SSL 通信および Web サービス・セキュリティーを有効にするために、鍵ストア、トラストストア、パスワード、および証明書を構成します。
暗号化強度
WebSphere® Message Broker Java™ ランタイム環境 (JRE) に、強力であるものの制限された強度の暗号化が提供されています。 鍵ストアに鍵をインポートできない場合は、暗号化の強度が制限されていることが原因である可能性があります。 strmqikm コマンドを使用して ikeyman を開始するか、または IBM® デベロッパー・キットのセキュリティー情報から無制限の管轄ポリシー・ファイルをダウンロードします。
重要: お客様の操作の起点となる当該国が、暗号化ソフトウェアのインポート、所有、使用、または他国への再輸出を制限している可能性があります。 無制限のポリシー・ファイルをダウンロードまたは使用する前に、お客様の国の法律を確認してください。暗号化ソフトウェアのインポート、所有、使用、および再輸出に関する国の規制と政策を確認して、それが許されるかどうかを判断してください。既存の WebSphere Message Broker インストール済み環境にフィックスパックを適用すると JVM が上書きされることに注意してください。これには、更新済みのポリシー・セット・ファイルも含まれます。ブローカーを再始動する前に、これらのポリシー・セット・ファイルを復元する必要があります。
鍵ストア・ファイルには、ブローカーまたは実行グループの個人証明書が格納されます。 鍵ストアに組み込める個人証明書は、1 つだけです。 同じファイルに署名者証明書を格納するか、トラストストアという別のファイルを作成することができます。
自己署名証明書は、SSL をテストする場合にのみ使用します。実動環境では使用しません。
gsk7cmd -cert -create
-db keystore_name
[-pw password]
-label cert_label
-dn "distinguished_name"
以下に例を示します。
gsk7cmd -cert -create
-db -myBrokerKeystore.jks
-label MyCert
-dn "CN=MyBroker.Server,O=IBM,OU=ISSW,L=Hursley,C=GB"
A password is required to access this key database.
Please enter a password:
認証局から実動環境用の個人証明書をインポートします。
gsk7cmd -cert -import
-db pkcs12_file_name
[-pw pkcs12_password]
-label label
-type pkcs12
-target keystore_name
[-target_pw keystore_password]
以下に例を示します。
gsk7cmd -cert -import
-db SOAPListenerCertificate.p12
-label soaplistener
-type pkcs12
-target myBrokerKeystore.jks
-target_pw myBrokerKpass
A password is required to access this key database.
Please enter a password:
gsk7cmd -cert -details
-db keystore_name
[-pw password]
-label label
以下に例を示します。gsk7cmd -cert -details
-db myKeyStore.jks
-label MyCert
A password is required to access this key database.
Please enter a password:
Label: MyCert
Key Size: 1024
Version: X509 V3
Serial Number: 4A D7 39 1F
Issued By: MyBroker.Server
ISSW
IBM
Hursley, GB
Subject: MyBroker.Server
ISSW
IBM
Hursley, GB
Valid From: 15 October 2009 16:00:47 o'clock BST To: 15 October 2010 16:00:47 o'
clock BST
Fingerprint: 98:5D:C4:70:A0:28:84:72:FB:F6:3A:D2:D2:F5:EE:8D:30:33:87:82
Signature Algorithm: 1.2.840.113549.1.1.4
Trust Status: enabled
信頼できる証明書 (または署名者証明書) としてトラストストア・ファイルにインポートできる自己署名証明書のコピーを生成します。 この手順は、テスト環境でのみ使用します。実動環境では使用しません。
gsk7cmd -cert -extract
-db keystore_name
-pw keystore_passwd
-label label
-target file_name
[-format ascii | binary]
以下に例を示します。gsk7cmd -cert -extract
-db myBrokerKeystore.jks
-pw myKeyPass
-label MyCert
-target MyCert.arm
-format ascii
その後、メモ帳などのテキスト・エディターで証明書を表示できます。 notepad MyCert.arm
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
ブローカーまたは実行グループのトラストストアに署名者証明書を追加します。
抽出した証明書を署名者証明書としてトラストストア・ファイルに追加する手順を以下に示します。 ブローカーの自己署名証明書をブローカーまたは実行グループのトラストストアに追加すると、ブローカーまたは実行グループでフローを実行しているときに、要求ノード (HTTP または SOAP) から入力ノード (HTTP または SOAP) にテスト・メッセージを送信することが可能になります。
gsk7cmd -cert -add
-db truststore_name
[-pw password]
-label label
-file file_name
-format [ascii | binary]
以下に例を示します。gsk7cmd -cert -add
-db myBrokerTruststore.jks
-label CACert
-file TRUSTEDPublicCerticate.arm
-format ascii
証明書の詳細を表示できます。
gsk7cmd -cert -details -db myBrokerTruststore.jks -label CACert
A password is required to access this key database.
