WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

Public Key Infrastructure のセットアップ

SSL 通信および Web サービス・セキュリティーを有効にするために、鍵ストア、トラストストア、パスワード、および証明書を構成します。

Public Key Infrastructure (PKI) の使用方法を決定します。 鍵ストアとトラストストアは、ブローカー・レベルまたは実行グループ・レベルのいずれかで構成できます。ブローカー・レベルで構成する場合は、ブローカーごとに、1 つの鍵ストア、1 つのトラストストア、1 つの個人証明書を構成します。実行グループ・レベルで構成する場合は、実行グループごとに、1 つの鍵ストア、1 つのトラストストア、1 つの個人証明書を構成します。 PKI を構成していない実行グループでは、ブローカー・レベルの PKI 構成を使用します。

暗号化強度

WebSphere® Message Broker Java™ ランタイム環境 (JRE) に、強力であるものの制限された強度の暗号化が提供されています。 鍵ストアに鍵をインポートできない場合は、暗号化の強度が制限されていることが原因である可能性があります。 strmqikm コマンドを使用して ikeyman を開始するか、または IBM® デベロッパー・キットのセキュリティー情報から無制限の管轄ポリシー・ファイルをダウンロードします。

重要: お客様の操作の起点となる当該国が、暗号化ソフトウェアのインポート、所有、使用、または他国への再輸出を制限している可能性があります。 無制限のポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律を確認してください。暗号化ソフトウェアのインポート、所有、使用、および再輸出に関する国の規制と政策を確認して、それが許されるかどうかを判断してください。既存の WebSphere Message Broker インストール済み環境にフィックスパックを適用すると JVM が上書きされることに注意してください。これには、更新済みのポリシー・セット・ファイルも含まれます。ブローカーを再始動する前に、これらのポリシー・セット・ファイルを復元する必要があります。

このトピックでは、コマンド行ツール gsk7cmd を使用して、鍵ストアとトラストストアを作成し、それぞれにデータを取り込みます。 gsk7cmd ツールは、WebSphere MQ で提供される Global Secure Toolkit に含まれています。 WebSphere Message Broker JVM で提供される他のオプションとしては、以下のようなオプションがあります。 インフラストラクチャーを作成するには、以下のタスクを実行します。
  1. 鍵ストア・ファイルまたはトラストストアの作成
  2. テスト用の自己署名証明書の作成
  3. 実動環境用の証明書のインポート
  4. 証明書の詳細の表示
  5. 証明書の抽出
  6. トラストストアへの署名者証明書の追加
  7. 鍵ストアに含まれているすべての証明書のリストの生成
  8. ブローカー・レベルでの PKI の構成
  9. ブローカー全体の HTTP リスナー用の PKI の構成
  10. 実行グループ内の組み込み HTTP リスナー用に PKI を構成

鍵ストア・ファイルまたはトラストストアの作成

鍵ストア・ファイルには、ブローカーまたは実行グループの個人証明書が格納されます。 鍵ストアに組み込める個人証明書は、1 つだけです。 同じファイルに署名者証明書を格納するか、トラストストアという別のファイルを作成することができます。

  1. JAVA_HOME 環境変数を設定します。 例えば、
    set JAVA_HOME=install_dir¥MQSI¥8.0\jre15
  2. 以下のコマンドを発行します。
    gsk7cmd -keydb -create
      -db keystore_name
      [-pw password]
      -type jks
    password 引数は、オプションです。 省略すると、パスワードを入力するためのプロンプトが出されます。 以下に例を示します。
    gsk7cmd -keydb -create
      -db myBrokerKeystore.jks
      -type jks
    A password is required to access this key database.
    Please enter a password:

テスト用の自己署名証明書の作成

自己署名証明書は、SSL をテストする場合にのみ使用します。実動環境では使用しません。

以下のコマンドを入力します。
gsk7cmd -cert -create
  -db keystore_name
  [-pw password] 
  -label cert_label
  -dn "distinguished_name"
以下に例を示します。
gsk7cmd -cert -create
  -db -myBrokerKeystore.jks
  -label MyCert
  -dn "CN=MyBroker.Server,O=IBM,OU=ISSW,L=Hursley,C=GB"
A password is required to access this key database.
Please enter a password:

実動環境用の証明書のインポート

認証局から実動環境用の個人証明書をインポートします。

以下のコマンドを発行します。
gsk7cmd -cert -import
  -db pkcs12_file_name
  [-pw pkcs12_password]
  -label label 
  -type pkcs12
  -target keystore_name
  [-target_pw keystore_password] 
以下に例を示します。
gsk7cmd -cert -import
  -db SOAPListenerCertificate.p12
  -label soaplistener
  -type pkcs12 
  -target myBrokerKeystore.jks
  -target_pw  myBrokerKpass
A password is required to access this key database.
Please enter a password:

証明書の詳細の表示

以下のコマンドを発行します。
gsk7cmd -cert -details
  -db keystore_name
  [-pw password]
  -label label
以下に例を示します。
gsk7cmd -cert -details
  -db myKeyStore.jks
  -label MyCert
A password is required to access this key database.
Please enter a password:

Label: MyCert
Key Size: 1024
Version: X509 V3
Serial Number: 4A D7 39 1F
Issued By: MyBroker.Server
ISSW
IBM
Hursley, GB
Subject: MyBroker.Server
ISSW
IBM
Hursley, GB
Valid From: 15 October 2009 16:00:47 o'clock BST To: 15 October 2010 16:00:47 o'
clock BST
Fingerprint: 98:5D:C4:70:A0:28:84:72:FB:F6:3A:D2:D2:F5:EE:8D:30:33:87:82
Signature Algorithm: 1.2.840.113549.1.1.4
Trust Status: enabled

証明書の抽出

信頼できる証明書 (または署名者証明書) としてトラストストア・ファイルにインポートできる自己署名証明書のコピーを生成します。 この手順は、テスト環境でのみ使用します。実動環境では使用しません。

証明書は、2 つのフォーマットで抽出できます。
  • Base64 エンコードの ASCII データ (.arm)。 このフォーマットは、XML メッセージに組み込んで、インターネット経由で送信するときに便利です。
  • バイナリー DER データ (.der)。
以下のコマンドを発行します。
gsk7cmd -cert -extract
  -db keystore_name
  -pw keystore_passwd
  -label label
  -target file_name
  [-format ascii | binary]
以下に例を示します。
gsk7cmd -cert -extract
  -db myBrokerKeystore.jks
  -pw myKeyPass
  -label MyCert 
  -target MyCert.arm
  -format ascii
その後、メモ帳などのテキスト・エディターで証明書を表示できます。
notepad MyCert.arm
-----BEGIN CERTIFICATE-----
MIICIzCCAYygAwIBAgIEStc5HzANBgkqhkiG9w0BAQQFADBWMQswCQYDVQQGEwJHQjEQMA4GA1UE
BxMHSHVyc2xleTEMMAoGA1UEChMDSUJNMQ0wCwYDVQQLEwRJU1NXMRgwFgYDVQQDEw9NeUJyb2tl
ci5TZXJ2ZXIwHhcNMDkxMDE1MTUwMDQ3WhcNMTAxMDE1MTUwMDQ3WjBWMQswCQYDVQQGEwJHQjEQ
MA4GA1UEBxMHSHVyc2xleTEMMAoGA1UEChMDSUJNMQ0wCwYDVQQLEwRJU1NXMRgwFgYDVQQDEw9N
eUJyb2tlci5TZXJ2ZXIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMwkK5kFLwC29YsHLXlf
hd0CgqFeytHlI0sZesdi8hEPXKsOzs3OQta2b0GZyUbBkh4tNeUHNWE9o7Hx2/SfziPQRKUw908R
F/6FPaHGezRkkaLJGX3uEhjt/2+n5tOJGytnKWaWJTpzdmZ79c0XjFvO83q3yXPYjKzq8rS1iVBf
AgMBAAEwDQYJKoZIhvcNAQEEBQADgYEAQEjpvZkjRcg3AHqY4RWbSMtXVWFFyoHSbjymR8IdURoQ
DCGZ2jsv3kxQLADaCXOBYgohGJAHS7PzkQoHUCiHR0kusyuAt1MNYbhEcs+BYAzvsSz1ay4oiqCw
Qs3aeNLVOb9c1RyzbuKYZl0uX59GAfGVLvyk6vQ/g7wPVL4TVgc=
-----END CERTIFICATE-----

トラストストアへの署名者証明書の追加

ブローカーまたは実行グループのトラストストアに署名者証明書を追加します。

抽出した証明書を署名者証明書としてトラストストア・ファイルに追加する手順を以下に示します。 ブローカーの自己署名証明書をブローカーまたは実行グループのトラストストアに追加すると、ブローカーまたは実行グループでフローを実行しているときに、要求ノード (HTTP または SOAP) から入力ノード (HTTP または SOAP) にテスト・メッセージを送信することが可能になります。

