自己署名証明書の作成
ブローカー用の証明書を生成するために、IBM 鍵管理ツールを使用できます。このツールは、Remote Control アプリケーションおよび IBM WebSphere Application Server で提供されています。
このタスクについて
手順
- コマンド・プロンプト・ウィンドウを開きます。
- Remote Control サーバーのインストール・ディレクトリーに移動します。
- [installdir]\java\jre\bin サブディレクトリー (Windows™ システムの場合) または [installdir]/java/jre/bin サブディレクトリー (Linux™ システムの場合) に移動します。
-
Linux™ システムでは
ikeyman.shを実行し、Windows™ システムではikeyman.exeを実行します。 - を選択します。
- データベース・タイプを選択します。(ブローカー証明書には PKCS12 を使用します。サーバー証明書には PKCS12 または JKS を使用します)
- 「参照」をクリックし、鍵ストアを保管する場所に移動し、使用するファイルのファイル名を入力し、「保存」をクリックします。
- 「OK」をクリックします。
- 鍵ストアを保護するためのパスワードを入力して確認し、「OK」をクリックします。
- を選択します。
- 「鍵ラベル」の名前を入力します。
たとえば、ブローカーのホスト名を入力します。この名前は、鍵管理ツールの GUI で個人証明書リストに表示される名前です。
- 「バージョン」に「X509 V3」を選択します。
- 「鍵サイズ」の値を選択します。推奨値は 2048 です。
-
「署名アルゴリズム」を選択します。
これはデジタル署名用の暗号アルゴリズムであり、デフォルト値 SHA256WithRSA のままにする必要があります。
- 「共通名」を入力します。ブローカーの DNS ホスト名とドメインを設定します。例: trcbroker.example.com
-
「サブジェクト名の別名」を入力します。
最新のブラウザーでは、共通名の代わりに (または共通名に加えて) サブジェクト名の別名を使用して証明書を検証します。一致するサブジェクト名の別名を指定してください。例: server.example.com。注: Java ベースの証明書ツール (ikeyman など) は、数字で始まるドメイン名を持つサブジェクト名の別名をサポートしていません。例: server.8xxx.com。この場合、OpenSSL または別の外部ツールを使用して証明書を作成する必要があります。
- 必要に応じて、追加のオプション情報を入力します。
- 「有効期間」を入力します。これは、証明書が効力を持つ日数です。デフォルトは 365 日です。
-
「OK」をクリックします。
- 自己署名証明書
- 自己署名証明書を使用する予定の場合は、次の手順を実行して、この時点で証明書を抽出する必要があります。その後、このファイルの内容をコピーして該当する場所に貼り付けることができます。
- CA 署名証明書
- CA 署名証明書を使用する予定の場合は、次の手順を実行して、この時点で CSR を作成する必要があります。
- 証明書署名要求を作成します。
- 「要求の再作成」を選択します。
- certreq.arm ファイルを保存する場所を指定します。
- [OK] を押します。
CA 署名プロセスを完了する方法について詳しくは、『認証局署名証明書の作成』を参照してください。
- 証明書署名要求を作成します。
タスクの結果
注: この鍵ストアには、証明書のプライベート・キーが含まれるため、常にセキュアな状態に維持する必要があります。鍵ストアのオリジナル・コピーをセキュアなディスク (例えば、暗号化された USB ストレージ・デバイス) に保管することをお勧めします。オリジナルの鍵ストアのセキュア・バックアップを保管しておくこともお勧めします。