署名者証明者は、サーバーとのトラストを確立するために、SSL 通信のクライアント側の鍵ストアに追加されます。鍵ストアの作成時には、トラストを確立するのが一般的な手法です。新規作成された鍵ストアでトラストをデフォルトで確立するために使用される署名者証明書を保持するため、デプロイメント・マネージャーには DmgrDefaultSignersStore が、スタンドアロンのアプリケーション・サーバーには NodeDefaultSignersStore が作成されます。
始める前に
デフォルトの署名者鍵ストアは、プロファイル作成時に作成され、サーバーのデフォルト・ルート証明書の署名者証明書が含まれています。
その他の署名者証明書は、デフォルトの署名者鍵ストアにいつでも追加できます。管理コンソールを使用して、
またはスクリプトで
createKeyStore AdminTask オブジェクトを使用して鍵ストアを作成すると必ず、
デフォルトの署名者ストアのすべての署名者証明書が、新規作成された鍵ストアに
追加されます。
代替方法: - wsadmin ツールを使用して署名者証明書をデフォルトの署名者鍵ストアに追加するには、
AdminTask オブジェクトの addSignerCertificate コマンドを使用します。
- wsadmin ツールを使用して新規鍵ストアを作成するには、
AdminTask オブジェクトの createKeyStore コマンドを使用します。
- wsadmin ツールを使用して、個人証明書から署名者を抽出するには、
AdminTask オブジェクトの extractCertificate コマンドを使用します。
- wsadmin ツールを使用して署名者証明書を交換するには、
AdminTask オブジェクトの KeyStoreCommands コマンド・グループを使用します。
詳しくは、AdminTask オブジェクトの SignerCertificateCommands コマンドおよび AdminTask オブジェクトの KeyStoreCommands
コマンド・グループの項を参照してください。
手順
- 証明書が証明書ファイル内に存在する場合は、管理コンソールを使用してデフォルトの署名者鍵ストアに追加できます。
- 「セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
- 「関連項目」において、
「鍵ストアおよび証明書」をクリックします。
- c. 「鍵ストアの使用 (KeyStore Usages)」で「デフォルト署名者鍵ストア (Default signers keystore)」を選択します。パネルに鍵ストアのリストが表示されます。
- 「DmgrDefaultSignersStore」をクリックします。
- 「追加プロパティー」の下で、「署名者証明書」をクリックします。
- 「追加」をクリックします。
- 別名ボックスに別名を入力し、ファイル名ボックスに証明書ファイルへのパスと
アスタリスク (•) 1 つを入力します。「データ・タイプ」ボックスのプルダウン・リストから、証明書ファイルのフォーマットを選択します。
- 「適用」をクリックし、「保存」をクリックします。
注: この追加操作は、AdminTask「addSignerCertificate」を使用して実行することもできます。
- 個人証明書の署名者証明書フォームをデフォルトの署名者鍵ストアに追加する必要がある場合は、個人証明書の署名者を証明書ファイルに抽出するか、署名者をデフォルトの署名者鍵ストアに直接抽出することができます。個人証明書から証明書ファイルに署名者証明書を抽出するには、以下のステップを実行します。
- 「セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
- 「関連項目」において、
「鍵ストアおよび証明書」をクリックします。
- c. 「鍵ストアの使用 (Keystore Usages)」で「すべて」を選択します。パネルに鍵ストアのリストが表示されます。
- 鍵ストアの名前をクリックします。
- 「追加プロパティー」の下の「個人証明書」をクリックします。
- 個人証明書を選択します。
- 「抽出」をクリックします。
- 「Certificate file name」ボックスに証明書ファイルへのパスを入力し、「データ・タイプ」ボックスのプルダウン・リストからフォーマット・タイプを選択します。
- 「適用」をクリックし、「保存」をクリックします。
- ステップ 1 に従って、デフォルトの署名者鍵ストアに署名者を追加できます。
注: スクリプトおよび AdminTask「extractCertificate」を使用して個人証明書から署名者を抽出することもできます。
- 署名者証明書をデフォルトの署名者鍵ストアに抽出するために、管理コンソールで署名者証明書の交換を実行できます。
- 「セキュリティー」>「SSL 証明書および鍵管理」とクリックします。
- 「関連項目」において、
「鍵ストアおよび証明書」をクリックします。
- c. 「鍵ストアの使用 (Keystore Usages)」で「すべて」を選択します。パネルに鍵ストアのリストが表示されます。
- デフォルトの署名者鍵ストアと、必要とされる署名者証明書を持つ個人証明書を含む鍵ストアをクリックします。
- 「署名者の交換」をクリックします。
- 必要とされる署名者が署名した個人証明書を選択します。
- 「追加」をクリックします。
- 「適用」をクリックし、「保存」をクリックします。
注: この交換操作は、AdminTask「exchangeSigner」を使用して実行することもできます。
注: DataPower 証明書がある場合には、それをデフォルトの署名者鍵ストア
から削除できます。DataPower アプライアンス・マネージャーを使用していない場合は、
意図していない信頼関係が生じないようにデフォルト・トラストストアから DataPower 証明書を削除する必要があります。
ただし、後日、DataPower アプライアンス・マネージャーを使用し始めた場合は、
DataPower 証明書をデフォルト・トラストストアに再度追加する必要があります。
タスクの結果
以上のステップを完了すると、証明書ファイルの署名者がデフォルトの署名者鍵ストアに保管されます。 署名者証明書の鍵ストア・ファイル・リスト内の署名者を見ることができます。
次のタスク
新規鍵ストアには、デフォルトの署名者鍵ストアに追加されたデフォルトの署名者が保管されます。