Mercurial Mercurial > jdk-sandbox / comparison
summary | shortlog | changelog | graph | tags | bookmarks | branches | files | changeset | file | latest | revisions | annotate | diff | comparison | raw | help
Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
jdk/src/linux/doc/man/ja/keytool.1
changeset 9566 d7241af95355
parent 9352 cabba0c0f3ee
child 9734 b33a24d77590
equal deleted inserted replaced
9565:efd8492423ee 9566:d7241af95355 
     1 ." Copyright (c) 1998-2010 keytool tool, Oracle and/or its affiliates. All rights reserved.
 
     1 ." Copyright (c) 1998-2011 keytool tool, Oracle and/or its affiliates. All rights reserved.
 
     2 ." DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER.
 
     2 ." DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS FILE HEADER.
 
     3 ."
 
     3 ."
 
     4 ." This code is free software; you can redistribute it and/or modify it
 
     4 ." This code is free software; you can redistribute it and/or modify it
 
     5 ." under the terms of the GNU General Public License version 2 only, as
 
     5 ." under the terms of the GNU General Public License version 2 only, as
 
     6 ." published by the Free Software Foundation.
 
     6 ." published by the Free Software Foundation.
 
    17 ."
 
    17 ."
 
    18 ." Please contact Oracle, 500 Oracle Parkway, Redwood Shores, CA 94065 USA
 
    18 ." Please contact Oracle, 500 Oracle Parkway, Redwood Shores, CA 94065 USA
 
    19 ." or visit www.oracle.com if you need additional information or have any
 
    19 ." or visit www.oracle.com if you need additional information or have any
 
    20 ." questions.
 
    20 ." questions.
 
    21 ."
 
    21 ."
 
    22 .TH keytool 1 "14 Apr 2011"
 
    22 .TH keytool 1 "07 May 2011"
 
    23 
    23 
    24 .LP
 
    24 .LP
 
    25 .SH "名前"
 
    25 .SH "名前"
 
    26 keytool \- 鍵と証明書の管理ツール
 
    26 keytool \- 鍵と証明書の管理ツール
 
    27 .LP
 
    27 .LP
 
  1085 .nf
 
  1085 .nf
 
  1086 \f3
 
  1086 \f3
 
  1087 .fl
 
  1087 .fl
 
  1088     keytool \-genkeypair \-dname "cn=Mark Jones, ou=Java, o=Oracle, c=US"
 
  1088     keytool \-genkeypair \-dname "cn=Mark Jones, ou=Java, o=Oracle, c=US"
 
  1089 .fl
 
  1089 .fl
 
  1090       \-alias business \-keypass kpi135 \-keystore /working/mykeystore
 
  1090       \-alias business \-keypass \fP\f4<非公開鍵の新しいパスワード>\fP\f3 \-keystore /working/mykeystore
 
  1091 .fl
 
  1091 .fl
 
  1092       \-storepass ab987c \-validity 180
 
  1092       \-storepass \fP\f4<キーストアの新しいパスワード>\fP\f3 \-validity 180
 
  1093 .fl
 
  1093 .fl
 
  1094 \fP
 
  1094 \fP
 
  1095 .fi
 
  1095 .fi
 
  1096 
  1096 
  1097 .LP
 
  1097 .LP
 
  1098 .LP
 
  1098 .LP
 
  1099 注: このコマンドは 1 行に入力しなければなりません。例で複数行に入力しているのは読みやすくするためです。
 
  1099 注: このコマンドは 1 行に入力しなければなりません。例で複数行に入力しているのは読みやすくするためです。
 
  1100 .LP
 
  1100 .LP
 
  1101 .LP
 
  1101 .LP
 
  1102 この例では、working ディレクトリに mykeystore という名前のキーストアを作成し (キーストアはまだ存在していないと仮定する)、作成したキーストアにパスワード ab987c を割り当てます。生成する公開鍵と非公開鍵のペアに対応するエンティティーの「識別名」は、通称が「Mark Jones」、組織単位が「Java」、組織が「Oracle」、2 文字の国番号が「US」です。公開鍵と非公開鍵のサイズはどちらも 1024 ビットで、鍵の作成にはデフォルトの DSA 鍵生成アルゴリズムを使用します。
 
