以降のセクションでは、WebSphere Business Integration Connect で使用する証明書の作成およびインストール方法について説明します。
コミュニティーで SSL を使用していない場合、ハブ管理者も参加者も、インバウンドまたはアウトバウンド SSL 証明書を必要としません。
WebSphere Application Server は、SSL を介して参加者からの接続要求を受信するときに、SSL 証明書を使用します。この証明書は、Receiver が参加者に対してハブを識別するために示す証明書です。このサーバー証明書は、自己署名証明書または CA が署名した証明書になります。通常、セキュリティーを高めるために CA 証明書を使用します。テスト環境では、自己署名証明書を使用する可能性があります。IKEYMAN を使用して、証明書および鍵ペアを生成します。
IKEYMAN の使用についての詳細は、IBM の資料を参照してください。
証明書と鍵ペアを作成した後に、すべての参加者に対してインバウンド SSL トラフィックの証明書を使用します。Receiver または Console が複数ある場合は、結果として作成された鍵ストアを各インスタンスにコピーします。証明書が自己署名である場合は、この証明書を参加者に提供します。この証明書を取得するには、IKEYMAN を使用して、ファイルに公開証明書を抽出します。
自己署名サーバー証明書を使用する場合は、以下のいずれかの手順に従います。
- IKEYMAN:
- /WBIC_install_root/router/was/bin にある IKEYMAN ユーティリティーを開始します。初めて IKEYMAN を使用する場合は、鍵ストアにある「ダミー」の証明書を削除します。
- IKEYMAN を使用して、Receiver または Console 鍵ストアの自己署名証明書および鍵ペアを生成します。
- IKEYMAN を使用して、ご使用の公開鍵を含む証明書をファイルに抽出します。
- pkcs12 ファイルを対応する Receiver または Console 鍵ストアにインストールします。
- 参加者に証明書を配布します。配布方法としては、証明書をパスワードで保護された ZIP ファイルにして、E メールで送信することをお勧めします。参加者は、管理者に連絡して、ZIP ファイルのパスワードを求める必要があります。
- createCert.sh:
- /WBIC_install_root/router/was/bin ディレクトリーにある createCert.sh スクリプトを使用して、自己署名証明書を X.509 形式で、秘密鍵を PKCS 8 形式で生成し、秘密鍵と証明書を含む PKCS12 ファイルを生成します。
- pkcs12 ファイルを対応する Receiver または Console 鍵ストアにインストールします。
- 参加者に証明書を配布します。配布方法としては、証明書をパスワードで保護された ZIP ファイルにして、E メールで送信することをお勧めします。参加者は、管理者に連絡して、ZIP ファイルのパスワードを求める必要があります。
CA が署名した証明書を使用する場合は、以下の手順に従います。
- /WBIC_install_root/router/was/bin ディレクトリーにある IKEYMAN ユーティリティーを開始します。
- IKEYMAN を使用して、Receiver の認証要求および鍵ペアを生成します。
- CA に 証明書署名要求 (CSR) をサブミットします。
- CA から署名証明書を受信したら、IKEYMAN を使用して、この署名証明書を鍵ストアに配置します。
- すべての参加者に CA 証明書を配布します。
クライアント認証では、以下の手順に従います。
- 参加者の証明書を取得します。
- IKEYMAN を使用してトラストストアに証明書をインストールします。
- CA ディレクトリーまたは関連鍵ストアに関連 CA を配置します。
注: ハブ・コミュニティーにさらに参加者を追加する場合は、IKEYMAN を使用して、トラストストアにその参加者の証明書を追加します。参加者がコミュニティーを出た場合は、IKEYMAN を使用して、トラストストアからその参加者の証明書を削除します。
証明書のインストール後に、ユーティリティー・スクリプト bcgClientAuth.jacl を実行して、クライアント認証を使用するよう WebSphere Application Server を構成します。
- ディレクトリー /WBIC_install_root/receiver/was/bin に移動します。
- クライアント認証を有効にするには、以下のようにスクリプトを呼び出します。./wsadmin.sh -f /WBIC_install_root/receiver/scripts/bcgClientAuth.jacl
-conntype NONE set
- クライアント認証を無効にするには、以下のようにスクリプトを呼び出します。./wsadmin.sh -f /WBIC_install_root/receiver/scripts/bcgClientAuth.jacl
-conntype NONE clear
これらの変更内容を有効にするには、WebSphere Application Server の受信側を始動する必要があります。
