プロファイル作成中の証明書オプション

WebSphere® Application Server バージョン 7.0 以降、プロファイル作成中に、サーバーのデフォルト証明書およびルート証明書に関するさまざまなオプションを使用できます。

新しい証明書オプションを使用すると、以下のことが可能になります。
  • サーバーのデフォルトの証明書をインポートする
  • サーバーのルート証明書をインポートする
  • サーバーのデフォルト証明書の subjectDN および有効期間をカスタマイズする
  • サーバーのルート証明書の subjectDN および有効期間をカスタマイズする

プロファイル作成中に、サーバーのデフォルト証明書とルート証明書に関する決定を行うための 2 つの新規パネルが使用可能になりました。

1 番目の「セキュリティー証明書 (パート 1)」パネルでは、証明書をインポートするか、または WebSphere Application Server によりサーバーのデフォルト証明書またはデフォルト・ルート証明書を自動的に作成するかどうかを選択できます。

2 番目の「セキュリティー証明書 (パート 2)」パネルでは、前のパネルからインポートされた証明書の情報が表示されるか、または WebSphere Application Server により証明書が作成されることを選択している場合は、subjectDN と証明書有効期間を変更できます。

証明書をカスタマイズするには、manageprofile コマンドを使用するか、またはサイレント・インストール応答ファイルから実行します。

プロファイル作成時のサーバーのデフォルト証明書のインポート

プロファイル作成中にサーバーのデフォルト証明書をインポートする場合、スタンドアロン・アプリケーション・サーバーではこの証明書は NodeDefaultKeyStore に追加され、デプロイメント・マネージャーでは CellDefaultKeyStore に追加されます。インポートされた証明書の署名者は NodeDefaultTrustStore または CellDefaultTrustStore に追加されます。

サーバーのデフォルト証明書をインポートするには、個人証明書が格納されていること、およびアクセスできる鍵ストアが必要です。鍵ストアの場所、タイプ、およびパスワードを把握しておく必要があります。「セキュリティー証明書 (パート 1)」パネルで次の操作を行います。
  1. 既存のデフォルト個人証明書のインポート」を選択します。
  2. 鍵ストア・ファイル名を入力するか、または選択します。
  3. 鍵ストアのパスワードを入力します。
  4. プルダウン・リストから鍵ストア・タイプを選択します。
  5. 上記の 3 つのステップですべての情報を正しく入力している場合は、プルダウン・リストから証明書別名を選択できます。

選択した証明書がサーバーのデフォルト鍵ストアにインポートされます。次の「セキュリティー証明書 (パート 2)」パネルに、証明書の issuedTo および issuedBy 情報が表示されます。

manageprofiles コマンドを使用してデフォルト証明書をインポートする場合のオプションを以下に示します。
-importPersonalCertKS keystore_path
鍵ストア・ファイルの場所
-importPersonalCertKSType keystore_type
鍵ストアのタイプ
-importPersonalCertKSPassword keystore_password
鍵ストアを公開するためのパスワード
-importPersonalCertKSAlias keystore_alias
鍵ストアに含まれている使用する証明書の別名

プロファイル作成時のサーバーのルート証明書のインポート

プロファイル作成中にサーバーのルート証明書をインポートする場合、スタンドアロン・アプリケーション・サーバーではこの証明書は NodeDefaultRootStore に追加され、デプロイメント・マネージャーでは DmgrDefaultRootStore に追加されます。署名者はインポートされたルート証明書から抽出され、NodeDefaultTrustStore または CellDefaultTrustStore に追加されます。 ルート証明書は、WebSphere Application Server が、このサーバーが作成したすべてのチェーン証明書に署名するために使用します。プロファイル作成中にデフォルト証明書が指定されない場合、WebSphere Application Server はサーバーのデフォルト証明書の署名にルート証明書を使用します。

サーバーのデフォルト証明書をインポートするには、個人証明書が格納されていること、およびアクセスできる鍵ストアが必要です。鍵ストアの場所、タイプ、およびパスワードを把握しておく必要があります。「セキュリティー証明書 (パート 1)」パネルで次の操作を行います。
  1. 既存ルート署名証明書のインポート」を選択します。
  2. 鍵ストア・ファイル名を入力するか、または選択します。
  3. 鍵ストアのパスワードを入力します。
  4. プルダウン・リストから鍵ストア・タイプを選択します。
  5. 上記の 3 つのステップですべての情報を正しく入力している場合は、プルダウン・リストから証明書別名を選択できます。

選択した証明書がサーバーのルート鍵ストアにインポートされます。次の「セキュリティー証明書 (パート 2)」パネルに、証明書の issuedTo および issuedBy 情報が表示されます。

manageprofiles コマンドを使用してルート証明書をインポートする場合のオプションを以下に示します。
-importSigninglCertKS keystore_path
鍵ストア・ファイルの場所
-importSigningCertKSType keystore_type
鍵ストアのタイプ
-importSigningCertKSPassword keystore_password
鍵ストアを公開するためのパスワード
-importSigningCertKSAlias keystore_alias
鍵ストアに含まれている使用する証明書の別名

WebSphere Application Server により作成されたデフォルト証明書のカスタマイズ

WebSphere Application Server によりサーバーのデフォルト証明書が作成されることを選択した場合、証明書の対象識別名 (DN) と有効期間をカスタマイズできます。

「セキュリティー証明書 (パート 1)」パネルでサーバーのデフォルト証明書をカスタマイズするには、次のようにします。

  1. 新規デフォルト個人証明書の作成」を選択します。
  2. 次の「セキュリティー証明書 (パート 2)」パネルの「識別名に発行」フィールドに、WebSphere Application Server のデフォルト DN が示されます。この DN を、カスタマイズした DN に置き換えます。
  3. 「有効期限 (年)」で、証明書の有効期間年数を選択します。
manageprofiles コマンドを使用してデフォルト証明書をカスタマイズする場合のオプションを以下に示します。
-personalCertDN distinguished_name
証明書に指定する DN
-personalCertValidityPeriod validity_period
証明書に指定する有効期間

WebSphere Application Server により作成されるルート証明書のカスタマイズ

WebSphere Application Server によりルート証明書が作成されることを選択した場合、証明書の DN と有効期間をカスタマイズできます。

「セキュリティー証明書 (パート 1)」パネルでサーバーのルート証明書をカスタマイズするには、次のようにします。
  1. 新規ルート署名証明書の作成」を選択します。
  2. 次の「セキュリティー証明書 (パート 2)」パネルの「識別名による発行」フィールドに、WebSphereApplication Server のデフォルト・ルート証明書 DN が表示されます。この DN を、カスタマイズした DN に置き換えます。
  3. 「有効期限 (年)」で、ルート証明書の有効期間年数を選択します。

manageprofiles コマンドを使用してルート証明書をカスタマイズする場合のオプションを以下に示します。
-signingCertDN distinguished_name
ルート証明書に指定する DN
-signingCertValidityPeriod validity_period
ルート証明書に指定する有効期間

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_cert_options
ファイル名:csec_cert_options.html