Versions Compared

Old Version 1

changes.mady.by.user Rieko Saitoh

Saved on

compared with

New Version Current

changes.mady.by.user Rieko Saitoh

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

暗号化アルゴリズムと鍵のサイズを選択します。

この選択はアプリケーションの以下の内容によって異なります。

...

最近の標準では、現在、企業の使用に 1024 ビット、認証局が使用するルート キー ペアのように非常に重要な鍵には 2048 ビットの RSA 鍵サイズを推奨しています。

長い鍵サイズのほうがセキュアですが、セキュリティを増強するとパフォーマンスが低下します。

RSA モジュールを 2 倍にすると、処理の所要時間が 4 倍(公開鍵の操作 - 署名の検証、暗号化)と8倍(秘密鍵の操作 - 署名生成、復号化)に増加します。


暗号化アルゴリズムと鍵のサイズを設定

プロジェクト・ファイルを編集して、アルゴリズムや強度のプロパティを修正します。
strength=1024
algorithm=*RSA | *DSA
certificate.signing.algorithm=*MD5RSA | *SHA1RSA | *SHA1DSA
 

アルゴリズムが *RSA の場合、証明書の署名アルゴリズムには *MD5RSA または *SHA1RSA を選択します。

アルゴリズムが *DSA の場合、証明書の署名アルゴリズムには *SHA1DSA を選択します。

鍵アルゴリズムのデフォルトは *RSA です。

デフォルトの署名アルゴリズムは、鍵アルゴリズムに応じて *SHA1RSA または *SHA1DSA になります。


鍵の使用の拡張機能を設定

'extended.purpose' プロパティを含めることで、鍵の使用の拡張機能を証明書の要求とクライアント証明書に追加することができます。最高20個のプロパティを含めることができます。シーケンスナンバーは 1 で始まり 20 で終わります。

以下のように、拡張された鍵の使用を追加します。

  • サーバー認証 (1.3.6.1.5.5.7.3.1)
  • クライアント認証 (1.3.6.1.5.5.7.3.2)
  • コード署名 (1.3.6.1.5.5.7.3.3)
  • セキュアな電子メール (1.3.6.1.5.5.7.3.4)
  • タイム・スタンプ (1.3.6.1.5.5.7.3.8)
  • OCSP 署名 (1.3.6.1.5.5.7.3.9)

extended.purpose.1=1.3.6.1.5.5.7.3.1
extended.purpose.2=1.3.6.1.5.5.7.3.2
extended.purpose.3=1.3.6.1.5.5.7.3.3
extended.purpose.4=1.3.6.1.5.5.7.3.4
extended.purpose.5=1.3.6.1.5.5.7.3.8
extended.purpose.6=1.3.6.1.5.5.7.3.9
 


CRL配布の設定

CRL 配布の拡張機能を各証明書に含めることができます。

crl.distribution=http://www.mycompany.com/CRLList.crlImage Removed

crl.distribution=http://www.mycompany.com/crllist.htmlImage Removed  
SSL


 SSL 認証用サブジェクト代替名称の設定

各証明書ごとに SSL 認証のサブジェクト代替名リストを含めることができます。

SSL の信頼処理の一部として、SSL クライアント・プログラムは、受信した SSL 証明書のサブジェクト代替名フィールド内にリストされているドメインと接続ドメイン・ホストを比較することができます。

'ssl.addresses' プロパティを使用して、IP アドレスのリストを指定します。

ホスト・ドメイン名のリストを指定するには、'ssl.domains' プロパティを使用します。

ssl.addresses=10.2.0.173,10.2.0.174
ssl.domains=*.mycompany.com,support.mycompany.com,account.mycompany.com
 


PKI エディタ プロジェクトファイルの例

#JSFPKIEditorの最後の値
#GMT標準時2003年11月2日 日曜日22:34:20
ca.keystore=ca-key.der
ca.keystore.password=
ca.certificate=ca-cert.der
ca.expiry=1/1/2005
request.keystore=request-key.der
request.keystore.password=
request.certificate=request-cert.der
certificate=certificate.der
blank.password=*yes
algorithm=*RSA
strength=1024
certificate.signing.algorithm=*SHA1RSA
serial=75
days=365
location.organization=ACME Corporation
location.unit=Rocket Powered Systems
location.locality=Nevada Desert
location.state=NV
location.country=US
location.name=Road Runner
location.email=beepbeep@acme.com
extended.purpose.1=1.3.6.1.5.5.7.3.2
extended.purpose.2=1.3.6.1.5.5.7.3.1
 
以下のプロパティを設定するにはテキスト エディタを使用する必要があります。

strength=1024
algorithm=*RSA | *DSA
certificate.signing.algorithm=*MD5RSA | *SHA1RSA | *SHA1DSA
blank.password=*YES | *NO