wsadmin ツールによる認証局証明書をデフォルトの証明書にするための設定

このトピックでは、外部の認証局 (CA) に個人証明書の作成を要求します。CA から証明書が戻り、鍵ストアに保存されたら、その証明書をサーバーのデフォルト個人証明書として使用できます。

始める前に

ご使用の環境で CA クライアント・オブジェクトを構成する必要があります。クライアント・オブジェクトには、サード・パーティーの CA サーバーに接続するために必要なすべての構成情報が含まれています。

このタスクについて

プロファイルの作成後、チェーニングされたデフォルトの個人証明書がシステムに割り当てられます。 以下のステップを実行して、外部 CA によって作成されたデフォルトの個人証明書を使用するように、アプリケーション・サーバーを変更します。

手順

  1. Jython スクリプト言語を使用する wsadmin スクリプト・ツールを起動します。詳しくは、『wsadmin スクリプト・クライアントの開始』を参照してください。
  2. ご使用の構成内に CA クライアントが存在するかどうかを検査します。 listCAClients コマンドを使用して、ご使用の環境を照会し、すべての既存の CA クライアントと構成属性を調べます。または、getCAClient コマンドを使用して、特定の CA クライアントの構成属性を戻します。listCAClients コマンドまたは getCAClient コマンドがどの属性も戻さない場合は、認証局クライアント・オブジェクトを作成してから残りのステップを実行して完了する必要があります。
    • 構成内のすべての CA クライアント・オブジェクトをリストします。
      listCAClients コマンドを使用して、ご使用の構成内にあるすべての CA クライアントをリストします。 -scopeName パラメーターに値を指定しない場合、このコマンドは、デプロイメント・マネージャー・プロファイルを使用している場合にはセルを照会し、アプリケーション・サーバー・プロファイルを使用している場合にはノードを照会します。以下の例に示すように、特定の有効範囲を使用せずに環境を照会する場合は、-all パラメーターを使用します。
      print AdminTask.listCAClients('-all true')
      以下の出力例に示すように、このコマンドは、属性リストの配列を戻し、CA クライアントごとに属性リストを 1 つ表示します。
      '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1)
      ] [scopeName (cell):myCell01] [name jenCAClient] [baseDn ] [_Websphere_Config_Da
      ta_Id cells/myCell01|security.xml#CAClient_1181834566881] [port 2950] [CACertifi
      cate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Webspher
      e_Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pa
      ssword ] [host ] ]'
      '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1)
      ] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphere_Config_Dat
      a_Id cells/myCell01|security.xml#CAClient_1181834566882] [port 2951] [CACertific
      ate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Websphere
      _Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pas
      sword ] [host ] ]'
    • 特定の CA クライアントの構成属性をリストします。
      以下の例に示すように、getCAClient コマンドを使用して、特定の認証局クライアントの属性のリストを表示します。
      print AdminTask.getCAClient('-caClientName myCAClient')
      以下の例に示すように、このコマンドは、特定の認証局クライアントの属性と値のペアを含む属性リストを戻します。
      '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementSc
      ope_1)] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphe
      re_Config_Data_Id cells/myCell01|security.xml#CAClient_1181834566882] [por
      t 2951] [CACertificate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [u
      serId ] [_Websphere_Config_Data_Type CAClient] [retryCheck 0] [properties ] [fre
      quencyCheck 0] [password ] [host ] ]'
  3. オプション: ご使用の環境内に認証局クライアントが存在しない場合は、CA クライアント・オブジェクトを構成します。
  4. オプション: 現行のデフォルトの個人証明書を表示します。
    以下の listPersonalCertificates コマンドを使用して、置換する現行のデフォルトの個人証明書を表示します。
    AdminTask.listPersonalCertificates('[-keyStoreName CellDefaultKeyStore -keyStoreScope (cell):myCell01]')
