Your browser does not allow storing cookies. We recommend enabling them.

SSH Communications Security
PreviousNextUp[目次] [Index]

    SSH Tectia Clientのインストール >>
    はじめに >>
    SSH Tectia Client の構成 >>
    リモート ホストに接続する>>
    トラブルシューティング >>
    コマンドラインツール >>
        ssh2 >>
        scp2 >>
        sftp2 >>
        ssh-keygen2 >>
        ssh-cmpclient >>
        ssh-certview >>

以下のssh-cmpclientの例では、SSH Communications Security社により管理されているフリーなPKI相互接続サイトである ( を使用します。 コマンドをそのまま実行して、あなたのサーバのための証明書登録を 試すことができます。 ファイアウォール下の場合には、ssh-cmpclientへのSOCKSサーバURL を-Sオプションを使用して与える必要があります (例:-S。


この例では、証明書の初期登録について説明します。 ディジタル証明書は、 サイトから発行されたものを 使用します。 秘密鍵は、PKCS#8形式でプレインテキストファイル initial.prv に 格納します。登録された証明書は、initial-0.crt ファイルに格納 します。ユーザは、ID(refnum)62154 と鍵 ssh を使って CAから認証されます。 サブジェクト名、IPアドレス、および鍵使用目的フラグを指定します。 CAのアドレスは、 で、ポートは8080 です。 CAの名前は、Test CA 1 です。

$ ssh-cmpclient INITIALIZE ¥
   -P generate://pkcs8@rsa:1024/initial -o initial ¥
   -p 62154:ssh ¥
   -s 'C=FI,O=SSH,CN=Example/initial;IP=' ¥
   -u digitalsignature ¥ ¥
   'C=FI, O=SSH Communications Security Corp, CN=SSH Test CA 1 No Liabilities'

コマンドの結果として、ユーザに証明書が発行されます。 ユーザはyesをプロンプトに入力してそれを受け取ります。

Certificate =
  SubjectName = <C=FI, O=SSH, CN=Example/initial>
  IssuerName = <C=FI, O=SSH Communications Security Corp, 
    CN=SSH Test CA 1 No Liabilities>
  SerialNumber= 8017690
  SignatureAlgorithm = rsa-pkcs1-sha1
  Validity = ...
  PublicKeyInfo = ...
  Extensions =
      Viewing specific name types = IP =
    KeyUsage = DigitalSignature
    CRLDistributionPoints = ...
    AuthorityKeyID =
      KeyID = 3d:cb:be:20:64:49:16:1d:88:b7:98:67:93:f0:5d:42:81:2e:bd:0c
    SubjectKeyID =
      KeyId = 6c:f4:0e:ba:b9:ef:44:37:db:ad:1f:fc:46:e0:25:9f:c8:ce:cb:da
  Fingerprints =
    MD5 = b7:6d:5b:4d:e0:94:d1:1f:ec:ca:c2:ed:68:ac:bf:56
    SHA-1 = 4f:de:73:db:ff:e8:7d:42:c4:7d:e1:79:1f:20:43:71:2f:81:ff:fa

Do you accept the certificate above? yes


証明書が失効する前に、更新された有効期限を持つ新しい証明書を登録する 必要があります。ssh-cmpclientは鍵の更新をサポートしており、 新しい秘密鍵を生成され、鍵更新要求は古い(しかしまだ有効な)証明書 により認証されます。 古い証明書は新しい証明書発行の発行のテンプレートとしても使用され、 ユーザの識別情報は鍵更新においては変更されません。 以下のコマンドにより、先の例で登録した鍵ペアの更新ができます。 結果の証明書は省略しています。

$ ssh-cmpclient UPDATE ¥
   -k initial.prv -c initial-0.crt -P ¥
   generate://pkcs8@rsa:1024/updatedcert -o updatedcert ¥ ¥
   "C=FI, O=SSH Communications Security Corp, CN=SSH Test CA 1 No Liabilities"

新しい鍵ペアはupdatedcert をプレフィックスを持つファイルです。 ssh-cmpclientUPDATEモードで使用される場合、 発行するCAのポリシーは自動鍵更新を許可するようになっている必要があります。 SSH Tectia Certifierが提供するテストサイトであるpki.ssh.comは、 それまでに発行した証明書に基づく鍵の自動更新を許可するように設定されて います。

PreviousNextUp[目次] [Index]

[ サポート | フィードバック | SSH ホーム ページ | SSH 製品 ]

Copyright © 2005 SSH Communications Security Corp.
All rights reserved.


Highlights from the SSH.COM blog:

  • Cryptomining with the SSH protocol: what big enterprises need to know about it

    Cryptomining malware is primarily thought of as targeting desktops and laptops and is used to hijack system resources to mine cryptocurrency.
    Read more
  • SLAM the door shut on traditional privileged access management

    Did you know that something as trivial-sounding as granting access for your developers or third parties to a product development environment can throw a gorilla-sized monkey wrench into your operations and productivity?
    Read more
  • We broke the IT security perimeter

    Everyone understands the concept of a security perimeter. You only gain access if you are identified and authorized to do so.
    Read more