equal
deleted
inserted
replaced
1 ." Copyright (c) 1998-2010 keytool tool, Oracle and/or its affiliates. All rights reserved. |
1 ." Copyright (c) 1998-2011 keytool tool, Oracle and/or its affiliates. All rights reserved. |
2 ." DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER. |
2 ." DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER. |
3 ." |
3 ." |
4 ." This code is free software; you can redistribute it and/or modify it |
4 ." This code is free software; you can redistribute it and/or modify it |
5 ." under the terms of the GNU General Public License version 2 only, as |
5 ." under the terms of the GNU General Public License version 2 only, as |
6 ." published by the Free Software Foundation. |
6 ." published by the Free Software Foundation. |
17 ." |
17 ." |
18 ." Please contact Oracle, 500 Oracle Parkway, Redwood Shores, CA 94065 USA |
18 ." Please contact Oracle, 500 Oracle Parkway, Redwood Shores, CA 94065 USA |
19 ." or visit www.oracle.com if you need additional information or have any |
19 ." or visit www.oracle.com if you need additional information or have any |
20 ." questions. |
20 ." questions. |
21 ." |
21 ." |
22 .TH keytool 1 "14 Apr 2011" |
22 .TH keytool 1 "07 May 2011" |
23 |
23 |
24 .LP |
24 .LP |
25 .SH "名前" |
25 .SH "名前" |
26 keytool \- 鍵と証明書の管理ツール |
26 keytool \- 鍵と証明書の管理ツール |
27 .LP |
27 .LP |
1085 .nf |
1085 .nf |
1086 \f3 |
1086 \f3 |
1087 .fl |
1087 .fl |
1088 keytool \-genkeypair \-dname "cn=Mark Jones, ou=Java, o=Oracle, c=US" |
1088 keytool \-genkeypair \-dname "cn=Mark Jones, ou=Java, o=Oracle, c=US" |
1089 .fl |
1089 .fl |
1090 \-alias business \-keypass kpi135 \-keystore /working/mykeystore |
1090 \-alias business \-keypass \fP\f4<非公開鍵の新しいパスワード>\fP\f3 \-keystore /working/mykeystore |
1091 .fl |
1091 .fl |
1092 \-storepass ab987c \-validity 180 |
1092 \-storepass \fP\f4<キーストアの新しいパスワード>\fP\f3 \-validity 180 |
1093 .fl |
1093 .fl |
1094 \fP |
1094 \fP |
1095 .fi |
1095 .fi |
1096 |
1096 |
1097 .LP |
1097 .LP |
1098 .LP |
1098 .LP |
1099 注: このコマンドは 1 行に入力しなければなりません。例で複数行に入力しているのは読みやすくするためです。 |
1099 注: このコマンドは 1 行に入力しなければなりません。例で複数行に入力しているのは読みやすくするためです。 |
1100 .LP |
1100 .LP |
1101 .LP |
1101 .LP |
