セル全体のデフォルト Secure Socket Layer (SSL) 証明書を置き換えるには、ルートの鍵ストア DmgrDefaultRootStore に自己署名ルート証明書を新規に作成して、古いルート証明書とその新規証明書を置き換える必要があります。
このタスクについて
CellDefaultKeyStore にあるセルのデフォルト証明書および NodeDefaultKeyStore にある各ノードのデフォルト証明書の場合、新規チェーン証明書を作成して、古いデフォルト証明書とその新規証明書を置き換えます。
ルート証明書は WebSphere® Application Server にデフォルトで作成されており、それには、cn=<hostname>、ou=Root Certificate、ou=<cell name>、ou=<node name>、o=ibm、c=us という形式の subjectDN が含まれています。新規ルート証明書を作成するときに、subject
DN をカスタマイズすることもできます。
新規 SSL ルート証明書を管理コンソールで作成するには、以下を実行します。
手順
新規 SSL ルート証明書を作成します。
- 「セキュリティー」>「SSL 証明書および鍵管理」>「鍵ストアおよび証明書」とクリックします。
- 「鍵ストアの使用法」プルダウンの「ルート証明書鍵ストア」を選択します。
- 鍵ストアの使用法リスト中の「DmgrDefaultRootStore」をクリックします。
- 「追加プロパティー」の下の「個人証明書」を選択します。
- 「作成」プルダウンで「自己署名証明書」を選択します。
- 証明書名および別名を入力します。 既に存在する別名でなければ、どのような名前にしても構いません。この名前は、鍵ストア内の証明書を識別するラベルとしてのみ使用されます。
- 「共通名」フィールドに、WebSphere Application Server がインストールされているコンピューターの完全修飾ドメイン名を入力します。 これは通常、ノードが実行されているホスト名にします。
- オプション: その他の Subject DN 関連のフィールドをすべて入力します。 subject DN を WebSphere Application Server のデフォルト subjectDN と類似のものにする場合は、以下のように入力してください。
- 「組織」フィールドに IBM と入力します。
- 「組織単位」フィールドに <cell name>,ou=<node name> と入力します。
- 「国または地域」プルダウンで「US」を選択します。
- 証明書の署名に使用するルート証明書、鍵サイズ、および有効期間に、デフォルト値を使用することも、独自の値を設定することもできます。
- 「適用」>「保管」をクリックします。
注: createSelfSignedCertificate コマンドを使用して自己署名証明書を作成することもできます。
詳しくは、AdminTask オブジェクトの PersonalCertificateCommands コマンド・グループの説明を参照してください。
古いルート証明書を、作成したばかりの証明書で置き換えます。
ここで作成した証明書と古いルート証明書を置き換える必要があります。証明書置換オプションでは、古いデフォルトの証明書が新規証明書と置き換えられるだけでなく、古い証明書の署名者すべてが新規証明書の署名者と置き換えられます。古い証明書の別名参照のために構成も検査され、新規証明書の別名と置き換えられます。古い証明書と新規証明書を置き換えるには、残りのステップを完了してください。
- 「個人証明書」ページで、古いルート証明書のチェック・ボックスを選択します。
- 「置き換え」をクリックします。
- 「次と置換」リストから、作成した証明書の別名を選択します。
- 「置換後に古い証明書を削除する」を選択します。
重要: 「古い署名者の削除」チェック・ボックスが選択されていないことを確認します。
- 「適用」>「保管」をクリックします。
セルのデフォルト鍵ストア CellDefaultKeystore 内にチェーン個人証明書を作成します。
- 「鍵ストアおよび証明書」ページで、
変更するノードの CellDefaultKeyStore を選択します。
- 「追加プロパティー」の下の「個人証明書」を選択します。
- ノードのデフォルト証明書 (通常 default と呼ばれるもの) を選択します。
- 「作成」>「チェーン証明書」をクリックします。
- 「別名」フィールドに、新しい個人証明書の別名を入力します。
- 「証明書の署名に使用されるルート証明書」プルダウン・リストで、別名 root を選択します。
- 「共通名」フィールドに、WebSphere Application Server がインストールされているコンピューターの完全修飾ドメイン名を入力します。
- 「適用」>「保管」をクリックします。
セルのデフォルトの鍵ストア CellDefaulltKeystore 内の個人証明書を置き換えます。
- 「個人証明書」ページで、デフォルトのチェック・ボックスを選択します。
- 「置き換え」をクリックします。
- 「置き換え」プルダウンから、ここで作成した新規証明書の別名を選択します。
- 「置換後に古い証明書を削除する」を選択します。
重要: 「古い署名者の削除」チェック・ボックスが選択されていないことを確認します。
- 「適用」>「保管」をクリックします。
次のタスク
ノードのデフォルト証明書を置き換えることもできます。詳しくは、『新規 SSL 証明書を作成してノードの既存証明書と置き換える』を参照してください。