WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

WebSphere MQ Java クライアント用の SSL 証明書の作成

WebSphere® MQ Java™ クライアントは、 アプリケーションとキュー・マネージャーの間のサーバー接続 (SVRCONN) チャネル上で、SSL 暗号化接続をサポートします。 SSL 暗号化接続を構成するには、最初に鍵ストアおよび証明書を作成する必要があります。

始める前に:

WebSphere MQ キュー・マネージャーには、証明書のキー・リポジトリーが 1 つあります。 アプリケーションがセキュア・キュー・マネージャーに接続しようとする場合、アプリケーションの証明書をキュー・マネージャーの鍵リポジトリーの内容に照らして妥当性検査する必要があります。 キュー・マネージャー用の SSL を構成する場合の 1 つの選択肢として、自己署名証明書の使用が挙げられます。

2 つの証明書を作成して署名する必要があります。 1 つはサーバー・キュー・マネージャー用に作成し、もう 1 つはクライアント用に作成する必要があります (例えば、WebSphere Message Broker Explorer)。

このトピックの手順では、gsk7cmd コマンドを使用して証明書を作成および署名します。 コマンドで使用できるパラメーターの完全なリストを調べるには、gsk7cmd を実行します。 gsk7cmd コマンドを実行するには、以下のようにします。
  • Windows では、コマンド行で以下のコマンドを入力します。
    C:¥Program Files¥IBM¥gsk7¥bin¥gsk7cmd
  • Linux では、コマンド行で以下のコマンドを入力します。
    /opt/mqm/ssl/jre/bin/gsk7cmd
SSL について、および証明書の作成について詳しくは、WebSphere MQ セキュリティー資料を参照してください。

キュー・マネージャー用のサーバー証明書の作成

コマンド行で IBM 鍵管理ツールを使用して、キュー・マネージャー用の証明書を作成します。 次の例では、以下のパラメーターを独自の値に置換する必要があります。
password
証明書リポジトリーのパスワード。
qmname
証明書を作成するキュー・マネージャーの名前 (小文字)。
QMNAME
証明書を作成するキュー・マネージャーの名前 (大文字)。
  1. 以下のコマンドを実行して、タイプ cms の鍵リポジトリーを作成します。
    gsk7cmd
      -keydb-create
      -dbkey.kdb
      -pwPASSWORD
      -typecms -stash
    key.crlkey.kdbkey.rdb、および key.sth の鍵ファイルがそれぞれ作成されます。
  2. 以下のコマンドを実行して自己署名証明書を作成します。ここで、-dn フラグには組織の詳細が含まれます。
    gsk7cmd
      -cert-create
      -dbkey.kdb
      -pwPASSWORD
      -label"qmname"
      -dn"CN=My Queue Manager,O=My Company,C=UK"
      -expire1000
  3. 以下のコマンドを実行して、個人証明書の要求を作成します。
    gsk7cmd
      -certreq-create
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -dn"CN=My Queue Manager,O=My Company,C=UK"
      -fileQMNAME_request.arm
  4. 認証局を使用して証明書に署名します。
    • 認証局から証明書を取得するには、選択した認証局に証明書署名要求を含むファイルを送信する必要があります。
    • あるいは、コマンド行で IBM 鍵管理ツールを使用して、証明書に署名することもできます。
      gsk7cmd
        -cert-sign
        -dbkey.kdb
        -pwPASSWORD
        -label"qmname"
        -fileQMNAME_request.arm
        -targetQMNAME_signed.arm
        -expire364
  5. 以下のコマンドを実行して、署名済み証明書をリポジトリーに追加します。
    gsk7cmd
      -cert-receive
      -dbkey.kdb
      -pwPASSWORD
      -fileQMNAME_signed.arm
  6. 以下のコマンドを実行して、関連付けられている秘密鍵および公開 CA 証明書とともに、署名済みのクライアント・ユーザー ID を転送可能な形式 (この場合は PKCS12) でエクスポートします。
    gsk7cmd
      -cert-export
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -targetQMNAME_personal.p12
      -target_pwPASSWORD
      -target_typepkcs12
  7. リポジトリーから証明書を以下のように削除します。
    gsk7cmd
      -cert-delete
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
  8. QMNAME_CMS というサブディレクトリーを作成し、コマンド行でこのディレクトリーにナビゲートします。
  9. 以下のコマンドを実行して、証明書リポジトリーを QMNAME_CMS ディレクトリーに作成します。
    gsk7cmd
      -keydb-create
      -dbkey.kdb
      -pwPASSWORD
      -typecms –stash
  10. 以下のコマンドを実行して、PKCS12 ファイルをリポジトリーにインポートします。
    gsk7cmd
      -cert-import
      -file"QMNAME_personal.p12"
      -pwPASSWORD
      -typepkcs12
      -targetkey.kdb
      -target_pwPASSWORD
      -target_typecms
  11. ステップ 1 で鍵リポジトリーを作成した元のディレクトリーに戻ります。
次のセクションのステップに従って、WebSphere Message Broker Explorer 用のクライアント証明書を作成します。