以下のコマンドを発行します。
gsk7cmd -cert -add
  -db truststore_name
  [-pw password]
  -label label 
  -file file_name
  -format [ascii | binary]
以下に例を示します。
gsk7cmd -cert -add
  -db myBrokerTruststore.jks
  -label CACert 
  -file TRUSTEDPublicCerticate.arm
  -format ascii
証明書の詳細を表示できます。
gsk7cmd -cert -details -db myBrokerTruststore.jks -label CACert
A password is required to access this key database.
Please enter a password:

Label: CACert
Key Size: 1024
Version: X509 V3
Serial Number: 49 49 23 1B
Issued By: VSR1BK
ISSW
IBM
GB
Subject: VSR1BK
ISSW
IBM
GB
Valid From: 17 December 2008 16:04:43 o'clock GMT To: 17 December 2009 16:04:43
o'clock GMT
Fingerprint: CB:39:E7:D8:1D:C0:00:A1:3D:B1:97:69:7A:A7:77:19:6D:09:C2:A7
Signature Algorithm: 1.2.840.113549.1.1.4
Trust Status: enabled

鍵ストアに含まれているすべての証明書のリストの生成

以下のコマンドを発行します。
gsk7cmd -cert -list
  -db keystore_name
以下に例を示します。
gsk7cmd -cert -list
  -db myBrokerKeystore.jks
A password is required to access this key database.
Please enter a password:

Certificates in database: myBrokerKeystore.jks
    verisign class 1 public primary certification authority - g3
    verisign class 4 public primary certification authority - g3
    verisign class 1 public primary certification authority - g2
    verisign class 4 public primary certification authority - g2
    verisign class 2 public primary certification authority
    entrust.net global client certification authority
    rsa secure server certification authority
    verisign class 2 public primary certification authority - g3
    verisign class 2 public primary certification authority - g2
    verisign class 3 secure server ca
    verisign class 3 public primary certification authority
    verisign class 3 public primary certification authority - g3
    verisign class 3 public primary certification authority - g2
    thawte premium server ca
    verisign class 1 public primary certification authority
    entrust.net global secure server certification authority
    thawte personal basic ca
    thawte personal premium ca
    thawte personal freemail ca
    verisign international server ca - class 3
    thawte server ca
    entrust.net certification authority (2048)
    cacert
    entrust.net client certification authority
    entrust.net secure server certification authority
    soaplistener
    mycert

ブローカー・レベルでの PKI の構成

鍵ストア・ファイルとトラストストア・ファイルの場所、名前、およびパスワードを指定するブローカー・レジストリー・プロパティーを定義します。

これらの設定は、ブローカー全体の HTTP リスナー、およびブローカー上の実行グループ内のすべての組み込み HTTP リスナーのデフォルト設定として使用されます。これらの設定は、ブローカー全体の HTTP リスナーについて (ブローカー全体の HTTP リスナー用の PKI の構成を参照)、および個別の組み込み HTTP リスナーについて (実行グループ内の組み込み HTTP リスナー用に PKI を構成を参照) オーバーライドできます。
  1. ブローカーを始動します。
    mqsistart broker_name
  2. ブローカー・レジストリー・プロパティーの現在の設定を表示します。
    mqsireportproperties broker_name 
      -o BrokerRegistry
      –r
  3. 鍵ストアのプロパティーを設定します。
    mqsichangeproperties broker_name
      -o BrokerRegistry
      -n brokerKeystoreFile
      -v install_dir¥MQSI¥8.0¥MyBrokerKeystore.jks
  4. トラストストアのプロパティーを設定します。
    mqsichangeproperties broker_name
      -o BrokerRegistry
      -n brokerTruststoreFile
      -v install_dir¥MQSI¥8.0¥MyBrokerTruststore.jks
  5. ブローカーを停止します。
    mqsistop broker_name
  6. 鍵ストアのパスワードを設定します。
    mqsisetdbparms broker_name
      -n brokerKeystore::password
      -u ignore
      -p keystore_pass
  7. トラストストアのパスワードを設定します。
    mqsisetdbparms broker_name
      -n brokerTruststore::password
      -u ignore
      -p truststore_pass
  8. ブローカーを始動します。
    mqsistart broker_name
  9. ブローカー・レジストリー・プロパティーを表示して検証します。
    mqsireportproperties broker_name
      -o BrokerRegistry 
      –r

