実稼働環境では、認証局 (CA) が署名した個人証明書を使用してください。
プリンシパルまたは CA の署名付き個人証明書の所有者は、CA がプリンシパル証明書に署名する際に、CA によって認証されています。
CA は、自己の秘密鍵を安全な状態に保持しているため、その署名証明書は、自己署名証明書よりさらに信頼に値するものです。
認証局は、他の組織に有効な証明書を発行する組織です。
よく知られている CA としては、VeriSign、Entrust、および GTE CyberTrust があります。
VeriSign など、一部の CA には、テスト用証明書または実稼働証明書を要求することができます。
始める前に
CA による認証プロセスは時間がかかる場合があります。
商用の CA では、認証プロセスを完了するのに 1 週間かかることも珍しくありません。オンサイトの CA であっても、認証プロセスを完了するには数分もしくは数時間、あるいは数日を要する場合があります。
したがって、必要な証明書を得るためには、計画を立てる必要があります。
CA 署名の証明書の計画を立てる場合は、以下の点に留意してください。
- CA に送信する証明書署名を要求する際に、証明書の共通名を指定します。
共通名は、証明書の 1 次ユニバーサル ID となります。
それが表すプリンシパルを一意的に識別するものでなければなりません。
共通名が、WebSphere Application Server ドメインに対して構成済みのユーザー・レジストリーで有効であることを確認してください。
- 証明書要求のためのアドレスの計画時に、
利用する CA が要求するアドレス・フィールドのフォーマットを確認します。
プロシージャー
- 証明書署名要求 (CSR) を作成して CA に送信します。
- CA の Web サイトへ移動し、
指示に従ってテスト用証明書または実稼働証明書を要求します。
結果
要求が受け入れられると、認証局は、要求者の ID を検査し、最後に要求者に署名証明書を発行します。
証明書は、通常、E メールで送信されます。
次の作業
WebSphere Application Server の実稼働環境用に、
トラステッド CA からの実稼働証明書を要求します。CA から E メールを受信したら、送信された指示に従って、署名証明書をファイルとして保管します。
その証明書を鍵ストア・ファイルに個人証明書として受け入れるか保管します。