  1102 この例では、working ディレクトリに mykeystore という名前のキーストアを作成し (キーストアはまだ存在していないと仮定する)、作成したキーストアに、\f2<キーストアの新しいパスワード>\fP で指定したパスワード を割り当てます。生成する公開鍵と非公開鍵のペアに対応するエンティティーの「識別名」は、通称が「Mark Jones」、組織単位が「Java」、組織が「Oracle」、2 文字の国番号が「US」です。公開鍵と非公開鍵のサイズはどちらも 1024 ビットで、鍵の作成にはデフォルトの DSA 鍵生成アルゴリズムを使用します。
 
  1103 .LP
 
  1103 .LP
 
  1104 .LP
 
  1104 .LP
 
  1105 このコマンドは、公開鍵と識別名情報を含む自己署名証明書 (デフォルトの SHA1withDSA 署名アルゴリズムを使用) を作成します。証明書の有効期間は 180 日です。 証明書は、別名「business」で特定されるキーストアエントリ内の非公開鍵に関連付けられます。非公開鍵にはパスワード「kpi135」が割り当てられます。
 
  1105 このコマンドは、公開鍵と識別名情報を含む自己署名証明書 (デフォルトの SHA1withDSA 署名アルゴリズムを使用) を作成します。証明書の有効期間は 180 日です。 証明書は、別名「business」で特定されるキーストアエントリ内の非公開鍵に関連付けられます。非公開鍵には、\f2<非公開鍵の新しいパスワード>\fP で指定したパスワードが割り当てられます。
 
  1106 .LP
 
  1106 .LP
 
  1107 .LP
 
  1107 .LP
 
  1108 オプションのデフォルト値を使う場合は、上に示したコマンドを大幅に短くすることができます。実際には、オプションを 1 つも指定せずにコマンドを実行することも可能です。 デフォルト値を持つオプションでは、オプションを指定しなければデフォルト値が使われ、必要な値については入力を求められます。たとえば、単に次のように入力することもできます。
 
  1108 オプションのデフォルト値を使う場合は、上に示したコマンドを大幅に短くすることができます。実際には、オプションを 1 つも指定せずにコマンドを実行することも可能です。 デフォルト値を持つオプションでは、オプションを指定しなければデフォルト値が使われ、必要な値については入力を求められます。たとえば、単に次のように入力することもできます。
 
  1109 .LP
 
  1109 .LP
 
  1110 .nf
 
  1110 .nf
 
  1118 .LP
 
  1118 .LP
 
  1119 .LP
 
  1119 .LP
 
  1120 この場合は、mykey という別名でキーストアエントリが作成され、新しく生成された鍵のペア、および 90 日間有効な証明書がこのエントリに格納されます。このエントリは、ホームディレクトリ内の .keystore という名前のキーストアに置かれます。このキーストアがまだ存在していない場合は、作成されます。識別名情報、キーストアのパスワード、および非公開鍵のパスワードについては、入力を求められます。
 
  1120 この場合は、mykey という別名でキーストアエントリが作成され、新しく生成された鍵のペア、および 90 日間有効な証明書がこのエントリに格納されます。このエントリは、ホームディレクトリ内の .keystore という名前のキーストアに置かれます。このキーストアがまだ存在していない場合は、作成されます。識別名情報、キーストアのパスワード、および非公開鍵のパスワードについては、入力を求められます。
 
  1121 .LP
 
  1121 .LP
 
  1122 .LP
 
  1122 .LP
 
  1123 以下では、オプションを指定しないで \f2\-genkeypair\fP コマンドを実行したものとして例を示します。情報の入力を求められた場合は、最初に示した \f2\-genkeypair\fP コマンドの値を入力したものとします (たとえば、非公開鍵のパスワードには kpi135 と指定)。
 
  1123 以下では、オプションを指定しないで \f2\-genkeypair\fP コマンドを実行したものとして例を示します。情報の入力を求められた場合は、最初に示した \f2\-genkeypair\fP コマンドの値を入力したものとします (たとえば、識別名には cn=Mark Jones, ou=Java, o=Oracle, c=US と指定)。
 