1102 この例では、working ディレクトリに mykeystore という名前のキーストアを作成し (キーストアはまだ存在していないと仮定する)、作成したキーストアにパスワード ab987c を割り当てます。生成する公開鍵と非公開鍵のペアに対応するエンティティーの「識別名」は、通称が「Mark Jones」、組織単位が「Java」、組織が「Oracle」、2 文字の国番号が「US」です。公開鍵と非公開鍵のサイズはどちらも 1024 ビットで、鍵の作成にはデフォルトの DSA 鍵生成アルゴリズムを使用します。 |
1102 この例では、working ディレクトリに mykeystore という名前のキーストアを作成し (キーストアはまだ存在していないと仮定する)、作成したキーストアに、\f2<キーストアの新しいパスワード>\fP で指定したパスワード を割り当てます。生成する公開鍵と非公開鍵のペアに対応するエンティティーの「識別名」は、通称が「Mark Jones」、組織単位が「Java」、組織が「Oracle」、2 文字の国番号が「US」です。公開鍵と非公開鍵のサイズはどちらも 1024 ビットで、鍵の作成にはデフォルトの DSA 鍵生成アルゴリズムを使用します。 |
1103 .LP |
1103 .LP |
1104 .LP |
1104 .LP |
1105 このコマンドは、公開鍵と識別名情報を含む自己署名証明書 (デフォルトの SHA1withDSA 署名アルゴリズムを使用) を作成します。証明書の有効期間は 180 日です。 証明書は、別名「business」で特定されるキーストアエントリ内の非公開鍵に関連付けられます。非公開鍵にはパスワード「kpi135」が割り当てられます。 |
1105 このコマンドは、公開鍵と識別名情報を含む自己署名証明書 (デフォルトの SHA1withDSA 署名アルゴリズムを使用) を作成します。証明書の有効期間は 180 日です。 証明書は、別名「business」で特定されるキーストアエントリ内の非公開鍵に関連付けられます。非公開鍵には、\f2<非公開鍵の新しいパスワード>\fP で指定したパスワードが割り当てられます。 |
1106 .LP |
1106 .LP |
1107 .LP |
1107 .LP |
1108 オプションのデフォルト値を使う場合は、上に示したコマンドを大幅に短くすることができます。実際には、オプションを 1 つも指定せずにコマンドを実行することも可能です。 デフォルト値を持つオプションでは、オプションを指定しなければデフォルト値が使われ、必要な値については入力を求められます。たとえば、単に次のように入力することもできます。 |
1108 オプションのデフォルト値を使う場合は、上に示したコマンドを大幅に短くすることができます。実際には、オプションを 1 つも指定せずにコマンドを実行することも可能です。 デフォルト値を持つオプションでは、オプションを指定しなければデフォルト値が使われ、必要な値については入力を求められます。たとえば、単に次のように入力することもできます。 |
1109 .LP |
1109 .LP |
1110 .nf |
1110 .nf |
1118 .LP |
1118 .LP |
1119 .LP |
1119 .LP |
1120 この場合は、mykey という別名でキーストアエントリが作成され、新しく生成された鍵のペア、および 90 日間有効な証明書がこのエントリに格納されます。このエントリは、ホームディレクトリ内の .keystore という名前のキーストアに置かれます。このキーストアがまだ存在していない場合は、作成されます。識別名情報、キーストアのパスワード、および非公開鍵のパスワードについては、入力を求められます。 |
1120 この場合は、mykey という別名でキーストアエントリが作成され、新しく生成された鍵のペア、および 90 日間有効な証明書がこのエントリに格納されます。このエントリは、ホームディレクトリ内の .keystore という名前のキーストアに置かれます。このキーストアがまだ存在していない場合は、作成されます。識別名情報、キーストアのパスワード、および非公開鍵のパスワードについては、入力を求められます。 |
1121 .LP |
1121 .LP |
1122 .LP |
1122 .LP |
1123 以下では、オプションを指定しないで \f2\-genkeypair\fP コマンドを実行したものとして例を示します。情報の入力を求められた場合は、最初に示した \f2\-genkeypair\fP コマンドの値を入力したものとします (たとえば、非公開鍵のパスワードには kpi135 と指定)。 |
1123 以下では、オプションを指定しないで \f2\-genkeypair\fP コマンドを実行したものとして例を示します。情報の入力を求められた場合は、最初に示した \f2\-genkeypair\fP コマンドの値を入力したものとします (たとえば、識別名には cn=Mark Jones, ou=Java, o=Oracle, c=US と指定)。 |
1124 .LP |
1124 .LP |
1125 .SS |
1125 .SS |
1126 証明書発行局に対する署名付き証明書の要求 |
