コード署名に必要なキーペアと証明書をロードします

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • コード署名を使用して、指定された非本番インスタンスで関係を確立します。この最初のステップでは、2 つの暗号化キーを非本番環境にロードして、本番インスタンスの更新用の信頼できるソースを確立します。

    始める前に

    必要なロール:sn_kmf.admin or sn_kmf.cryptographic_manager

    このタスクについて

    関係を確立する最初のステップは、コード署名を使用して、指定された非本番インスタンスで信頼基盤を確立することです。このタスクを実行するには、以下が必要です。
    • コード署名暗号化モジュールにロードするには、2 つの 4096 ビット RSA 公開鍵/秘密鍵のペアが必要です。
      • cm_code_signing暗号化モジュール用の 1 つのペア
      • cm_code_attest暗号化モジュール用の 1 つのペア

      これらのキーの詳細については、次のリンクを参照してください コード署名キーペアと証明書を作成する

      重要:
      これらのキーペアは、パブリック認証局によって署名されているか、組織の内部認証局によって署名されている必要があります。証明書を自己署名することはできません。
    • 配布証明書を含む公開鍵暗号化標準 #12 (.p12) ファイル

    手順

    1. キーストアからキーをインポートします。
      1. 移動先 すべて > キー管理 > 暗号化モジュール > すべて.
      2. cm_code_signing という名前の暗号化モジュールを見つけて開きます。
      3. [暗号化仕様] リストで、暗号化仕様の名前を選択して開きます。
      4. [キーストアからキーをインポート] 画面で、[キーのインポート] を選択します。
    2. 最初のステップを繰り返して、cm_code_attest という名前の暗号化モジュールをインポートします。
    3. [キーストアパスワードを入力してください] フィールドに、RSA 証明書の生成時に作成したチャレンジパスワードを入力します。
      注:
      作成したチャレンジパスワードは、ここではキーストアパスワードと呼ばれます。プロセスの他の部分では、これはインポートパスワードまたはエクスポートパスワードと呼ばれる場合があります。どの場合でも、このパスワードは前の手順で作成したチャレンジパスワードと同じです。
    4. [キーストア/証明書のインポート] の横にある [参照] ボタンを選択します。
    5. p12 ファイル (このドキュメントの上部にある「開始する前に」セクションで説明) を選択し、[すべてダウンロード] を選択します。
    6. [OK] を選択します。
      重要:
      独自の内部認証局を使用している場合は、ステップ 5 〜 6 のプロセスを使用して、内部認証局の中間証明書をアップロードする必要があります。
      キーと証明書のインポートが成功すると、確認メッセージが表示されます。

      キーと証明書が X.509 証明書 [sys_certificate] テーブルのインスタンスに存在することを検証できます。これらのレコードのタイプは [信頼ストア証明書]です。

      [暗号化モジュール] [sys_kmf_crypto_module] テーブルでキーを検証できます。

    次のタスク

    証明書を本番環境にエクスポートします。詳細については、「」を参照してください。