retrieveSigners ユーティリティー使用によるクライアントでの署名者の取得

クライアントは、WebSphere® Application Server と通信するために、 サーバーからの署名者証明書を必要とします。 retrieveSigners コマンドを使用して、サーバーから署名者証明書を取得します。

始める前に

ご使用のオペレーティング・システムによって異なりますが、retrieveSigners ユーティリティーは 以下のディレクトリーのいずれかにあります。 このリリースでは、STDIN コンソール・プロンプトへのアクセス権がない Java™ クライアントは、Secure Sockets Layer (SSL) ハンドシェークに署名者を必要とする場合、retrieveSigners ユーティリティーを使用してリモート・サーバーの鍵ストアから署名者をダウンロードする必要があります。 例えば、アプレット・クライアントまたは Java Web Start のクライアント・アプリケーションが STDIN 署名者交換プロンプトにアクセスできない場合は、クライアントが応答に失敗しているものと解釈する可能性があります。 したがって、WebSphere Java メソッド呼び出し com.ibm.wsspi.ssl.RetrieveSignersHelper.callRetrieveSigners を クライアント・アプリケーションに追加して署名者を取得し、retrieveSigners ユーティリティーを手動で実行するのを回避する必要があります。

アプリケーションが要求をしたときに、 com.ibm.ssl.enableSignerExchangePrompt= property が有効であるか、 無効であるかのどちらであるかを確認できない状態の場合は、retrieveSigners ユーティリティーを使用します。コンソールが表示されない場合は、 ssl.client.props ファイルの com.ibm.ssl.enableSignerExchangePrompt= プロパティーを false に設定します。

あるいは、クライアント・トラストストアにサーバー鍵を手動で作成できます。

このタスクについて

必要に応じて、以下のステップを実行します。

手順

  1. retrieveSigners コマンドを使用して、サーバーから署名者証明書を取得します。 retrieveSigners パラメーターについての詳細は、 クライアント署名者を SSL で取得するためのセキュア・インストールで参照することができます。
  2. クライアントおよびサーバーが同じマシン上にある場合は、 remoteKeyStoreName および localKeyStoreName パラメーターのみが 必要です。 リモート・システムで参照する最も標準的な鍵ストアは、 ネットワーク・デプロイされた環境での CellDefaultTrustStore および アプリケーション・サーバー上での NodeDefaultTrustStore です。
  3. リモート・サーバーから署名者を取得するときは、 接続関連の必須パラメーター -host host-port port-conntype {RMI | SOAP} を追加します。
  4. 署名者の自動検索を有効にする場合は、-autoAcceptBootstrapSigner パラメーターを 使用します。 このパラメーターを使用すると、接続に必要な署名者がすべて自動的にサーバーに追加されます。

タスクの結果

実行後は、コマンドを使用すると追加された署名者の SHI-1 ダイジェストが表示されます。 出力は、次のようになります。
[AIX Solaris HP-UX Linux Windows][z/OS]
C:¥WebSphere¥AppServer¥profiles¥AppSrv01¥bin¥retrieveSigners.bat 
CellDefaultTrustStore ClientDefaultTrustStore 

CWPKI0308I: Adding signer alias "default_signer" to local keystore
           "ClientDefaultTrustStore" with the following SHA digest:
[IBM i]

/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/AppSrv01/bin/retrieveSigners
CellDefaultTrustStore ClientDefaultTrustStore 

CWPKI0308I: Adding signer alias "default_signer" to local keystore
           "ClientDefaultTrustStore" with the following SHA digest:

以下の例は、retrieveSigners.bat ファイルを呼び出す方法を示しています。

[AIX Solaris HP-UX Linux Windows][z/OS]同じシステム上で署名者を取得するには、以下を入力します。
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore
[IBM i]同じシステム上で署名者を取得するには、以下を入力します。
profile_root/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore
[AIX Solaris HP-UX Linux Windows][z/OS]SOAP 接続しているリモート・システム上の署名者を取得するには、 以下を入力します。
profile_root¥bin¥retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore
-host myRemoteHost -port 8879 -conntype SOAP -autoAcceptBootstrapSigner
[IBM i]SOAP 接続しているリモート・システム上の署名者を取得するには、 以下を入力します。
profile_root/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore-host myRemoteHost -port 8879 -conntype SOAP -autoAcceptBootstrapSigner
[AIX Solaris HP-UX Linux Windows][z/OS]RMI 接続しているリモート・システム上の署名者を取得するには、 以下を入力します。
profile_root¥bin¥retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore
-host myRemoteHost -port 2809 -conntype RMI -autoAcceptBootstrapSigner
[IBM i]セキュリティーが使用可能なリモート・システム上の署名者を取得するには、 以下を入力します。
profile_root/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore-host myRemoteHost -port 8879 -conntype SOAP -user testuser -password testuserpwd 
-autoAcceptBootstrapSigner
[AIX Solaris HP-UX Linux Windows][z/OS]セキュリティーが使用可能なリモート・システム上の署名者を取得するには、 以下を入力します。
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -user testuser -password testuserpwd 
-autoAcceptBootstrapSigner

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslretrievesignclient
ファイル名:tsec_sslretrievesignclient.html