1126 証明書発行局に対する署名付き証明書の要求 |
1127 .LP |
1127 .LP |
1128 .LP |
1128 .LP |
1238 .fl |
1238 .fl |
1239 \-srckeystore key.jks \-destkeystore NONE |
1239 \-srckeystore key.jks \-destkeystore NONE |
1240 .fl |
1240 .fl |
1241 \-srcstoretype JKS \-deststoretype PKCS11 |
1241 \-srcstoretype JKS \-deststoretype PKCS11 |
1242 .fl |
1242 .fl |
1243 \-srcstorepass changeit \-deststorepass topsecret |
1243 \-srcstorepass \fP\f4<ソースキーストアのパスワード>\fP\f3 \-deststorepass \fP\f4<ターゲットキーストアのパスワード>\fP\f3 |
1244 .fl |
1244 .fl |
1245 \fP |
1245 \fP |
1246 .fi |
1246 .fi |
1247 |
1247 |
1248 .LP |
1248 .LP |
1249 .LP |
1249 .LP |
1250 また、importkeystore コマンドを使えば、あるソースキーストア内の単一のエントリをターゲットキーストアにインポートすることもできます。この場合、上記の例で示したオプションに加え、インポート対象となる別名を指定する必要があります。srcalias オプションを指定する場合には、ターゲット別名もコマンド行から指定できるほか、秘密/非公開鍵の保護用パスワードやターゲット保護用パスワードも指定できます。そうすれば、プロンプトのまったく表示されない \f3keytool\fP コマンドを発行できます。これは、\f3keytool\fP コマンドをスクリプトファイルに含める際に非常に便利です。次に例を示します。 |
1250 また、importkeystore コマンドを使えば、あるソースキーストア内の単一のエントリをターゲットキーストアにインポートすることもできます。この場合、上記の例で示したオプションに加え、インポート対象となる別名を指定する必要があります。srcalias オプションを指定する場合には、ターゲット別名もコマンド行から指定できるほか、秘密/非公開鍵の保護用パスワードやターゲット保護用パスワードも指定できます。その方法を示すコマンドを次に示します。 |
1251 .LP |
1251 .LP |
1252 .nf |
1252 .nf |
1253 \f3 |
1253 \f3 |
1254 .fl |
1254 .fl |
1255 keytool \-importkeystore |
1255 keytool \-importkeystore |
1256 .fl |
1256 .fl |
1257 \-srckeystore key.jks \-destkeystore NONE |
1257 \-srckeystore key.jks \-destkeystore NONE |
1258 .fl |
1258 .fl |
1259 \-srcstoretype JKS \-deststoretype PKCS11 |
1259 \-srcstoretype JKS \-deststoretype PKCS11 |
1260 .fl |
1260 .fl |
1261 \-srcstorepass changeit \-deststorepass topsecret |
1261 \-srcstorepass \fP\f4<ソースキーストアのパスワード>\fP\f3 \-deststorepass \fP\f4<ターゲットキーストアのパスワード>\fP\f3 |
1262 .fl |
1262 .fl |
1263 \-srcalias myprivatekey \-destalias myoldprivatekey |
1263 \-srcalias myprivatekey \-destalias myoldprivatekey |
1264 .fl |
1264 .fl |
1265 \-srckeypass oldkeypass \-destkeypass mynewkeypass |
1265 \-srckeypass \fP\f4<ソースエントリのパスワード>\fP\f3 \-destkeypass \fP\f4<ターゲットエントリのパスワード>\fP\f3 |
1266 .fl |
1266 .fl |
1267 \-noprompt |
1267 \-noprompt |
1268 .fl |
1268 .fl |
1269 \fP |
1269 \fP |
1270 .fi |
1270 .fi |
1709 .LP |
1709 .LP |
1710 .LP |
1710 .LP |
1711 重要: 信頼できる証明書として証明書をインポートする前に、証明書の内容を慎重に調べてください。 |
