自己署名証明書の作成

このページを読んで、自己署名証明書を更新または生成する手順について学びます。

このタスクについて

ブローカー用の証明書を生成するために、IBM 鍵管理ツールを使用できます。このツールは、Remote Control アプリケーションおよび IBM WebSphere Application Server で提供されています。

手順

コマンド・プロンプト・ウィンドウを開きます。
Remote Control サーバーのインストール・ディレクトリーに移動します。
[installdir]\java\jre\bin サブディレクトリー (Windows™ システムの場合) または [installdir]/java/jre/bin サブディレクトリー (Linux™ システムの場合) に移動します。
Linux™ システムでは ikeyman.sh を実行し、Windows™ システムでは ikeyman.exe を実行します。
「鍵データベース・ファイル」 > 「新規」を選択します。
データベース・タイプを選択します。(ブローカー証明書には PKCS12 を使用します。サーバー証明書には PKCS12 または JKS を使用します)
「参照」をクリックし、鍵ストアを保管する場所に移動し、使用するファイルのファイル名を入力し、「保存」をクリックします。
「OK」をクリックします。
鍵ストアを保護するためのパスワードを入力して確認し、「OK」をクリックします。
「作成」 > 「自己署名証明書の新規作成」を選択します。
「鍵ラベル」の名前を入力します。
たとえば、ブローカーのホスト名を入力します。
この名前は、鍵管理ツールの GUI で個人証明書リストに表示される名前です。
「バージョン」に「X509 V3」を選択します。
「鍵サイズ」の値を選択します。
推奨値は 2048 です。
「署名アルゴリズム」を選択します。
これはデジタル署名用の暗号アルゴリズムであり、デフォルト値 SHA256WithRSA のままにする必要があります。
「共通名」を入力します。
ブローカーの DNS ホスト名とドメインを設定します。
例: trcbroker.example.com
「サブジェクト名の別名」を入力します。

最新のブラウザーでは、共通名の代わりに (または共通名に加えて) サブジェクト名の別名を使用して証明書を検証します。一致するサブジェクト名の別名を指定してください。例えば、server.example.com です。
注: Java ベースの証明書ツール (ikeyman など) は、数字で始まるドメイン名を持つサブジェクト名の別名をサポートしていません。例: server.8xxx.com。この場合、OpenSSL または別の外部ツールを使用して証明書を作成する必要があります。
必要に応じて、追加のオプション情報を入力します。
「有効期間」に期間を入力します。
これは、証明書が効力を持つ日数です。デフォルト値は 365 日です。
「OK」をクリックします。
自己署名証明書

自己署名証明書を使用する予定の場合は、次の手順を実行して、この時点で証明書を抽出する必要があります。その後、このファイルの内容をコピーして該当する場所に貼り付けることができます。
1. 「証明書の抽出」をクリックします。
2. デフォルトのデータ型の「Base64 エンコード ASCII データ」を使用します。
3. 証明書ファイルを保存するファイル名と保存場所を入力します。
4. 「OK」をクリックします。
CA 署名証明書
CA 署名証明書を使用する予定の場合は、次の手順を実行して、この時点で CSR を作成する必要があります。
1. 証明書署名要求を作成します。
  
  「要求の再作成」を選択します
  
  certreq.arm ファイルを保存する場所を指定します。
  
  「OK」を押します。
  
  certreq.arm ファイルが生成され、指定した場所に保存されます。このファイルは、署名のために認証局に送信する必要があります。
  CA 署名プロセスを完了する方法について詳しくは、『認証局署名証明書の作成』を参照してください。

タスクの結果

.p12 (または .jks) ファイルは、選択した名前で選択した場所に作成されます。

注: この鍵ストアには、証明書のプライベート・キーが含まれるため、常にセキュアな状態に維持する必要があります。鍵ストアのオリジナル・コピーをセキュアなディスク (例えば、暗号化された USB ストレージ・デバイス) に保管することをお勧めします。オリジナルの鍵ストアのセキュア・バックアップを保管しておくこともお勧めします。