 o
1626 \f3keytool\fP の使用例については、
1627 .fi
1628 http://java.sun.com/docs/books/tutorial/security/index.html
1629 の
1630 .na
1631 「\f4Java Tutorial\fP」にある
1632 .fi
1633 http://java.sun.com/docs/books/tutorial/trailmap.html
1634 の
1635 .na
1636 「\f4Security\fP」トレール
1637 .RE
1638
1639 .LP
1640 .SH "変更点"
1641 .LP
1642
1643 .LP
1644 .LP
1645 Java SE 6 で keytool のコマンドインタフェースが変更されました。
1646 .LP
1647 .LP
1648 \f3keytool\fP は、ユーザがパスワードを入力する際にその入力内容を表示しなくなりました。ユーザはパスワード入力時にその入力内容を確認できなくなったため、初期キーストアパスワードを設定したり鍵パスワードを変更したりするなど、パスワードの設定や変更を行うたびにパスワードの再入力を求められます。
1649 .LP
1650 .LP
1651 変更されたコマンドの中には、名前が変更されただけのものもあれば、廃止されてこのドキュメントに記載されなくなったものもあります。以前のすべてのコマンド (名前が変更されたものと廃止されたものの両方) は、このリリースでも引き続きサポートされており、今後のリリースでもサポートされる予定です。keytool のコマンドインタフェースに加えられたすべての変更点の概要を、次に示します。
1652 .LP
1653 .LP
1654 名前が変更されたコマンド:
1655 .LP
1656 .RS 3
1657 .TP 2
1658 o
1659 \f2\-export\fP の名前が \f2\-exportcert\fP に変更
1660 .TP 2
1661 o
1662 \f2\-genkey\fP の名前が \f2\-genkeypair\fP に変更
1663 .TP 2
1664 o
1665 \f2\-import\fP の名前が \f2\-importcert\fP に変更
1666 .RE
1667
1668 .LP
1669 .LP
1670 廃止されてドキュメントに記載されなくなったコマンド:
1671 .LP
1672 .RS 3
1673 .TP 2
1674 o
1675 .fi
1676 http://java.sun.com/j2se/1.5.0/ja/docs/ja/tooldocs/solaris/keytool.html#keycloneCmd
1677 の
1678 .na
1679 \f2\-keyclone\fP
1680 .TP 2
1681 o
1682 .fi
1683 http://java.sun.com/j2se/1.5.0/ja/docs/ja/tooldocs/solaris/keytool.html#identitydbCmd
1684 の
1685 .na
1686 \f2\-identitydb\fP
1687 .TP 2
1688 o
1689 .fi
1690 http://java.sun.com/j2se/1.5.0/ja/docs/ja/tooldocs/solaris/keytool.html#selfcertCmd
1691 の
1692 .na
1693 \f2\-selfcert\fP
1694 .RE
1695
1696 .LP
1697
1698 .LP
1699