1711 重要: 信頼できる証明書として証明書をインポートする前に、証明書の内容を慎重に調べてください。 |
1712 .LP |
1712 .LP |
1713 .LP |
1713 .LP |
1714 まず、証明書の内容を表示し (\-printcert コマンドを使用するか、または \-noprompt オプションを指定しないで \-importcert コマンドを使用)、 表示された証明書のフィンガープリントが、期待されるフィンガープリントと一致するかどうかを確認します。たとえば、あるユーザーから証明書が送られてきて、この証明書を /tmp/cert という名前でファイルに格納しているとします。 この場合は、信頼できる証明書のリストにこの証明書を追加する前に、 \f2\-printcert\fP コマンドを実行してフィンガープリントを表示できます。たとえば、次のようにします。 |
1714 まず、証明書の内容を表示し (\-printcert コマンドを使用するか、または \-noprompt オプションを指定しないで \-importcert コマンドを使用)、 コマンドを使用し、 表示された証明書のフィンガープリントが、期待されるフィンガープリントと一致するかどうかを確認します。たとえば、あるユーザーから証明書が送られてきて、この証明書を /tmp/cert という名前でファイルに格納しているとします。 この場合は、信頼できる証明書のリストにこの証明書を追加する前に、 \f2\-printcert\fP コマンドを実行してフィンガープリントを表示できます。たとえば、次のようにします。 |
1715 .LP |
1715 .LP |
1716 .nf |
1716 .nf |
1717 \f3 |
1717 \f3 |
1718 .fl |
1718 .fl |
1719 keytool \-printcert \-file /tmp/cert |
1719 keytool \-printcert \-file /tmp/cert |
1742 .LP |
1742 .LP |
1743 .LP |
1743 .LP |
1744 次に、証明書を送信した人物に連絡し、この人物が提示したフィンガープリントと、上のコマンドで表示されたフィンガープリントとを比較します。フィンガープリントが一致すれば、送信途中でほかの何者か (攻撃者など) による証明書のすり替えが行われていないことを確認できます。送信途中でこの種の攻撃が行われていた場合、チェックを行わずに証明書をインポートすると、攻撃者によって署名されたすべてのもの (攻撃的意図を持つクラスファイルを含んだ JAR ファイルなど) を信頼することになります。 |
1744 次に、証明書を送信した人物に連絡し、この人物が提示したフィンガープリントと、上のコマンドで表示されたフィンガープリントとを比較します。フィンガープリントが一致すれば、送信途中でほかの何者か (攻撃者など) による証明書のすり替えが行われていないことを確認できます。送信途中でこの種の攻撃が行われていた場合、チェックを行わずに証明書をインポートすると、攻撃者によって署名されたすべてのもの (攻撃的意図を持つクラスファイルを含んだ JAR ファイルなど) を信頼することになります。 |
1745 .LP |
1745 .LP |
1746 .LP |
1746 .LP |
1747 注: 証明書をインポートする前に必ず \f2\-printcert\fP コマンドを実行しなければならないわけではありません。キーストア内の信頼できる証明書のリストに証明書を追加する前に \f2\-importcert\fP コマンドを実行すると、証明書の情報が表示され、確認を求めるメッセージが表示されます。インポート操作は、この時点で中止できます。ただし、確認メッセージが表示されるのは、\-importcert コマンドを \-noprompt オプションを指定せずに実行した場合だけです。 \f2\-noprompt\fP オプションが指定されている場合、ユーザーとの対話は行われません。 |
1747 注: 証明書をインポートする前に必ず \f2\-printcert\fP コマンドを実行しなければならないわけではありません。キーストア内の信頼できる証明書のリストに証明書を追加する前に \f2\-importcert\fP コマンドを実行すると、証明書の情報が表示され、確認を求めるメッセージが表示されます。インポート操作は、この時点で中止できます。ただし、確認メッセージが表示されるのは、\-importcert コマンドを \-noprompt オプションを指定せずに実行した場合だけです。 コマンドを使用し、 \f2\-noprompt\fP オプションが指定されている場合、ユーザーとの対話は行われません。 |
1748 .LP |
1748 .LP |
1749 .SS |
1749 .SS |
1750 パスワードに関する注意事項 |
1750 パスワードに関する注意事項 |
1751 .LP |
1751 .LP |
1752 .LP |
1752 .LP |