外部の認証局 (CA) 証明書は、サーバーのデフォルト個人証明書として使用できます。CA 証明書は、CA クライアントを使用して作成できます。
始める前に
このタスクを実行する前に、以下を準備しておく必要があります。
- 証明書要求を送る認証局 (CA)。
- com.ibm.wsspi.ssl.WSPKIClient インターフェースを実装するモジュール。
このモジュールは、CA サーバーに接続して証明書を要求するために必要です。
管理コンソールを使用して CA クライアントを表示または変更します。
手順
- 「セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
- 「関連項目」の下で、「認証局 (CA) クライアント構成 (Certificate Authority (CA) client configurations)」をクリックします。既存の CA クライアントを示すパネルが表示されます。
- 「新規作成」ボタンをクリックします。
- 必要に応じて CA クライアントの情報を入力します。
- CA クライアントの名前。
- 管理有効範囲 (ドロップダウン・リストから選択)。
- 実装クラス。
- CA サーバーのホスト名。
- ユーザー名。
- パスワード。
- パスワードの確認。
- ポーリング回数。
- 証明書を要求するときのポーリング間隔 (分単位)。
- カスタム・プロパティー。
- 「適用」をクリックし、「保存」をクリックします。
- サーバーのデフォルト鍵ストアの個人証明書にナビゲートします。 「セキュリティー」>「SSL 構成および証明書管理」>「鍵ストアおよび証明書」>「<server_default_keystore>」。「追加プロパティー」の下で、「個人証明書」をクリックします。
- 「作成」ボタンをクリックし、「CA 署名付き証明書 (CA-signed certificate)」を選択します。
- 「CA 証明書」セクションに以下の情報を入力します。
- 「適用」をクリックし、「保存」をクリックします。
- サーバーのデフォルト鍵ストアの個人証明書にナビゲートします。 「セキュリティー」>「SSL 構成および証明書管理」>「鍵ストアおよび証明書」>「<server_default_keystore>」。「追加プロパティー」の下で、「個人証明書」をクリックします。
- サーバーのデフォルト個人証明書を選択して、「置換」ボタンをクリックします。
- 別名リストから CA 証明書の別名を選択します。
- 「適用」をクリックし、「保存」をクリックします。
タスクの結果
この CA 証明書の別名は、構成で参照される場所にあるデフォルト証明書の別名と置き換えられます。デフォルト証明書からのすべての署名者証明書は、CA 証明書からの署名者証明書で置き換えられます。