  5. CA からの証明書を要求します。
    現行のデフォルトの個人証明書を置換する前に、CA からの証明書を要求する必要があります。 証明書要求を新規に作成できます。または、createCertificateRequest コマンドを実行して事前定義の証明書要求を使用できます。 システムは、証明書要求と CA クライアント・オブジェクトからの CA 構成情報を使用して、CA からの証明書を要求します。 認証局から証明書が戻されると、requestCAcertificate コマンドは、証明書を指定された鍵ストアに保管し、メッセージ「COMPLETE」を戻します。
    表 1. 必須パラメーター. CA からの証明書を要求するには、requestCACertificate コマンドと以下の必須パラメーターを使用します。
    パラメーター 説明 データ型
    -certificateAlias 証明書の別名を指定します。事前定義された証明書要求を指定できます。 ストリング
    -keyStoreName CA 証明書を保管する鍵ストア・オブジェクトの名前を指定します。 listKeyStores コマンドを使用して、使用可能な鍵ストアのリストを表示します。 ストリング
    -caClientName CA 証明書の作成に使用された CA クライアントの名前を指定します。 ストリング
    -revocationPassword 後で証明書を取り消す際に使用するパスワードを指定します。 ストリング
    表 2. オプション・パラメーター. 以下のパラメーターを使用して、追加の証明書要求オプションを指定することもできます。 オプション・パラメーターを指定しない場合、コマンドはデフォルト値を使用します。
    パラメーター 説明 データ型
    -keyStoreScope 鍵ストアの管理有効範囲を指定します。 デプロイメント・マネージャー・プロファイルの場合、デフォルト値はセル有効範囲です。 アプリケーション・サーバー・プロファイルの場合、 デフォルト値はノードの有効範囲です。 ストリング
    -caClientScope CA クライアントの管理有効範囲を指定します。 デプロイメント・マネージャー・プロファイルの場合、デフォルト値はセル有効範囲です。 アプリケーション・サーバー・プロファイルの場合、 デフォルト値はノードの有効範囲です。 ストリング
    -certificateCommonName 証明書の完全識別名 (DN) の共通名 (CN) の部分を指定します。 この共通名は、人、企業、またはマシンを示すことができます。Web サイトの場合は通常、サーバーが置かれている DNS ホストの名前を共通名にします。 ストリング
    -certificateSize 証明書鍵のサイズを指定します。有効な値は、512102420484096 および 8192 です。 デフォルト値は 2048 です。 ストリング
    -certificateOrganization 識別名の組織を指定します。 ストリング
    -certificateOrganizationalUnit 識別名の組織単位を指定します。 ストリング
    -certificateLocality 識別名の場所を指定します。 ストリング
    -certificateState 識別名の都道府県を指定します。 ストリング
    -certificateZip 識別名の郵便番号を指定します。 ストリング
    -certificateCountry 識別名の国を指定します。 ストリング
    以下のコマンド構文の例を使用して、CA から証明書を要求します。
    AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName 
    CellDefaultKeyStore -caClientName myCAClient -revocationPassword revokeCApw 
    -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
    コマンドにより、Certificate COMPLETE または certificate PENDING の 2 つの値のどちらかが戻されます。コマンドが Certificate COMPLETE メッセージを戻した場合、要求した証明書が認証局から戻り、デフォルトの個人証明書が置き換えられます。コマンドが certificate PENDING メッセージを戻した場合は、認証局から証明書が戻されていません。 以下の例に示すように、queryCACertificate コマンドを使用して、証明書要求の現在の状況を表示します。
    AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName 
    CellDefaultKeyStore -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
  6. サーバーのデフォルトの個人証明書を置換します。
    以下の replaceCertificate コマンドの例は、既存のデフォルトの個人証明書を、新規に作成された CA 個人証明書に置換します。
    AdminTask.replaceCertificate('-keyStoreName CellDefaultKeyStore -certificateAlias
    defaultPersonalCertificate -replacementCertificateAlias newCertificate')
  7. 構成の変更を保存します。
    以下のコマンド例を使用して、構成変更を保存します。
    AdminConfig.save()

タスクの結果

サーバーのデフォルトの個人証明書は、外部の CA が作成した証明書です。

次のタスク

CA クライアント・オブジェクトが正常に作成された場合は、外部の CA が作成した個人証明書を使用するようにアプリケーション・サーバーを構成できます。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7percert
ファイル名:txml_7percert.html