SSL クライアント認証で使用できる追加機能があります。この機能は、Community Console を使用して、使用可能にします。HTTPS の場合、WebSphere Business Integration Connect は、証明書をインバウンド文書のビジネス ID と照合して検査します。この機能を使用するには、参加者のプロファイルを作成し、クライアント証明書をインポートして、SSL としてフラグを立てます。参加者の「ゲートウェイ」画面で「クライアント SSL 証明書の検証」オプションを選択します。
コミュニティーで SSL を使用していない場合、インバウンドまたはアウトバウンド SSL 証明書は必要ありません。
SSL を使用して参加者にアウトバウンド文書を送信する場合、WebSphere Business Integration Connect は、参加者からのサーバー・サイド証明書を要求します。参加者の証明書が自己署名である場合は、Community Console を使用して、Hub Operator プロファイルにこの証明書をインポートし、「ルート」証明書としてフラグを立てます。CA が署名した証明書の場合は、CA 証明書を Community Console にインポートし、「ルート」証明書としてフラグを立てます。
注: 複数の参加者に対して同じ CA 証明書を使用することができます。証明書は X.509 DER 形式でなければなりません。
SSL クライアント認証が必要な場合には、参加者がハブからの証明書を要求します。
Community Console を使用して、WebSphere Business Integration
Connect に証明書をインポートします。IKEYMAN または createCert.sh スクリプトを使用して、証明書を生成します。証明書が自己署名証明書の場合は、この証明書を参加者に提供する必要があります。
CA が署名した証明書の場合は、CA ルート証明書を参加者に渡す必要があります。これにより、参加者は、この証明書を信頼できる証明書に追加できます。
自己署名証明書を使用する場合は、以下のいずれかの手順に従います。
- IKEYMAN:
- IKEYMAN ユーティリティーを始動します。
- IKEYMAN を使用して、自己署名証明書および鍵ペアを生成します。
- IKEYMAN を使用して、ご使用の公開鍵を含む証明書をファイルに抽出します。
- 参加者に証明書を配布します。配布方法としては、証明書をパスワードで保護された ZIP ファイルにして、E メールで送信することをお勧めします。参加者は、管理者に連絡して、ZIP ファイルのパスワードを求める必要があります。
- IKEYMAN を使用して、自己署名証明書と秘密鍵のペアを PKCS12 ファイルの形式でエクスポートします。
- Community Console を使用して、自己署名証明書と鍵をインストールします。
「アカウント管理」>「プロファイル」>「証明書」を使用して、「証明書」ページを表示します。Hub Operator として Community Console にログインしてください。管理者自身のプロファイルに証明書をインストールし、「SSL」タイプの証明書としてフラグを立てます。
- createCert.sh:
- createCert.sh スクリプトを使用して、自己署名証明書を X.509 形式で、秘密鍵を PKCS 8 形式で生成し、秘密鍵と証明書を含む PKCS12 ファイルを生成します。
- Community Console を使用して、自己署名証明書と鍵をインストールします。
「アカウント管理」>「プロファイル」>「証明書」を使用して、「証明書」ページを表示します。Hub Operator として Community Console にログインしてください。管理者自身のプロファイルに証明書をインストールし、「SSL」タイプの証明書としてフラグを立てます。
- 参加者が信頼できる証明書として追加できるように、自己署名証明書または CA ルート証明書をすべての参加者に送信します。
CA が署名した証明書を使用する場合は、以下の手順に従います。
- IKEYMAN を使用して、Receiver の認証要求および鍵ペアを生成します。
- CA に 証明書署名要求 (CSR) をサブミットします。
- CA から署名証明書を受信したら、IKEYMAN を使用して、この署名証明書を鍵ストアに配置します。
- すべての参加者に署名 CA 証明書を配布します。
Business Integration Connect には、証明書失効リスト (CRL) 機能があります。認証局 (CA) が発行する CRL は、スケジュールされていた有効期限よりも前に失効した証明書を持つ参加者を識別します。失効した証明書を持つ参加者は、Business Integration Connect へのアクセスを拒否されます。
各失効証明書は、CRL で証明書シリアル番号によって識別されます。Document Manager は、60 秒ごとに CRL をスキャンし、CRL リストに含まれている証明書を拒否します。
CRL は、/<shared data directory>/security/crl に保管されています。Business Integration Connect は、bcg.properties ファイルの設定 bcg.http.CRLDir を使用して、CRL ディレクトリーの場所を識別します。
失効証明書を含む .crl ファイルを作成し、このファイルを CRL ディレクトリーに配置します。
例えば、bcg.properties ファイルで以下の設定を使用します。
bcg.http.CRLDir=/<shared data directory>/security/crl
