例
以下のssh-cmpclient
の例では、SSH Communications
Security社により管理されているフリーなPKI相互接続サイトである
pki.ssh.com
(http://pki.ssh.com/)
を使用します。
コマンドをそのまま実行して、あなたのサーバのための証明書登録を
試すことができます。
ファイアウォール下の場合には、ssh-cmpclient
へのSOCKSサーバURL
を-S
オプションを使用して与える必要があります
(例:-S http://fw.yourdomain.com:1080
)。
証明書の初期登録
この例では、証明書の初期登録について説明します。
ディジタル証明書は、 pki.ssh.com
サイトから発行されたものを
使用します。
秘密鍵は、PKCS#8形式でプレインテキストファイル initial.prv
に
格納します。登録された証明書は、initial-0.crt
ファイルに格納
します。ユーザは、ID(refnum)62154
と鍵 ssh
を使って
CAから認証されます。
サブジェクト名、IPアドレス、および鍵使用目的フラグを指定します。
CAのアドレスは、pki.ssh.com
で、ポートは8080
です。
CAの名前は、Test CA 1
です。
$ ssh-cmpclient INITIALIZE ¥
-P generate://pkcs8@rsa:1024/initial -o initial ¥
-p 62154:ssh ¥
-s 'C=FI,O=SSH,CN=Example/initial;IP=1.2.3.4' ¥
-u digitalsignature ¥
http://pki.ssh.com:8080/pkix/ ¥
'C=FI, O=SSH Communications Security Corp, CN=SSH Test CA 1 No Liabilities'
|
コマンドの結果として、ユーザに証明書が発行されます。
ユーザはyes
をプロンプトに入力してそれを受け取ります。
Certificate =
SubjectName = <C=FI, O=SSH, CN=Example/initial>
IssuerName = <C=FI, O=SSH Communications Security Corp,
CN=SSH Test CA 1 No Liabilities>
SerialNumber= 8017690
SignatureAlgorithm = rsa-pkcs1-sha1
Validity = ...
PublicKeyInfo = ...
Extensions =
Viewing specific name types = IP = 1.2.3.4
KeyUsage = DigitalSignature
CRLDistributionPoints = ...
AuthorityKeyID =
KeyID = 3d:cb:be:20:64:49:16:1d:88:b7:98:67:93:f0:5d:42:81:2e:bd:0c
SubjectKeyID =
KeyId = 6c:f4:0e:ba:b9:ef:44:37:db:ad:1f:fc:46:e0:25:9f:c8:ce:cb:da
Fingerprints =
MD5 = b7:6d:5b:4d:e0:94:d1:1f:ec:ca:c2:ed:68:ac:bf:56
SHA-1 = 4f:de:73:db:ff:e8:7d:42:c4:7d:e1:79:1f:20:43:71:2f:81:ff:fa
Do you accept the certificate above? yes
|
鍵の更新
証明書が失効する前に、更新された有効期限を持つ新しい証明書を登録する
必要があります。ssh-cmpclient
は鍵の更新をサポートしており、
新しい秘密鍵を生成され、鍵更新要求は古い(しかしまだ有効な)証明書
により認証されます。
古い証明書は新しい証明書発行の発行のテンプレートとしても使用され、
ユーザの識別情報は鍵更新においては変更されません。
以下のコマンドにより、先の例で登録した鍵ペアの更新ができます。
結果の証明書は省略しています。
$ ssh-cmpclient UPDATE ¥
-k initial.prv -c initial-0.crt -P ¥
generate://pkcs8@rsa:1024/updatedcert -o updatedcert ¥
http://pki.ssh.com:8080/pkix/ ¥
"C=FI, O=SSH Communications Security Corp, CN=SSH Test CA 1 No Liabilities"
|
新しい鍵ペアはupdatedcert
をプレフィックスを持つファイルです。
ssh-cmpclient
がUPDATE
モードで使用される場合、
発行するCAのポリシーは自動鍵更新を許可するようになっている必要があります。
SSH Tectia Certifierが提供するテストサイトであるpki.ssh.com
は、
それまでに発行した証明書に基づく鍵の自動更新を許可するように設定されて
います。