  1124 .LP
 
  1124 .LP
 
  1125 .SS 
  1125 .SS 
  1126 証明書発行局に対する署名付き証明書の要求
 
  1126 証明書発行局に対する署名付き証明書の要求
 
  1127 .LP
 
  1127 .LP
 
  1128 .LP
 
  1128 .LP
 
  1238 .fl
 
  1238 .fl
 
  1239     \-srckeystore key.jks \-destkeystore NONE
 
  1239     \-srckeystore key.jks \-destkeystore NONE
 
  1240 .fl
 
  1240 .fl
 
  1241     \-srcstoretype JKS \-deststoretype PKCS11
 
  1241     \-srcstoretype JKS \-deststoretype PKCS11
 
  1242 .fl
 
  1242 .fl
 
  1243     \-srcstorepass changeit \-deststorepass topsecret
 
  1243     \-srcstorepass \fP\f4<ソースキーストアのパスワード>\fP\f3 \-deststorepass \fP\f4<ターゲットキーストアのパスワード>\fP\f3
 
  1244 .fl
 
  1244 .fl
 
  1245 \fP
 
  1245 \fP
 
  1246 .fi
 
  1246 .fi
 
  1247 
  1247 
  1248 .LP
 
  1248 .LP
 
  1249 .LP
 
  1249 .LP
 
  1250 また、importkeystore コマンドを使えば、あるソースキーストア内の単一のエントリをターゲットキーストアにインポートすることもできます。この場合、上記の例で示したオプションに加え、インポート対象となる別名を指定する必要があります。srcalias オプションを指定する場合には、ターゲット別名もコマンド行から指定できるほか、秘密/非公開鍵の保護用パスワードやターゲット保護用パスワードも指定できます。そうすれば、プロンプトのまったく表示されない \f3keytool\fP コマンドを発行できます。これは、\f3keytool\fP コマンドをスクリプトファイルに含める際に非常に便利です。次に例を示します。
 
  1250 また、importkeystore コマンドを使えば、あるソースキーストア内の単一のエントリをターゲットキーストアにインポートすることもできます。この場合、上記の例で示したオプションに加え、インポート対象となる別名を指定する必要があります。srcalias オプションを指定する場合には、ターゲット別名もコマンド行から指定できるほか、秘密/非公開鍵の保護用パスワードやターゲット保護用パスワードも指定できます。その方法を示すコマンドを次に示します。
 
  1251 .LP
 
  1251 .LP
 
  1252 .nf
 
  1252 .nf
 
  1253 \f3
 
  1253 \f3
 
  1254 .fl
 
  1254 .fl
 
  1255   keytool \-importkeystore
 
  1255   keytool \-importkeystore
 
  1256 .fl
 
  1256 .fl
 
  1257     \-srckeystore key.jks \-destkeystore NONE
 
  1257     \-srckeystore key.jks \-destkeystore NONE
 
  1258 .fl
 
  1258 .fl
 
  1259     \-srcstoretype JKS \-deststoretype PKCS11
 
  1259     \-srcstoretype JKS \-deststoretype PKCS11
 
  1260 .fl
 
  1260 .fl
 
  1261     \-srcstorepass changeit \-deststorepass topsecret
 
  1261     \-srcstorepass \fP\f4<ソースキーストアのパスワード>\fP\f3 \-deststorepass \fP\f4<ターゲットキーストアのパスワード>\fP\f3
 
  1262 .fl
 
  1262 .fl
 
  1263     \-srcalias myprivatekey \-destalias myoldprivatekey
 
  1263     \-srcalias myprivatekey \-destalias myoldprivatekey
 
  1264 .fl
 
  1264 .fl
 
  1265     \-srckeypass oldkeypass \-destkeypass mynewkeypass
 
  1265     \-srckeypass \fP\f4<ソースエントリのパスワード>\fP\f3 \-destkeypass \fP\f4<ターゲットエントリのパスワード>\fP\f3
 
  1266 .fl
 
  1266 .fl
 
  1267     \-noprompt
 
  1267     \-noprompt
 
  1268 .fl
 
  1268 .fl
 
  1269 \fP
 
  1269 \fP
 
  1270 .fi
 
  1270 .fi
 
  1709 .LP
 
  1709 .LP
 
  1710 .LP
 
  1710 .LP
 
  1711 重要: 信頼できる証明書として証明書をインポートする前に、証明書の内容を慎重に調べてください。
 
  1711 重要: 信頼できる証明書として証明書をインポートする前に、証明書の内容を慎重に調べてください。
 
  1712 .LP
 
  1712 .LP
 
  1713 .LP
 
  1713 .LP
 
  1714 まず、証明書の内容を表示し (\-printcert コマンドを使用するか、または \-noprompt オプションを指定しないで \-importcert コマンドを使用)、 表示された証明書のフィンガープリントが、期待されるフィンガープリントと一致するかどうかを確認します。たとえば、あるユーザーから証明書が送られてきて、この証明書を /tmp/cert という名前でファイルに格納しているとします。 この場合は、信頼できる証明書のリストにこの証明書を追加する前に、 \f2\-printcert\fP コマンドを実行してフィンガープリントを表示できます。たとえば、次のようにします。
 
