[index] CentreCOM AR550S コマンドリファレンス 2.9

CREATE PKI ENROLLMENTREQUEST

カテゴリー:PKI / 証明書発行要求

CREATE PKI ENROLLMENTREQUEST=csr-name KEYPAIR=key-id [FORMAT={DER|PEM|BASE64}] [LOCATION={hostname|ipadd}] [PROTOCOL={CMP|MANUAL}] [REFERENCENUMBER=refnum] [SECRETVALUE=password] [TYPE={PKCS10|PKIX}]

csr-name: 証明書発行要求名(1〜24文字。ただし、PROTOCOL=MANUALのときは1〜8文字)
key-id: 鍵番号(0〜65535)
hostname: ホスト名
ipadd: IPアドレス
refnum: 参照番号(1〜24文字)
password: パスワード(1〜24文字)

公開鍵証明書の発行要求を作成する。

発行要求は、自分の公開鍵ペアに対する公開鍵証明書の作成を認証局(CA)に依頼するためのもので、CMPプロトコルにより直接CAに送信する方法と、発行要求をファイルに書き出し手動でCAに渡す方法がある。

発行要求を作成するには、あらかじめSET SYSTEM DISTINGUISHEDNAMEコマンドで自分の識別名(DN)を設定しておく必要がある。



パラメーター

ENROLLMENTREQUEST: 個々の証明書発行要求を識別するための名前。手動方式では、この名前が発行要求ファイルのベースファイル名にもなる(名前がnameなら、ファイル名はname.csrとなる)。

KEYPAIR: 証明書の発行対象となるRSA鍵ペアの番号(CREATE ENCO KEYコマンドで指定した鍵番号)

FORMAT: 手動方式における、証明書発行要求ファイルのエンコード形式。DERはバイナリーのDER(Distinguished Encoding Rules)形式、PEMはBASE64エンコードし前後にマークを付けたPEM(Privacy Enhanced Mail)形式、BASE64は純粋なBASE64形式。本パラメーターは、PROTOCOLにMANUALを指定したときのみ有効。デフォルトはDER

LOCATION: CAのホスト名またはIPアドレス。PROTOCOLにCMPを指定したときのみ有効

PROTOCOL: 証明書発行要求をCAに提出する方法。CMPを指定した場合は、PKI Certificate Management Protocol(CMP)を使って直接CAに要求を送信する。MANUALを指定した場合は、発行要求をルーターのファイルシステム上にファイルとして書き出す。ファイル名は、ENROLLMENTREQUESTパラメーターで指定した名前をnameとして、「name.csr」の形式となる。手動の場合は、このファイルをなんらかの手段によってCAに送ることで証明書の発行を依頼する。デフォルトはCMP。

REFERENCENUMBER: CMPによる自動方式で必要な参照番号。CAの管理者によって指定されたものを入力する。手動方式の場合は不要。

SECRETVALUE: CMPによる自動方式で必要な承認コード(パスワード)。CAの管理者によって指定されたものを入力する。

TYPE: 証明書発行要求の形式。ファイルによる手動方式で使われるPKCS10(PKCS#10形式)と、CMPプロトコルで使用されるPKIX(RFC2511)形式がある。CMPを使うときはPKIXでなくてはならない。デフォルトはPKIX。



入力・出力・画面例 

PROTOCOL=MANUAL時に書き出される証明書発行要求ファイルの形式

■DER(Distinguished Encoding Rules)形式(バイナリーダンプ)
00000000  30 81 f9 30 81 84 02 01  00 30 00 30 7d 30 0d 06  |0..0.....0.0}0..|
00000010  09 2a 86 48 86 f7 0d 01  01 01 05 00 03 6c 00 30  |.*.H.........l.0|
00000020  69 02 61 00 bf 65 95 3e  4f 79 9c c9 02 40 74 9f  |i.a..e.>Oy...@t.|
00000030  83 e9 47 bc de b2 06 6e  93 7f 96 16 f5 27 0a 0f  |..G....n.....'..|
00000040  cc 54 6b 92 f7 09 b9 b3  c3 6a 62 f2 c5 19 61 79  |.Tk......jb...ay|
00000050  c6 3b 35 e2 11 a1 32 60  6e f4 24 9b aa 78 61 a9  |.;5...2`n.$..xa.|
00000060  24 f4 24 05 92 39 ba a4  2d e0 d5 55 fc fc b7 10  |$.$..9..-..U....|
00000070  c5 92 d8 df 52 c4 c9 8e  cf 27 5e dd 43 8c f0 7f  |....R....'^.C...|
00000080  e2 de 6a 7d 02 04 00 01  00 01 30 0d 06 09 2a 86  |..j}......0...*.|
00000090  48 86 f7 0d 01 01 05 05  00 03 61 00 0c c5 94 b3  |H.........a.....|
000000a0  d6 0f b7 cb 71 de 0e cf  db d9 78 6c cf 09 3b 2a  |....q.....xl..;*|
000000b0  10 34 b2 c9 f3 0b 8e 62  6b 3f 7b 5c 94 a8 a5 eb  |.4.....bk?{\....|
000000c0  40 48 5a dd 57 34 06 a5  e4 3e 7c b8 56 ab 1f 00  |@HZ.W4...>|.V...|
000000d0  6e a5 90 34 d5 92 33 af  74 22 54 02 63 86 a7 90  |n..4..3.t"T.c...|
000000e0  74 f8 ae 89 bf 4b bb 7a  a2 49 29 bc e4 92 64 6e  |t....K.z.I)...dn|
000000f0  b4 90 40 a9 bc ff 18 68  ec 85 32 02              |..@....h..2.|
000000fc

