PKCS #12 証明書の変換

前提条件

エクスポートした PKCS #12 ファイルを変換するには、OpenSSL ユーティリティ openssl.exe が必要です。このユーティリティをまだ利用できない場合は、DemoCA_setup.msi を実行して Micro Focus Demo CA ユーティリティをインストールすると、OpenSSL ユーティリティもインストールされます。OpenSSL ユーティリティをシステムの PATH 環境変数に追加したことを確認してください。DemoCA のインストール方法の詳細については、「Installing Micro Focus Demo CA」を参照してください。DemoCA の一部として OpenSSL をインストールする場合、通常のインストール ディレクトリは C:\Program Files (x86)\Micro Focus\DemoCA です。

証明書の変換

1. RACF で生成された PKCS #12 ファイルを base64 からバイナリに変換します。Enterprise Developer command promptで、次のように入力します。

   openssl base64 -d -a -in <PKCS#12file> -out <PKCS#12file.bin>

   注: openssl 構成ファイルを開くことができないという警告は無視してください。
2. 有効な PKCS #12 形式であることを確認するために、出力された証明書を検証します。検証を実行するには、次のように入力します。

   openssl pkcs12 -in <PKCS#12file.bin> -noout

   次のメッセージが表示されます。

   Enter Import Password:

3. 証明書のパス フレーズを入力します。これはシステム プログラマから提供されます。証明書の検証が完了すると、次のメッセージが表示されます。

   MAC verified OK

4. 検証した PKCS #12 バイナリ証明書を PEM 形式に変換するには、次のように入力します。

   openssl pkcs12 -in <PKCS#12file.bin> -out <PKCS#12file.pem>

   次のメッセージが表示されます。

   Enter Import Password:

   前の手順で使用した証明書のパス フレーズを入力します。

   PEM 証明書の新しいパス フレーズを入力するように求められます。

   Enter PEM pass phrase:

   注: PEM 証明書に使用するパス フレーズは記録しておいてください。
5. PEM 証明書の内容を 3 つの個別のファイルに分ける必要があります。テキスト エディターで PKCS #12 PEM ファイルを開き、ファイルの各セクションをそれぞれのファイルにコピーします。

   1. 最初のブロックはルート証明書です。開始マーカーから終了マーカーまでのテキストをマーカーも含めてコピーします。

      -----BEGIN CERTIFICATE-----
      MIICIzCCAYygAwIBAgIBADANBgkqhkiG9w0BAQUFADAUMRIwEAYDVQQDEwl6MTE0
      IFJBQ0YwHhcNMTUwNDMwMDQwMDAwWhcNMjAwNTAxMDM1OTU5WjAUMRIwEAYDVQQD
      Ewl6MTE0IFJBQ0YwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAM1/erilx5sW
      rLh33cEg2rcG5ParEOl3gGc0DmNNFzzldAFje8hMyTfrONUtOaP071o9MrTNXqYl
      s1XxMi5FTWRdpyaCpVoz/SijfDcZn5yhHS4MnjHJMSIGGmdL6GWRI8b6XOQAb/NT
      49rGUyZ7AEesOcFzP5QJPHUHY7uq35ONAgMBAAGjgYQwgYEwPwYJYIZIAYb4QgEN
      BDIWMEdlbmVyYXRlZCBieSB0aGUgU2VjdXJpdHkgU2VydmVyIGZvciB6L09TIChS
      QUNGKTAOBgNVHQ8BAf8EBAMCAQYwDwYDVR7TAQH/BAUwAwEB/zAdBgNVHQ4EFgQU
      iR3ggglnf2gzjIINBnXt0pLsqC0wDQYJKoZIhvcNAQEFBQADgYEAmIxFhG//qowm
      etlJFYgmlSljwJ8ADUHK7vokLTTloSdcqPkkfLwRMINu0EFqrQAwy3JhSB3CqWWI
      j6Dzi4vco87LQ3K7xZz6YswhE+6/JowDIijR7eEXBdNYgn/9RzWyz9/gLrSL/wBO
      9pubetQcKseLbJ5Be/q3Frm7GnLjoYs=
      -----END CERTIFICATE-----
      

      コピーしたテキストをファイルに貼り付け、内容を明確に識別できるように servername-root-cert.pem のような名前を付けて保存します。

   2. 2 番目のブロックはユーザー証明書です。2 番目の開始マーカーから終了マーカーまでのテキストをマーカーも含めてコピーします。

      コピーしたテキストをファイルに貼り付け、内容を明確に識別できるように servername-user-cert.pem のような名前を付けて保存します。

   3. 3 番目のブロックは秘密鍵です。3 番目の開始マーカーから終了マーカーまでのテキストをマーカーも含めてコピーします。

      コピーしたテキストをファイルに貼り付け、内容を明確に識別できるように servername-user-key.pem のような名前を付けて保存します。

6. 秘密鍵ファイルは、PEM から DER に形式を変換する必要があります。Enterprise Developer command promptで、次のように入力します。

   openssl pkcs8 -topk8 -nocrypt -in <servername-user-key.pem> -out <servername-user-key.der> -outform der

   PEM 証明書の新しいパス フレーズを入力するように求められます。

   Enter pass phrase for servername-user-key.pem:

   新しいパス フレーズを使用することも、PKCS #12 ファイルで指定された元のパス フレーズを再利用することもできます。

   これで、次の 3 つのファイルが作成されました。

   • servername-root-cert.pem
   • servername-user-cert.pem
   • servername-user-key.der