  1714 まず、証明書の内容を表示し (\-printcert コマンドを使用するか、または \-noprompt オプションを指定しないで \-importcert コマンドを使用)、 コマンドを使用し、 表示された証明書のフィンガープリントが、期待されるフィンガープリントと一致するかどうかを確認します。たとえば、あるユーザーから証明書が送られてきて、この証明書を /tmp/cert という名前でファイルに格納しているとします。 この場合は、信頼できる証明書のリストにこの証明書を追加する前に、 \f2\-printcert\fP コマンドを実行してフィンガープリントを表示できます。たとえば、次のようにします。
 
  1715 .LP
 
  1715 .LP
 
  1716 .nf
 
  1716 .nf
 
  1717 \f3
 
  1717 \f3
 
  1718 .fl
 
  1718 .fl
 
  1719   keytool \-printcert \-file /tmp/cert
 
  1719   keytool \-printcert \-file /tmp/cert
 
  1742 .LP
 
  1742 .LP
 
  1743 .LP
 
  1743 .LP
 
  1744 次に、証明書を送信した人物に連絡し、この人物が提示したフィンガープリントと、上のコマンドで表示されたフィンガープリントとを比較します。フィンガープリントが一致すれば、送信途中でほかの何者か (攻撃者など) による証明書のすり替えが行われていないことを確認できます。送信途中でこの種の攻撃が行われていた場合、チェックを行わずに証明書をインポートすると、攻撃者によって署名されたすべてのもの (攻撃的意図を持つクラスファイルを含んだ JAR ファイルなど) を信頼することになります。
 
  1744 次に、証明書を送信した人物に連絡し、この人物が提示したフィンガープリントと、上のコマンドで表示されたフィンガープリントとを比較します。フィンガープリントが一致すれば、送信途中でほかの何者か (攻撃者など) による証明書のすり替えが行われていないことを確認できます。送信途中でこの種の攻撃が行われていた場合、チェックを行わずに証明書をインポートすると、攻撃者によって署名されたすべてのもの (攻撃的意図を持つクラスファイルを含んだ JAR ファイルなど) を信頼することになります。
 
  1745 .LP
 
  1745 .LP
 
  1746 .LP
 
  1746 .LP
 
  1747 注: 証明書をインポートする前に必ず \f2\-printcert\fP コマンドを実行しなければならないわけではありません。キーストア内の信頼できる証明書のリストに証明書を追加する前に \f2\-importcert\fP コマンドを実行すると、証明書の情報が表示され、確認を求めるメッセージが表示されます。インポート操作は、この時点で中止できます。ただし、確認メッセージが表示されるのは、\-importcert コマンドを \-noprompt オプションを指定せずに実行した場合だけです。 \f2\-noprompt\fP オプションが指定されている場合、ユーザーとの対話は行われません。
 
  1747 注: 証明書をインポートする前に必ず \f2\-printcert\fP コマンドを実行しなければならないわけではありません。キーストア内の信頼できる証明書のリストに証明書を追加する前に \f2\-importcert\fP コマンドを実行すると、証明書の情報が表示され、確認を求めるメッセージが表示されます。インポート操作は、この時点で中止できます。ただし、確認メッセージが表示されるのは、\-importcert コマンドを \-noprompt オプションを指定せずに実行した場合だけです。 コマンドを使用し、 \f2\-noprompt\fP オプションが指定されている場合、ユーザーとの対話は行われません。
 
  1748 .LP
 
  1748 .LP
 
  1749 .SS 
  1749 .SS 
  1750 パスワードに関する注意事項
 
  1750 パスワードに関する注意事項
 
  1751 .LP
 
  1751 .LP
 
  1752 .LP
 
  1752 .LP
jdk-sandbox