[16.0.0.3 and later]

サード・パーティー証明書を使用した集合のセットアップ

コントローラーとメンバーの間の通信は SSL で保護されます。集合の各サーバーには、ホスト名、ユーザー・ディレクトリー、およびサーバー名で構成される独自の ID があります。集合の各サーバーには、 serverIdentity.jks および collectiveTrust.jks というデフォルトの名前を持つ 2 つの鍵ストアがあります。鍵ストアには、独自の ID を宣言して集合内の他のメンバーとコントローラーとの通信を安全に確立するために必要な、SSL 証明書が含まれています。アプリケーションが HTTPS インバウンド接続を確立できるように、各サーバーには、さらに、key.jks および trust.jks というデフォルトの名前を持つ 2 つの鍵ストアがあります。

始める前に

Liberty 集合を構成する必要があります。詳しくは、製品資料の Liberty 集合の構成および集合のセキュリティーを参照してください。

集合コントローラーと集合メンバーの間でセキュア SSL 接続を確立するために、一連の SSL 証明書が集合ユーティリティーによって作成されます。これらの証明書の該当する識別名 (DN) には、証明書の使用場所が集合コントローラー側か集合メンバー側かによって、OU=controllerRoot または OU=memberRoot が含まれます。これらはそれぞれ、集合またはメンバーの鍵ストアに追加されます。これらの証明書は、集合の中の異なる構成要素の間でセキュア SSL 接続が確実に確立されるようにします。

サード・パーティーの認証局 (CA) で署名された SSL 証明書を使用して、集合の中の異なる Liberty サーバーの間で同じ SSL セキュア接続を達成できます。

rootkeys.jks
この鍵ストアは、集合コントローラー側にのみ存在し、controllerroot および memberroot という別名を持つ 2 つの自己署名個人証明書を含みます。システムはこれらの証明書を、それぞれ、集合コントローラー個人証明書および集合メンバー個人証明書に署名するために使用します。
ヒント: コントローラーを作成した後に、オプションとして、rootkeys.jks 鍵ストア内の証明書を、認証局によって署名された独自の証明書に置き換えることができます。
serverIdentity.jks
この鍵ストアは、コントローラー側ではコントローラーの個人証明書を含み、メンバー側ではメンバーの個人証明書を含みます (これは集合作成操作中に自動的に作成されます)。デフォルトでは、rootKeys.jks 内で、コントローラー個人証明書は controllerroot によって署名され、メンバー個人証明書は memberroot によって署名されます。
collectiveTrust.jks
このトラストストアは、コントローラー個人証明書およびメンバー個人証明書に署名した署名者証明書を含みます。 例えば、controllerroot および memberroot です。
key.jks
この鍵ストアは、コントローラー側ではコントローラーの個人証明書を含み、メンバー側ではメンバーの個人証明書を含みます (これは集合作成操作中に自動的に作成されます)。デフォルトでは、 コントローラー個人証明書は controllerroot によって署名され、メンバー個人証明書は memberroot によって署名されます。
trust.jks
このトラストストアは、コントローラー個人証明書およびメンバー個人証明書に署名した署名者証明書を含みます。例えば、controllerroot および memberroot です。

次の図は、コントローラーおよびメンバーの証明書を表しています。

さまざまな鍵ストアを表す図。

このタスクについて

集合セットアップを構成および変更して、サード・パーティー認証局によって署名された SSL 証明書を使用できるようにします。サード・パーティー CA によって署名された SSL 証明書をサポートするため、新しい構成を server.xml ファイルに追加します。この構成は、集合操作に使用される証明書がデフォルトでない場合、それらの証明書を識別するために使用されます。

構成には以下が含まれます。
<collectiveCertificate rdn="name=value"></collectiveCertificate>.
name
証明書識別名のいずれかの属性名
value
識別名の rdn 属性値
例えば、ご使用の証明書の DN が DN: CN=companyName,OU=WebSphere,O=IBM, EMAIL=abcd@xyz.com と表示され、 EMAIL=abcd@xyz.com であるすべての証明書を集合証明書として識別したい場合、次の構成を使用します。
<collectiveCertificate rdn="EMAIL=abcd@xyz.com"></collectiveCertificate>

手順

  1. 新規集合を作成中のサード・パーティー証明書のセットアップ
  2. 既存の集合のサード・パーティー証明書のセットアップ

トピックのタイプを示すアイコン タスク・トピック

ファイル名: tagt_wlp_config_collective_3rd_party_cert.html