コード署名に必要なキーペアと証明書をロードする

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • コード署名を使用して、指定された信頼できるインスタンスで関係を確立します。この最初のステップでは、2 つの暗号化キーを信頼できる環境にロードして、本番インスタンスを更新するための信頼できるソースを確立します。

    始める前に

    必要なロール:security_admin、sn_kmf.cryptographic_manager

    このタスクについて

    関係を確立するための最初のステップは、コード署名を使用して、指定された信頼できるインスタンスに信頼の基盤を確立することです。このタスクを実行するには、以下が必要です。
    • コード署名暗号化モジュールにロードするには、2 つの 4096 ビットの RSA 公開鍵/秘密鍵のペアが必要です。
      • cm_code_signing 暗号化モジュール用の 1 つのペア
      • cm_code_attest 暗号化モジュール用の 1 つのペア

      これらのキーの詳細については、「コード署名キーペアと証明書を作成する」を参照してください。

      重要:
      これらのキーペアは、パブリック認証局によって署名されているか、組織の内部認証局によって署名されている必要があります。証明書に自己署名することはできません。
    • リーフと中間証明書を含む公開鍵暗号化標準 #12 (.p12) ファイル

    手順

    1. キーストアからキーをインポートします。
      1. 次のように移動する。 All (すべて) > キー管理 > 暗号化モジュール > All (すべて).
      2. cm_code_signing という名前の暗号化モジュールを見つけて開きます。
      3. [暗号化仕様] リストで、暗号化仕様の名前を選択して開きます。
      4. [キーストアからキーをインポート] 画面で、[キーのインポート] を選択します。
    2. 最初のステップを繰り返して、cm_code_attest という名前の暗号化モジュールをインポートします。
    3. [キーストアパスワードを入力してください] フィールドに、RSA 証明書の生成時に作成したチャレンジパスワードを入力します。
      注:
      作成したチャレンジパスワードは、ここではキーストアパスワードと呼ばれます。プロセスの他の部分では、これはインポートパスワードまたはエクスポートパスワードと呼ばれる場合があります。どの場合でも、このパスワードは前の手順で作成したチャレンジパスワードと同じです。
    4. [キーストア/証明書のインポート] の横にある [参照] ボタンを選択します。
    5. 配布証明書を含む公開鍵暗号標準 #12 (.p12) ファイルを選択します (このドキュメントの上部にある「開始する前に」セクションで説明されています)。
    6. [OK] を選択します。
      重要:
      独自の内部認証局を使用している場合は、ステップ 5 ~ 6 のプロセスを使用して、内部認証局の中間証明書をアップロードする必要があります。
      キーと証明書のインポートが成功すると、確認メッセージが表示されます。

      キーと証明書が [X.509 証明書] [sys_certificate] テーブルのインスタンスに存在することを検証できます。これらのレコードのタイプは [信頼ストア証明書]です。

      [暗号化モジュール] [sys_kmf_crypto_module] テーブルでキーを検証できます。

    次のタスク

    証明書を本番環境にエクスポートします。詳細については、「信頼のサークル証明書の準備」を参照してください。