■PEM(Privacy Enhanced Mail)形式
-----BEGIN CERTIFICATE REQUEST-----
MIH5MIGEAgEAMAAwfTANBgkqhkiG9w0BAQEFAANsADBpAm
EAv2WVPk95nMkCQHSfg+lHvN6yBm6Tf5YW9ScKD8xUa5L3
Cbmzw2pi8sUZYXnGOzXiEaEyYG70JJuqeGGpJPQkBZI5uq
Qt4NVV/Py3EMWS2N9SxMmOzyde3UOM8H/i3mp9AgQAAQAB
MA0GCSqGSIb3DQEBBQUAA2EADMWUs9YPt8tx3g7P29l4bM
8JOyoQNLLJ8wuOYms/e1yUqKXrQEha3Vc0BqXkPny4Vqsf
AG6lkDTVkjOvdCJUAmOGp5B0+K6Jv0u7eqJJKbzkkmRutJ
BAqbz/GGjshTIC
-----END CERTIFICATE REQUEST-----

■Base64形式
MIH5MIGEAgEAMAAwfTANBgkqhkiG9w0BAQEFAANsADBpAm
EAv2WVPk95nMkCQHSfg+lHvN6yBm6Tf5YW9ScKD8xUa5L3
Cbmzw2pi8sUZYXnGOzXiEaEyYG70JJuqeGGpJPQkBZI5uq
Qt4NVV/Py3EMWS2N9SxMmOzyde3UOM8H/i3mp9AgQAAQAB
MA0GCSqGSIb3DQEBBQUAA2EADMWUs9YPt8tx3g7P29l4bM
8JOyoQNLLJ8wuOYms/e1yUqKXrQEha3Vc0BqXkPny4Vqsf
AG6lkDTVkjOvdCJUAmOGp5B0+K6Jv0u7eqJJKbzkkmRutJ
BAqbz/GGjshTIC



RSA鍵ペア「0」に対する公開鍵証明書の発行をCA「192.168.10.5」に要求する。要求は、PKIX-CMPプロトコルを使って直接CAに送信する。
CREATE PKI ENROLL=mycert PROT=CMP KEYPAIR=0 REF=98765432 SEC=ABCDEFGH LOC=192.168.10.5

 RSA鍵ペア「0」に対する公開鍵証明書の発行要求ファイルを作成する。ファイル形式はPKCS#10で、メール添付用のPEMエンコーディングを指定する。ファイルは「mycerreq.csr」の名前で作成される。このファイルをCAに送ることで鍵ペア「0」の証明書発行を依頼できる。
CREATE PKI ENROLL=mycerreq PROT=MANUAL KEYPAIR=0 FORMAT=PEM TYPE=PKCS10



備考・注意事項

本コマンドは設定ファイルに記述しても無効なので注意。

Entrust社のCAでは、承認コードが「XXXX-XXXX-XXXX」のような形式だが、SECRETVALUEパラメーターで指定するときはハイフンと最終桁のチェックコードは入力しなくてよい。



関連コマンド

DESTROY PKI ENROLLMENTREQUEST
SET SYSTEM DISTINGUISHEDNAME
SHOW PKI ENROLLMENTREQUEST



参考

RFC1779, A String Representation of Distinguished Names
RFC2459, Internet X.509 Public Key Infrastructure Certificate and CRL Profile

(C) 2005-2014 アライドテレシスホールディングス株式会社

PN: J613-M0710-03 Rev.K