証明書で署名されたカスタム署名証明書と連携する集合のセットアップ

既存の集合セットアップを使用して、サード・パーティー証明書の新規セットと連携して機能するようにできます。カスタム識別名フォーマットの証明書を取得し、それを手動で置き換えます。

このタスクについて

カスタム証明書と連携するには、以下のイメージに示されている鍵ストアおよびトラストストアを変更する必要があります。

変更が必要な集合鍵ストアを表す図

手順

  1. サード・パーティー CA によって署名された 2 つの SSL 証明書を取得します。一方の証明書は集合コントローラー用、もう一方はすべての集合メンバー用であり、コントローラー個人証明書メンバー個人証明書と呼ばれます。 これらの証明書は、鍵ストア controller_pers_cert.jks および member_pers_cert.jks 内にあり、同じサード・パーティー CA で署名されていても、別々の CA で署名されていてもかまいません。
  2. コントローラー個人証明書とメンバー個人証明書の両方の署名者証明書を取得します。 これらの証明書は controller_signer_cert.cer ファイルおよび member_signer_cert.cer ファイル内にあります。
  3. 集合コントローラー側の構成を行います。
    1. ディレクトリー {controller_server_dir}/resources/collective に移動します。
    2. コントローラー個人証明書を serverIdentity.jks ファイルにインポートします。 JDK の一部として付属している keytool ユーティリティーを使用できます。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore controller_pers_cert.jks -destkeystore
                 serverIdentity.jks
    3. メンバー個人証明書のルート署名者を collectiveTrust.jks ファイルに追加します。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore
              collectiveTrust.jks -alias "MemberSignerAlias"
    4. ディレクトリー {controller_server_dir}/resources/security に移動します。
    5. コントローラー個人証明書のルート署名者を collectiveTrust.jks ファイルに追加します。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  
      serverIdentity.jks
    6. メンバー個人証明書のルート署名者を trust.jks ファイルに追加します。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  
      serverIdentity.jks
  4. 集合メンバー側の構成を行います。
    1. {member_server_dir}/resources/collective に移動します。
    2. 認証局で署名されたメンバー個人証明書を serverIdentity.jks ファイルに追加します。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  
      serverIdentity.jks
    3. コントローラー個人証明書のルート署名者を collectiveTrust.jks ファイルに追加します。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore
            collectiveTrust.jks -alias "MemberSignerAlias"
    4. {member_server_dir}/resources/security に移動します。
    5. コントローラー個人証明書のルート署名者を collectiveTrust.jks ファイルに追加します。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore
              collectiveTrust.jks -alias "ControllerSignerAlias"
    6. コントローラー個人証明書のルート署名者を trust.jks ファイルに追加します。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore
              trust.jks -alias "ControllerSignerAlias"
    注:

    集合コントローラーの rootkeys.jks ファイルは、他の集合参加操作に使用されます。このファイルは変更したり更新したりしないでください。集合ユーティリティーを使用して、証明書の受け入れ、コントローラーの作成、メンバーの参加を行うことはできません。手動で証明書を変更する必要があります。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: Thursday, 1 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_collect_setup_custom
ファイル名: twlp_collect_setup_custom.html