正しい SSL 署名者証明書のプラグイン鍵ストアへの追加

個人証明書には、秘密鍵および公開鍵が含まれています。 公開鍵 (署名者証明書と呼ばれる) をファイルへ抽出して、 その証明書を別の鍵ストアへインポートできます。Security Socket Layer (SSL) 接続中に、サーバーがクライアントに個人証明書を送信します。クライアントは、それに一致する正しい署名者証明書を持っている必要があります。

始める前に

個人証明書が含まれる鍵ストアが存在している必要があります。

このタスクについて

各 WebSphere Application Server ノードで、次の手順を実行する必要があります。まったく同じ個人証明書を使用する複数の WebSphere Application Server ノードは、プラグイン鍵ストアに対応する署名者証明書だけを 1回追加する必要があります。

手順

  1. 「セキュリティー」>「SSL 証明書および鍵管理」>「エンドポイント・セキュリティー構成の管理」とクリックします。
  2. 「NodeDefaultSSLSettings」をクリックします。
  3. 「鍵ストアおよび証明書 (Keystores and certificates)」を選択します。
  4. 「NodeDefaultKeyStore」をクリックします。
  5. 「個人証明書 (Personal certificates)」をクリックします。
  6. チェーン証明書が表示されます。個人証明書は、チェーン内の最初のものです。署名者証明書は、チェーン内の 2 番目のものです。署名者証明書の CN を確認します。また、署名者証明書のシリアル番号も確認します。
    注: この証明書は、使用すべき署名者証明書そのものです。
  7. クリックして「鍵ストアと証明書 (Keystores and certificates)」ページに戻ります。
  8. 「NodeDefaultTrustStore」をクリックします。
  9. Signer certificates」をクリックします。
  10. ステップ 6 からの一致 CN およびシリアル番号を含む署名証明書を探し、その横のボックスにチェック・マークを付けます。「抽出」をクリックします。
  11. tmp/nodeRootSigner.arm など、一時パスとファイル名を入力します。 「OK」をクリックします。
  12. クリックして「エンドポイント・セキュリティー構成の管理」 ページに戻ります。
  13. Web サーバー定義を含むノードを探します。 ノード内を検索して、サーバーのフォルダーの中を調べ、Web サーバーを見つける必要があります。Web サーバー名をクリックします。
  14. 「鍵ストアおよび証明書 (Keystores and certificates)」をクリックします。
  15. 「CMSKeyStore」をクリックします。
    注: 「CMSKeyStore」plugin-key.kdb ファイルへのリンクです。
  16. 「署名者証明書 (Signer certificates)」 をクリックしてから、 「追加」をクリックします。
  17. 別名およびステップ 11 のパスとファイル名を入力します。 「OK」をクリックします。
  18. 保存」をクリックして、変更を保存します。
  19. WebSphere Application Server の各ノードで、ステップ 12 から 18 を繰り返します。
    注: 同じ個人証明書を使用する複数の WebSphere Application Server ノードは、プラグイン鍵ストアに対応する署名者証明書だけを 1回追加する必要があります。
  20. 「サーバー」>「サーバー・タイプ」>「Web サーバー」をクリックします。
  21. リスト内の Web サーバー名をクリックします。
  22. プラグイン・プロパティー」をクリックします。
  23. 「Web サーバー鍵ストア・ディレクトリーへコピー」をクリックします。
  24. テストする Web サーバーを停止してから再始動し、接続が正常に接続できることを確認します。

タスクの結果

個人証明書の署名者の部分が、指定されたファイルに保管されます。

次のタスク

署名者を他の鍵ストアにインポートできます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslextractsigncert
ファイル名:tsec_sslextractsigncert.html