Please enter a password:
Label: CACert
Key Size: 1024
Version: X509 V3
Serial Number: 49 49 23 1B
Issued By: VSR1BK
ISSW
IBM
GB
Subject: VSR1BK
ISSW
IBM
GB
Valid From: 17 December 2008 16:04:43 o'clock GMT To: 17 December 2009 16:04:43
o'clock GMT
Fingerprint: CB:39:E7:D8:1D:C0:00:A1:3D:B1:97:69:7A:A7:77:19:6D:09:C2:A7
Signature Algorithm: 1.2.840.113549.1.1.4
Trust Status: enabled
gsk7cmd -cert -list
-db keystore_name
以下に例を示します。gsk7cmd -cert -list
-db myBrokerKeystore.jks
A password is required to access this key database.
Please enter a password:
Certificates in database: myBrokerKeystore.jks
verisign class 1 public primary certification authority - g3
verisign class 4 public primary certification authority - g3
verisign class 1 public primary certification authority - g2
verisign class 4 public primary certification authority - g2
verisign class 2 public primary certification authority
entrust.net global client certification authority
rsa secure server certification authority
verisign class 2 public primary certification authority - g3
verisign class 2 public primary certification authority - g2
verisign class 3 secure server ca
verisign class 3 public primary certification authority
verisign class 3 public primary certification authority - g3
verisign class 3 public primary certification authority - g2
thawte premium server ca
verisign class 1 public primary certification authority
entrust.net global secure server certification authority
thawte personal basic ca
thawte personal premium ca
thawte personal freemail ca
verisign international server ca - class 3
thawte server ca
entrust.net certification authority (2048)
cacert
entrust.net client certification authority
entrust.net secure server certification authority
soaplistener
mycert
鍵ストア・ファイルとトラストストア・ファイルの場所、名前、およびパスワードを指定するブローカー・レジストリー・プロパティーを定義します。
mqsistart broker_name
mqsireportproperties broker_name
-o BrokerRegistry
–r
mqsichangeproperties broker_name
-o BrokerRegistry
-n brokerKeystoreFile
-v install_dir¥MQSI¥8.0¥MyBrokerKeystore.jks
mqsichangeproperties broker_name
-o BrokerRegistry
-n brokerTruststoreFile
-v install_dir¥MQSI¥8.0¥MyBrokerTruststore.jks
mqsistop broker_name
mqsisetdbparms broker_name
-n brokerKeystore::password
-u ignore
-p keystore_pass
mqsisetdbparms broker_name
-n brokerTruststore::password
-u ignore
-p truststore_pass
mqsistart broker_name
mqsireportproperties broker_name
-o BrokerRegistry
–r
ブローカー全体の HTTP リスナーが鍵ストア・ファイルとトラストストア・ファイルの場所、名前、およびパスワードを識別するためのプロパティーを定義します。
mqsistart broker_name
mqsireportproperties broker_name
-b httplistener
-o HTTPSConnector
-a
mqsichangeproperties broker_name
-b httplistener
-o HTTPSConnector
-n keystoreFile
-v install_dir¥MQSI¥8.0¥MyBrokerKeystore.jks
mqsichangeproperties broker_name
-b httplistener
-o HTTPSConnector
-n truststoreFile
-v install_dir¥MQSI¥8.0¥MyBrokerTruststore.jks
mqsistop broker_name
mqsichangeproperties broker_name
-b httplistener
-o HTTPSConnector
-n keystorePass
-v keystore_pass
mqsichangeproperties broker_name
-b httplistener
-o HTTPSConnector
-n truststorePass
-v truststore_pass
mqsistart broker_name
mqsireportproperties broker_name
-b httplistener
-o HTTPSConnector
-a
必要な実行グループの ComIbmJVMManager プロパティーを定義して、鍵ストア・ファイルとトラストストア・ファイルの場所、名前、およびパスワードを指定します。
mqsistart broker_name
mqsireportproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-r
mqsichangeproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-n keystoreFile
-v install_dir¥MQSI¥8.0¥MyExecGrpKeystore.jks
mqsichangeproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-n keystorePass
-v exec_grp_nameKeystore::password
mqsichangeproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-n truststoreFile
-v install_dir¥MQSI¥8.0¥MyExecGrpTruststore.jks
mqsichangeproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-n truststorePass
-v exec_grp_nameTruststore::password
mqsistop broker_name
mqsisetdbparms broker_name
-n exec_grp_nameKeystore::password
-u ignore
-p keystore_pass
mqsisetdbparms broker_name
-n exec_grp_nameTruststore::password
-u ignore
-p truststore_pass
mqsistart broker_name
mqsireportproperties broker_name
-e exec_grp_name
-o ComIbmJVMManager
-r
暗号スイートの要件 (暗号アルゴリズムや対応するキーの長さなど) については、Java Secure Socket Extension (JSSE) IBMJSSE2 プロバイダー・リファレンス・ガイドを参照してください。