WebSphere Message Broker Explorer 用のクライアント証明書の作成

コマンド行で IBM 鍵管理ツールを使用して、WebSphere Message Broker Explorer 用の証明書を作成します。 次の例では、以下のパラメーターを独自の値に置換する必要があります。
password
証明書リポジトリーのパスワード。
qmname
証明書を作成するキュー・マネージャーの名前 (小文字)。 これは、キュー・マネージャー用のクライアント証明を作成するためのステップで使用されるのと同じ値です。
USERID
証明書を作成するユーザー ID。
  1. 上記のステップ 1 でサーバー・キュー・マネージャー用の鍵リポジトリーを作成したディレクトリーで、以下のコマンドを実行してサーバー・キュー・マネージャー用に証明書に署名するようにとの要求 (秘密鍵および証明書の詳細) を作成します。
    gsk7cmd
      -certreq-create
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -dn"CN=userid@mycompany.com,O=My Company,C=UK"
      -fileUSERID_request.arm
  2. 以下のコマンドを実行して証明書に署名します。
    gsk7cmd
      -cert-sign
      -dbkey.kdb
      -pwPASSWORD
      -label"qmname"
      -fileUSERID_request.arm
      -targetUSERID_signed.arm
      -expire364
  3. 以下のコマンドを実行して、署名済み証明書をリポジトリーに追加します。
    gsk7cmd
      -cert-receive
      -dbkey.kdb
      -pwPASSWORD
      -fileUSERID_signed.arm
  4. 以下のコマンドを実行して、関連付けられている秘密鍵および公開 CA 証明書とともに、署名済みのクライアント・ユーザー ID を転送可能な形式 (この場合は pkcs12) でエクスポートします。
    gsk7cmd
      -cert-export
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
      -targetUSERID_personal.p12
      -target_pwPASSWORD
      -target_typepkcs12
  5. リポジトリーから証明書を以下のように削除します。
    gsk7cmd
      -cert-delete
      -dbkey.kdb
      -pwPASSWORD
      -label"ibmwebspheremqqmname"
  6. USERID_JKS というサブディレクトリーを作成し、コマンド行でこのディレクトリーにナビゲートします。
  7. 以下のコマンドを実行して、証明書リポジトリーを USERID_JKS ディレクトリーに作成します。
    gsk7cmd
      -keydb-create
      -dbkeyStore.jks
      -pwPASSWORD
      -typejks
  8. 以下のコマンドを実行して、pkcs12 ファイルをリポジトリーにインポートします。
    gsk7cmd
      -cert-import
      -file"USERID_personal.p12"
      -pwPASSWORD
      -typepkcs12
      -targetkeyStore.jks
      -target_pwPASSWORD
      -target_typejks"
  9. ステップ 1 で鍵リポジトリーを作成した元のディレクトリーに戻ります。

ここで、ファイルを Label_CMS ディレクトリーからキュー・マネージャーの SSL ディレクトリーにコピーする必要があります。 例えば、/var/mqm/qmgrs/QM1/ssl または C:¥Program Files¥IBM¥WebSphere MQ¥Qmgrs¥QM1¥ssl などです。 LABEL_JKS ディレクトリーの keystore.jks ファイルは、WebSphere Message Broker Explorer と同じマシン上に存在している必要があります。 さらに、AMQCLCHL.TAB ファイルを WebSphere Message Broker Explorer と同じシステム上にコピーする必要があります。 このファイルは、キュー・マネージャーの @ipcc ディレクトリーにあります (例えば、/var/mqm/qmgrs/QM1/@ipcc または C:¥Program Files¥IBM¥WebSphere MQ¥qmgrs¥QM1¥@ipcc)。

WebSphere Message Broker Explorer で SSL 設定を構成する場合、keystore.jks ファイルの絶対パスを指定する必要があります。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:49:26


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | bp10610_