証明書の作成と構成
この手順は、今回のセットアップのために独自の証明書を作成して構成する方法を記載しています。
このタスクについて
以下の手順は、Campaign および Marketing Platform の自己署名証明書を作成して構成する方法を示しています。
GSKit の使用について詳しくは、http://www.ibm.com/developerworks/security/tutorials/se-gskit/ を参照してください。他の IBM® Marketing Software 製品の証明書を構成する場合も、これらのステップをガイドとして使用できます。
手順
- GSKit を使用して、次のように SSL 証明書を生成します。
- 新しい鍵データベースを作成して初期化します。
以下に例を示します。
gsk8capicmd_64 -keydb -create -populate -db Campaign.kdb -pw password -stash
Campaign の場合、-stash オプションは必須です。 - GSKit を使用して、次のように Campaign の自己署名証明書を生成し、それを鍵データベースに格納します。
以下に例を示します。
gsk8capicmd_64 -cert -create -db Campaign.kdb -dn "CN=example.com,O=domain,C=IN" -expire 3650 -pw password -size 1024 -label exampleLabel -default_cert yes - 証明書の公開部分をファイルに抽出します。
クライアントが証明書を信頼するためには、その公開部分がクライアントに配布され、クライアントの鍵データベースに格納されなければなりません。このステップでは、Campaign 証明書の公開部分をエクスポートします。これを後のステップでインポートします。
以下に例を示します。
gsk8capicmd_64 -cert -extract -db Campaign.kdb -stashed -label exampleLabel -target Campaigncert.arm
- 新しい鍵データベースを作成して初期化します。
- Campaign Web アプリケーションが配置されているアプリケーション・サーバーに Campaigncert.arm ファイルをインポートします。
- Campaigncert.arm ファイルを Campaign Web アプリケーション・サーバーにコピーします。
- 以下のステップを実行して、Campaigncert.arm ファイルを WebSphere Application Server の NodeDefaultTrustStore 内に追加します。
- 「セキュリティー」 > 「SSL 証明書および鍵管理」 > 「鍵ストアおよび証明書」をクリックします。
- 「NodeDefaultTrustStore」 > 「署名者証明書」をクリックします。
- 「追加」をクリックして、「別名」に別名を指定し、Key.arm ファイルのコピー先のパスを指定します。
- 「OK」をクリックします。
- keytool を使用して、次のように Marketing Platform の Java ID 証明書を生成してインポートします。
- Marketing Platform ID 証明書を生成します。
以下に例を示します。
./keytool -genkey -alias PlatformClientIdentity -keyalg RSA -keystore PlatformClientIdentity.jks -keypass password -validity 3650 -dname "CN=example.com" -storepass password - 鍵ストア (この例では PlatformClientIdentity) にある証明書を、ファイル (この例では PlatformCertificate.cer) にエクスポートします。
./keytool -export -keystore PlatformClientIdentity.jks -storepass password -alias PlatformClientIdentity -file PlatformCertificate.cer
- エクスポートした証明書を Marketing Platform 鍵ストア (この例では PlatformTrust.jks) にインポートします。
以下に例を示します。
./keytool -import -alias PlatformClientIdentity -file PlatformCertificate.cer -keystore PlatformTrust.jks -storepass password
- Marketing Platform ID 証明書を生成します。
- IBM Campaign WebSphere Application Server から個人証明書と署名者証明書を抽出します。
- 「セキュリティー」 > 「SSL 証明書および鍵管理」 > 「鍵ストアおよび証明書」をクリックします。
- 「NodeDefaultTrustStore」 > 「個人証明書」をクリックします。
- デフォルトの証明書を選択します。
- 「証明書ファイル名」に証明書ファイル名を指定し、Campaign Web アプリケーション・サーバー内の有効なパスを指定して、「OK」をクリックします。
- 「NodeDefaultTrustStore」 > 「署名者証明書」をクリックします。
- デフォルトの証明書を選択します。
- 「証明書ファイル名」に証明書ファイル名を指定し、Campaign Web アプリケーション・サーバー内の有効なパスを指定して、「OK」をクリックします。
- 個人証明書と署名者証明書をリスナー鍵ストア・データベース内にインポートします。
- ClientPersonal.cer 証明書と ClientSigner.cer 証明書をリスナー・サーバーにコピーします。
- リスナー鍵ストア・データベース (Campaigncert.kdb) が作成された場所から gsk8capicmd_64 コマンドを使用して、個人証明書と署名者証明書をリスナー鍵ストア・データベースにインポートします。
gsk8capicmd_64 -cert -add -db Campaigncert.kdb -stashed -label ClientPersonalKey -file ClientPersonal.cer gsk8capicmd_64 -cert -add -db Key.kdb -stashed -label ClientSignerlKey -file ClientSigner.cer
- Campaign と Marketing Platform の間で証明書を交換します。
- keytool を使用して、 Campaign 証明書を Marketing Platform ID および鍵ストアにインポートします。
以下に例を示します。
./keytool -import -file PATH_TO_GSKit_certificate/Campaigncert.arm -alias listenerkey2 -keystore PATH_TO_JAVA_CERTIFICATE/PlatformClientIdentity.jks ./keytool -import -file PATH_TO_GSKit_certificate/Campaigncert.arm -alias listenerkey2 -keystore PATH_TO_JAVA_CERTIFICATE/PlatformTrust.jks - GSKit を使用して、Marketing Platform 証明書を Campaign 鍵データベースにインポートします。
以下に例を示します。
gsk8capicmd_64 -cert -add -db Campaign.kdb -stashed -label PlatformClientIdentity -file PATH_TO_JAVA_CERTIFICATE/PlatformCertificate.cer
- keytool を使用して、 Campaign 証明書を Marketing Platform ID および鍵ストアにインポートします。
- keytool を使用して、Java 証明書と Campaign GSKit 証明書をアプリケーション・サーバーの Java 鍵ストアにインポートします。
- Marketing Platform Java 証明書をインポートします。
以下に例を示します。
./keytool -import -file PATH_TO_JAVA_CERTIFICATE/PlatformCertificate.cer -alias platformkey1 -keystore APPLICATION_SERVER_HOME/java/jre/lib/security/cacerts <Password: changeit> - Campaign GSKit 証明書をインポートします。
以下に例を示します。
keytool -import -file PATH_TO_GSKit_certificate/campaign.arm -alias CampaignListener -keystore APPLICATION_SERVER_HOME/java/jre/lib/security/cacerts
- Marketing Platform Java 証明書をインポートします。
- Campaign リスナーで SSL が使用されている場合は、unicaACListener 設定で、useSSL を TRUE に設定します。使用されていない場合は、FALSE に設定します。
- Campaign アプリケーション・サーバーと Campaign リスナーを再始動します。
親トピック: SSL の証明書