Document Manager は、文書を受信すると、参加者の署名証明書を使用して、送信者の署名を確認します。参加者は、自己署名証明書を X.509 DER 形式で管理者に送信します。管理者は、Community Console を使用して、参加者の証明書をそれぞれの参加者のプロファイルにインストールします。
証明書をインストールするには、以下の手順を実行します。
- 参加者の署名証明書を X.509 DER 形式で受信します。
- Community Console を使用して、証明書を参加者のプロファイルにインストールします。「アカウント管理」>「プロファイル」>「コミュニティー参加者」を使用して、参加者のプロファイルを検索します。
「証明書」をクリックして、「ディジタル署名」証明書タイプとして証明書をアップロードします。確認画面でこの証明書を使用可能にし、保管してください。
- 証明書が CA で署名されており、CA ルート証明書が Hub Operator のプロファイルにインストールされていない場合は、ここでインストールします。
「アカウント管理」>「プロファイル」>「証明書」を使用して、「証明書」ページを表示します。Community Console に Hub Operator としてログインし、証明書を自分のプロファイルにインストールしてください。
注: CA 証明書がすでにインストールされている場合は、このステップを実行する必要がありません。
- パッケージ (最も高いレベル)、参加者、または接続レベル (最も低いレベル) で使用可能にします。この設定により、接続レベルの他の設定をオーバーライドできます。必要な属性が欠落している場合は、接続の要約によって通知されます。
例えば、参加者接続の属性を変更するには、「アカウント管理」>「参加者の接続」をクリックし、参加者を選択します。「属性」をクリックし、属性を編集します (「AS 署名済み」など)。
Document Manager は、参加者にアウトバウンド署名文書を送信するときにこの証明書を使用します。すべてのポートおよびプロトコルに対して同じ証明書および鍵が使用されます。
自己署名証明書を使用する場合は、以下のいずれかの手順に従います。
IKEYMAN:
- IKEYMAN ユーティリティーを始動します。
- IKEYMAN を使用して、自己署名証明書および鍵ペアを生成します。
- IKEYMAN を使用して、ご使用の公開鍵を含む証明書をファイルに抽出します。
- 参加者に証明書を配布します。配布方法としては、証明書をパスワードで保護された ZIP ファイルにして、E メールで送信することをお勧めします。参加者は、管理者に連絡して、ZIP ファイルのパスワードを求める必要があります。
- IKEYMAN を使用して、自己署名証明書と秘密鍵のペアを PKCS12 ファイルの形式でエクスポートします。
- Community Console の証明書機能を使用して、自己署名証明書と秘密鍵のペアを PKCS12 ファイルの形式でエクスポートします。
「アカウント管理」>「プロファイル」>「証明書」を使用して、「証明書」ページを表示します。Community Console に Hub Operator としてログインし、証明書を自分のプロファイルにインストールしてください。証明書にタイプ「ディジタル署名」としてフラグを立てます。確認画面でこの証明書を使用可能にし、保管してください。
createCert.sh:
- createCert.sh スクリプトを使用して、自己署名証明書を X.509 形式で、秘密鍵を PKCS 8 形式で生成し、秘密鍵と証明書を含む PKCS12 ファイルを生成します。
- Community Console の証明書機能を使用して、自己署名証明書と鍵をインストールします。
「アカウント管理」>「プロファイル」>「証明書」を使用して、「証明書」ページを表示します。Community Console に Hub Operator としてログインし、証明書を自分のプロファイルにインストールしてください。証明書にタイプ「ディジタル署名」としてフラグを立てます。確認画面でこの証明書を使用可能にし、保管してください。
- 参加者に証明書を配布します。配布方法としては、証明書をパスワードで保護された ZIP ファイルにして、E メールで送信することをお勧めします。参加者は、管理者に連絡して、ZIP ファイルのパスワードを求める必要があります。
- パッケージ (最も高いレベル)、参加者、または接続レベル (最も低いレベル) で使用可能にします。この設定により、接続レベルの他の設定をオーバーライドできます。必要な属性が欠落している場合は、接続の要約によって通知されます。例えば、参加者接続の属性を変更するには、「アカウント管理」>「参加者の接続」をクリックし、参加者を選択します。「属性」をクリックし、属性を編集します (「AS 署名済み」など)。
CA が署名した証明書を使用する場合は、以下の手順に従います。
- IKEYMAN ユーティリティーを始動します。
- IKEYMAN を使用して、Receiver の認証要求および鍵ペアを生成します。
- CA に 証明書署名要求 (CSR) をサブミットします。
- CA から署名証明書を受信したら、IKEYMAN を使用して、この署名証明書を鍵ストアに配置します。
- すべての参加者に署名 CA 証明書を配布します。
この証明書は、Receiver が、参加者から受信した暗号化されたファイルを暗号化解除するときに使用します。Receiver は、秘密鍵を使用して、文書を暗号化解除します。暗号化によって、送信者と目的の受信者以外は、送信中の文書を参照することができません。
自己署名証明書を使用する場合は、以下のいずれかの手順に従います。
