EINS/PKI+ 電子証明書発行サービス

サーバ証明書インストール手順（Tomcat）

証明書ファイルの作成

(1) サーバ証明書ファイルをダウンロードします。

マイページにログインいただき、 インストールさせるサーバ証明書を選んでダウンロードしてください。
ファイル名は任意のものを指定します。（例：web.cer）

(2) 中間認証局証明書ファイルをリポジトリからダウンロードして保存してください。

パブリックWebサーバ証明書	EINS/PKI for EDI
こちらより中間認証局証明書をダウンロードします。	こちらより中間認証局証明書をダウンロードします。

ダウンロードした中間認証局証明書ファイルを任意のファイル名で保存します。(例：chain_ca.cer)

(3) 証明書ファイルをサーバに配置します。

(1)、(2)で作成した証明書ファイルをWebサーバの任意のディレクトリに保存します。

証明書のインストール

(1) サーバ証明書と中間認証局証明書を一つのファイルにします。

次のコマンドを実行して、ダウンロードしたサーバ証明書（例：web.cer）と中間認証局証明書（例: chain_ca.cer）の2つをつないでください 。

# cat web.cer chain_ca.cer >combined.cer

(2) 中間認証局証明書とサーバ証明書をインストールします。

次のコマンドを実行して、サーバ証明書と中間認証局証明書をインストールします。

# keytool -import -alias ＜キーストアファイル作成時に指定したエイリアス名＞ -keystore ＜キーストアファイル名＞ -file ＜(1)で作成したファイル名＞

入力例：

# keytool -import -alias einspki -keystore /your/keystore/filename -file combined.cer

(3) プロンプトが表示されたら、パスワードを入力してください。

Enter keystore password:　******** ← キーストア作成時に指定したパスフレーズを入力します

(4) 次のようなプロンプトが表示された場合には「yes」 と入力してください。 を入力してください。

【例：パブリックWebサーバ証明書（OV）】

Top-level certificate in reply: Owner: CN=Cybertrust Japan SureServer CA G4, O=Cybertrust Japan Co., Ltd., C=JP Issuer: OU=Security Communication RootCA2, O=SECOM Trust Systems CO.,LTD., C=JP Serial number: 22b9b1630cecb43c2e Valid from: Fri Sep 27 10:54:23 JST 2019 until: Tue May 29 14:00:39 JST 2029 Certificate fingerprints: MD5: 8B:A0:C2:35:96:0C:69:E3:13:86:D7:55:60:F1:30:AB SHA1: F6:95:C5:B4:03:7A:E8:EA:E5:1E:A9:43:A4:F5:4D:75:0E:0D:A6:09 SHA256: 02:07:05:6D:17:2C:80:BD:FB:6D:C4:5B:E9:E5:80:88:46:07:8D:1E:6E:EF:1B:6E: D7:02:59:AB:33:2A:64:C1 … is not trusted. Install reply anyway? [no]: yes

[Certificate reply was installed in keystore]と表示されることを確認してください。

SSLの有効化

(1) server.xmlファイルの設定変更。

Tomcatの設定ファイル（server.xml）を以下の通り設定変更します。

maxThreads=”150″ scheme=”https” secure=”true” clientAuth=”false” sslProtocol=”TLS” keystoreFile=“キーストアファイルのディレクトリ” keystorePass=“キーストアファイルのパスワード”

注意: キーストアのパスワードは、 server.xmlファイルに平文で指定します。 パスワードや秘密鍵が他人に漏洩しないよう、 このファイルやconfディレクトリの許可モードなどにご注意ください。

(2) Tomcatの再起動。

Tomcatが既に起動している場合は、設定ファイルの変更内容を反映するために一旦 Tomcatを停止して再起動します。

# ＜Apacheインストールディレクトリ＞/bin/catalina.sh stop (Tomcatの停止) # ＜Apacheインストールディレクトリ＞/bin/catalina.sh start (Tomcatの起動)

(3) SSL接続の確認を行ないます。

ブラウザを起動し、「https:// 」から開始するURLにアクセスして画面が表示されることをご確認ください。
また、下図のようなブラウザの鍵マークのアイコンをクリックし、証明書ファイルが正常に表示されることをご確認ください。

以上で、証明書のインストールは完了です。

証明書・秘密鍵のバックアップ

Webサーバ上に配置したキーストアファイルは、 Webサーバがなんらかの要因により障害となった場合に証明書・秘密鍵を復旧するために必要となりますので、別の媒体にコピーして保存してください。
また、セキュリティ上最も重要な情報が含まれていますので、メールで送付するなど、外部へ流出することがないように充分にご注意ください。