[目次] [Index]

著作権表示     お問合せ先     本書について>>     SSH Tectia Clientのインストール >>     はじめに >>     SSH Tectia Client の構成 >>     リモート ホストに接続する>>     ファイルの転送>>     アプリケーションのトンネリング>>     GUIリファレンス>>     トラブルシューティング >>     コマンドラインツール >>         ssh2 >>         scp2 >>         sftp2 >>         ssh-keygen2 >>         ssh-cmpclient >>             書式             説明             コマンド             オプション             例         ssh-certview >>

例

以下のssh-cmpclientの例では、SSH Communications Security社により管理されているフリーなPKI相互接続サイトである pki.ssh.com (http://pki.ssh.com/) を使用します。 コマンドをそのまま実行して、あなたのサーバのための証明書登録を 試すことができます。 ファイアウォール下の場合には、ssh-cmpclientへのSOCKSサーバURL を-Sオプションを使用して与える必要があります (例：-S http://fw.yourdomain.com:1080)。

証明書の初期登録

この例では、証明書の初期登録について説明します。 ディジタル証明書は、 pki.ssh.com サイトから発行されたものを 使用します。 秘密鍵は、PKCS#8形式でプレインテキストファイル initial.prv に 格納します。登録された証明書は、initial-0.crt ファイルに格納 します。ユーザは、ID（refnum）62154 と鍵 ssh を使って CAから認証されます。 サブジェクト名、IPアドレス、および鍵使用目的フラグを指定します。 CAのアドレスは、pki.ssh.com で、ポートは8080 です。 CAの名前は、Test CA 1 です。

$ ssh-cmpclient INITIALIZE ¥ -P generate://pkcs8@rsa:1024/initial -o initial ¥ -p 62154:ssh ¥ -s 'C=FI,O=SSH,CN=Example/initial;IP=1.2.3.4' ¥ -u digitalsignature ¥ http://pki.ssh.com:8080/pkix/ ¥ 'C=FI, O=SSH Communications Security Corp, CN=SSH Test CA 1 No Liabilities'

コマンドの結果として、ユーザに証明書が発行されます。 ユーザはyesをプロンプトに入力してそれを受け取ります。

Certificate = SubjectName = <C=FI, O=SSH, CN=Example/initial> IssuerName = <C=FI, O=SSH Communications Security Corp, CN=SSH Test CA 1 No Liabilities> SerialNumber= 8017690 SignatureAlgorithm = rsa-pkcs1-sha1 Validity = ... PublicKeyInfo = ... Extensions = Viewing specific name types = IP = 1.2.3.4 KeyUsage = DigitalSignature CRLDistributionPoints = ... AuthorityKeyID = KeyID = 3d:cb:be:20:64:49:16:1d:88:b7:98:67:93:f0:5d:42:81:2e:bd:0c SubjectKeyID = KeyId = 6c:f4:0e:ba:b9:ef:44:37:db:ad:1f:fc:46:e0:25:9f:c8:ce:cb:da Fingerprints = MD5 = b7:6d:5b:4d:e0:94:d1:1f:ec:ca:c2:ed:68:ac:bf:56 SHA-1 = 4f:de:73:db:ff:e8:7d:42:c4:7d:e1:79:1f:20:43:71:2f:81:ff:fa Do you accept the certificate above? yes

鍵の更新

証明書が失効する前に、更新された有効期限を持つ新しい証明書を登録する 必要があります。ssh-cmpclientは鍵の更新をサポートしており、 新しい秘密鍵を生成され、鍵更新要求は古い（しかしまだ有効な）証明書 により認証されます。 古い証明書は新しい証明書発行の発行のテンプレートとしても使用され、 ユーザの識別情報は鍵更新においては変更されません。 以下のコマンドにより、先の例で登録した鍵ペアの更新ができます。 結果の証明書は省略しています。

$ ssh-cmpclient UPDATE ¥ -k initial.prv -c initial-0.crt -P ¥ generate://pkcs8@rsa:1024/updatedcert -o updatedcert ¥ http://pki.ssh.com:8080/pkix/ ¥ "C=FI, O=SSH Communications Security Corp, CN=SSH Test CA 1 No Liabilities"

新しい鍵ペアはupdatedcert をプレフィックスを持つファイルです。 ssh-cmpclientがUPDATEモードで使用される場合、 発行するCAのポリシーは自動鍵更新を許可するようになっている必要があります。 SSH Tectia Certifierが提供するテストサイトであるpki.ssh.comは、 それまでに発行した証明書に基づく鍵の自動更新を許可するように設定されて います。