- IKEYMAN:
- IKEYMAN ユーティリティーを始動します。
- IKEYMAN を使用して、自己署名証明書および鍵ペアを生成します。
- IKEYMAN を使用して、ご使用の公開鍵を含む証明書をファイルに抽出します。
- 参加者に証明書を配布します。参加者は、このファイルを暗号化証明書として使用するために、B2B 製品にインポートする必要があります。暗号化されたファイルを Community Manager に送信する際はこのファイルを使用するよう参加者に助言してください。CA で署名された証明書の場合は、CA 証明書も提供します。
- IKEYMAN を使用して、自己署名証明書と秘密鍵のペアを PKCS12 ファイルの形式でエクスポートします。
- Community Console を使用して、自己署名証明書と秘密鍵のペアを PKCS12 ファイルの形式でエクスポートします。
「アカウント管理」>「プロファイル」>「証明書」を使用して、「証明書」ページを表示します。Community Console に Hub Operator としてログインし、証明書を自分のプロファイルにインストールしてください。証明書に「暗号化」タイプとしてフラグを立てます。確認画面でこの証明書を使用可能にし、保管してください。
- パッケージ (最も高いレベル)、参加者、または接続レベル (最も低いレベル) で使用可能にします。この設定により、接続レベルの他の設定をオーバーライドできます。必要な属性が欠落している場合は、接続の要約によって通知されます。
例えば、参加者接続の属性を変更するには、「アカウント管理」>「参加者の接続」をクリックし、参加者を選択します。「属性」をクリックし、属性を編集します (「AS 暗号化」など)。
- createCert.sh:
- createCert.sh スクリプトを使用して、自己署名証明書を X.509 形式で、秘密鍵を PKCS 8 形式で生成し、秘密鍵と証明書を含む PKCS12 ファイルを生成します。
- Console の証明書機能を使用して、自己署名証明書と鍵をインストールします。
「アカウント管理」>「プロファイル」>「証明書」を使用して、「証明書」ページを表示します。Community Console に Hub Operator としてログインし、証明書を自分のプロファイルにインストールしてください。証明書に「暗号化」タイプとしてフラグを立てます。確認画面でインストールした証明書を使用可能にし、保管してください。
- 参加者に証明書を配布します。参加者は、このファイルを暗号化証明書として使用するために、B2B 製品にインポートする必要があります。暗号化されたファイルを Community Manager に送信する際はこのファイルを使用するよう参加者に助言してください。
- パッケージ (最も高いレベル)、参加者、または接続レベル (最も低いレベル) で使用可能にします。この設定により、接続レベルの他の設定をオーバーライドできます。必要な属性が欠落している場合は、接続の要約によって通知されます。
例えば、参加者接続の属性を変更するには、「アカウント管理」>「参加者の接続」をクリックし、参加者を選択します。「属性」をクリックし、属性を編集します (「AS 暗号化」など)。
CA が署名した証明書を使用する場合は、以下の手順に従います。
- IKEYMAN ユーティリティーを始動します。
- IKEYMAN を使用して、Receiver の認証要求および鍵ペアを生成します。
- CA に 証明書署名要求 (CSR) をサブミットします。
- CA から署名証明書を受信したら、IKEYMAN を使用して、この署名証明書を鍵ストアに配置します。
- すべての参加者に署名 CA 証明書を配布します。
アウトバウンド暗号化証明書は、ハブが参加者に暗号化された文書を送信するときに使用されます。
Business Integration
Connect が、参加者の公開鍵を使用して文書を暗号化し、参加者が、自分の秘密鍵を使用して文書を暗号化解除します。
- 参加者の暗号化証明書を取得します。証明書は X.509 DER 形式でなければなりません。
- Community Console の証明書機能を使用して、証明書をインストールします。このタスクを実行するには、Console に Hub Operator としてログインし、参加者のプロファイルに証明書をインストールします。「アカウント管理」>「プロファイル」>「コミュニティー参加者」を使用して、参加者のプロファイルを検索します。「証明書」をクリックし、証明書を暗号化タイプとしてアップロードします。確認画面でこの証明書を使用可能にし、保管してください。
- 証明書が CA で署名されており、CA の証明書をシステムにインストールしていない場合は、Console に Hub Operator としてログインし、管理者自身のプロファイルにこの証明書をインストールします。
「アカウント管理」>「プロファイル」>「証明書」を使用して、「証明書」ページを表示します。管理者自身のプロファイルに証明書をインストールします。CA の証明書は 1 回ロードするだけで済みます。
- パッケージ (最も高いレベル)、参加者、または接続レベル (最も低いレベル) で使用可能にします。この設定により、接続レベルの他の設定をオーバーライドできます。必要な属性が欠落している場合は、接続の要約によって通知されます。
例えば、参加者接続の属性を変更するには、「アカウント管理」>「参加者の接続」をクリックし、参加者を選択します。「属性」をクリックし、属性を編集します (「AS 暗号化」など)。