ブローカー全体の HTTP リスナー用の PKI の構成

ブローカー全体の HTTP リスナーが鍵ストア・ファイルとトラストストア・ファイルの場所、名前、およびパスワードを識別するためのプロパティーを定義します。

これらの設定は、ブローカー・レベルで設定された PKI 構成をオーバーライドします。ブローカー全体の HTTP リスナーで SSL を有効にしたが、以下のプロパティーを設定していない場合は、ブローカー・レベルの設定が適用されます。ブローカー・レベルでの PKI の構成を参照してください。
  1. ブローカーを始動します。
    mqsistart broker_name
  2. ブローカー全体のリスナーのプロパティーの現在の設定を表示します。
    mqsireportproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -a
  3. 鍵ストアのプロパティーを設定します。
    mqsichangeproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -n keystoreFile 
      -v install_dir¥MQSI¥8.0¥MyBrokerKeystore.jks
  4. トラストストアのプロパティーを設定します。
    mqsichangeproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -n truststoreFile 
      -v install_dir¥MQSI¥8.0¥MyBrokerTruststore.jks
  5. ブローカーを停止します。
    mqsistop broker_name
  6. 鍵ストアのパスワードを設定します。
    mqsichangeproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -n keystorePass 
      -v keystore_pass
  7. トラストストアのパスワードを設定します。
    mqsichangeproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -n truststorePass 
      -v truststore_pass
  8. ブローカーを始動します。
    mqsistart broker_name
  9. ブローカー全体のリスナーのプロパティーを表示し、検証します。
    mqsireportproperties broker_name 
      -b httplistener 
      -o HTTPSConnector 
      -a

実行グループ内の組み込み HTTP リスナー用に PKI を構成

必要な実行グループの ComIbmJVMManager プロパティーを定義して、鍵ストア・ファイルとトラストストア・ファイルの場所、名前、およびパスワードを指定します。

これらの設定は、ブローカー・レベルで設定された PKI 構成をオーバーライドします。組み込み HTTP リスナーで SSL を有効にしたが、以下のプロパティーを設定していない場合は、ブローカー・レベルの設定が適用されます。ブローカー・レベルでの PKI の構成を参照してください。
  1. ブローカーを始動します。
    mqsistart broker_name
  2. ComIbmJVMManager プロパティーの現在の設定を表示します。
    mqsireportproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager 
      -r
  3. 鍵ストアのプロパティーを設定します。
    mqsichangeproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager
      -n keystoreFile 
      -v install_dir¥MQSI¥8.0¥MyExecGrpKeystore.jks
  4. 鍵ストアのパスワード・キーのプロパティーを設定します。 このプロパティーの値は、any_prefix_name::password という形式になります。 この値を使用して、mqsisetdbparms コマンドで定義するパスワードとの相関関係を指定します。
    mqsichangeproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager
      -n keystorePass
      -v exec_grp_nameKeystore::password
  5. トラストストアのプロパティーを設定します。
    mqsichangeproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager
      -n truststoreFile 
      -v install_dir¥MQSI¥8.0¥MyExecGrpTruststore.jks
  6. トラストストアのパスワード・キーのプロパティーを設定します。 このプロパティーの値は、any_prefix_name::password という形式になります。 この値を使用して、mqsisetdbparms コマンドで定義するパスワードとの相関関係を指定します。
    mqsichangeproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager
      -n truststorePass
      -v exec_grp_nameTruststore::password
  7. ブローカーを停止します。
    mqsistop broker_name
  8. 鍵ストアのパスワードを設定します。
    mqsisetdbparms broker_name
      -n exec_grp_nameKeystore::password
      -u ignore
      -p keystore_pass
  9. トラストストアのパスワードを設定します。
    mqsisetdbparms broker_name
      -n exec_grp_nameTruststore::password
      -u ignore
      -p truststore_pass
  10. ブローカーを始動します。
    mqsistart broker_name
  11. ComIbmJVMManager プロパティーを表示して検証します。
    mqsireportproperties broker_name
      -e exec_grp_name
      -o ComIbmJVMManager 
      -r

暗号スイートの要件 (暗号アルゴリズムや対応するキーの長さなど) については、Java Secure Socket Extension (JSSE) IBMJSSE2 プロバイダー・リファレンス・ガイドを参照してください。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:47:57


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | ap34020_