この記事ではCENM環境を使って、証明書失効リクエスト(CRR)送信ツール( crrsubmissiontool.jar)を使用する際のポイントについてご紹介します。
証明書失効リクエスト(CRR)送信ツールの目的は、CRRの作成プロセスを容易にすることです。このツールはIdentity Manager Service管理組織内での使用を想定しています。
【検証環境】
今回使用した検証環境は下記となります。
●Corda Enterprise Network Manager
・CENM 1.1
(Identity Manager Service , Signing Service , Network Map Service , PKIツール ,
証明書失効リクエスト送信ツール )
●Corda Enterprise
・CE 4.0
●プラットフォーム
・Ubuntu 18.04
・JDK 8u171
【検証ステップ】
証明書失効リクエスト送信ツール起動のための主要なステップは次の1~3になります。
1.CENMを使ってIdentity Manager Service、NetworkMap Service、Signing Serviceを通常構築する。
2.PKIツール構成ファイル(pkitool.conf)を編集する。
3.証明書失効リクエスト送信ツール起動する。
【各検証ステップのポイント】
各ステップのポイントを説明します。
1.Identity Managerの注意点
・H2DBを使用して検証を行う場合は、MVCC=TRUE( 未記載の場合 TRUE )の場合、エラーとなるので
データベースの接続詞にMVCC=FALSE を指定する。
・証明書失効リクエスト(CRR)送信ツール がリクエストする送信先は、identitymanager.confの
address(エンドポイント)となる。
2.PKIツールの前提
・PKIツールでの鍵生成の際に pkitool.confのcertificates属性 の crlDistributionUrl に
上記1で設定したidentitymanager.confのaddress(エンドポイント)を指定する。
※CRR時、検証環境では SSL 設定は必須では無いが、本番環境では必須となる。
3.証明書失効リクエスト送信ツール起動
java -jar crrsubmissiontool.jar --submission-url http://www.sample.com:port/certificate-revocation-request
※--submission-url で指定するIPアドレス及びポート は、Identity Manager Service のエンドポイントの
IPアドレス及びポートを指定する。
起動後の操作は以下の通りです。
①Type in certificate serial number (press enter if not available):
(証明書のシリアル番号、不明な場合はエンター押下により省略可能、本検証では省略)
②Type in certificate signing request ID (press enter if not available):
(証明書署名要求識別子、不明な場合はエンター押下により省略可能、本検証では省略)
③Type in node X.500 legal name (press enter if not available):O=Partyb, L=Tokyo, C=JP:
(失効されるノードの正式名称、不明な場合はエンター押下により省略可能
本検証ではO=Partyb, L=Tokyo, C=JPを指定)
④Select the reason for the revocation from the above list:4
(失効理由を選択、本検証では4を指定)
1. KEY_COMPROMISE
2. CA_COMPROMISE
3. AFFILIATION_CHANGED
4. SUPERSEDED
5. CESSATION_OF_OPERATION
6. PRIVILEGE_WITHDRAWN
⑤Type in reporter of the revocation request:DOORMAN
(レポーター:失効リクエストを発行する人の名前または識別子、通常はDOORMANを指定)
【ツール起動確認】
下記メッセージが表示されれば、証明書失効リクエスト(CRR)送信ツールの起動は成功です。
リクエストが送信されました。
Successfully submitted certificate revocation request. Generated request ID: DB99D0D7B292EAEF8EXXXXXXXXXXF1CEAF4FEFDE12A3CEXXXXXXXXXXB53B17AF
この後、Signer Service側でリクエストに対して署名が行われると失効手続きが完了します。
(新しいNetworkMapがNetwork内に配布されます。)
【関連公式ドキュメント】
https://docs.corda.net/docs/cenm/1.2/tool-crr-submission.html
https://docs.corda.net/docs/cenm/1.2/certificate-revocation.html
Created by: Yoshino
Updated: 2020/06/30