現在 Open SSL 証明書を使用している状態で、対象製品をアップグレードする場合は、
証明書を PKCS12 形式にエクスポートしてから IBM® SSL 証明書としてインポートする必要があります。
これらのエクスポートされた非公開証明書および公開証明書は、パスワード保護ファイルに保存されます。
既存の Open SSL 証明書を PKCS12 形式にエクスポートおよびインポートする場合は、次のようにします。
- 証明書を PKCS12 形式にエクスポートします。
- コマンド行で、適切なディレクトリにナビゲートします。
- Windows® の場合: drive-letter:¥Program
Files¥IBM¥RationalSDLC¥common¥IHS¥bin
- UNIX® の場合: /opt/IBM/RationalSDLC/common/IHS/bin
- Linux® の場合: /opt/ibm/RationalSDLC/common/IHS/bin
- 次のコマンドを入力します。
openssl pkcs12 -export -in your_server_certificate.crt -out mapped_shared_location¥server_cert.p12 -inkey your_server_private_key.key -name ibmhttp
注: ファイル server_cert.p12 のロケーションに注意してください。これが、IBM SSL 鍵管理ストアにインポートされる、PKCS12 形式のファイルです。
- 最初に秘密鍵が作成されたときに使用されたパス フレーズを入力します。
- エクスポート パスワードを入力します。
- IBM SDK ポリシー ファイルをアップグレードして、
非 IBM 証明書ファイルの認識を可能にする、制約のないバージョンを使用するようにします。
注: ポリシー ファイルの
アップグレードが失敗すると、PKCS12 証明書のインポート中にエラーが発生します。
http://www.ibm.com/support/docview.wss?uid=swg21201170 の手順に従ってください。制約なしポリシー ファイルの 1.4.2 バージョンをダウンロードし、
次の場所にある既存の 2 つのポリシー ファイルと置き換えます。
- Windows の場合: drive-letter:¥Program
Files¥IBM¥RationalSDLC¥common¥IHS¥_jvm¥jre¥lib¥security
- UNIX の場合: /opt/IBM/RationalSDLC/common/IHS/_jvm/jre/lib/security
- Linux の場合: /opt/ibm/RationalSDLC/common/IHS/_jvm/jre/lib/security
次のようにして、証明書を IBM SSL 鍵管理ストアにインポートします。
- IBM HTTP
Server Key Management Utility ツールを開始します (まだ稼働していない場合)。
- ツールで [鍵データベース ファイル (Key Database File)] > [開く] とクリックして、[鍵データベース タイプ (Key database type)] で CMS を選択し、[参照] をクリックして鍵ストア ファイル (common/IHS/key.kdb) を指定します。
- 鍵ストア パスワードを入力して、[OK] をクリックします。
- [Key database content] 領域でドロップダウン メニューをクリックし、[Personal
Certificates] を選択します。
- [Import] をクリックし、[Key File type] をクリックして [PKCS12] を選択します。
- [Browse] をクリックし、インポートする .p12 ファイルにナビゲートして [OK] をクリックします。
- プロンプトが出されたら、キー データベースのパスワードを入力し、[OK] をクリックします。
- インポート処理を完了するため、もう一度 [OK] をクリックします。
注: インポートしようとしている証明書の有効期限が切れている場合、
それをインポートすることはできません。「認証局による証明書への署名」を参照してください。
認証局による証明書への署名
iKeyMan ユーティリティを使用して認証局 (CA) の自己署名 (SSL) 証明書を取得するには
- IBM HTTP
Server Key Management Utility ツールを開始します。
- とクリックします。
CMS を入力して [参照] をクリックし、ご使用の鍵ストア ファイル (key.kdb) を指定します。
鍵ストア パスワードを入力して、[OK] をクリックします。最初に鍵ストア (key.kbd) ファイルが作成されていない場合は、「HTTP Server 鍵の作成」を参照してください。
- [Key Database Content] 領域で、ドロップダウン メニューを選択し、[Personal Certificate Request] をクリックします。
- 各フィールドにフィールド値を入力します。
都道府県では省略名ではなく、完全な名前を使用します。
完了したら、ファイルをファイルの拡張子 .arm で保管します。
- .arm ファイルの送信や、署名付き証明書 (.cert ファイル) の受信に関する、認証局 (CA) 組織の規則に従います。
例えば、一部の会社では、.arm ファイルをアップロードしたり、電子メールで .cert ファイルを受信したりできる Web サイトが示されます。
- .cert ファイルは、証明書の [共通名 (Common Name)] フィールドの値に名前を変更する必要があります。
これは通常、マシンの完全なインターネット名 (例えば、mymachine.somedomain.ibm.com) です。
共通名を参照する際には、完全なマシン名を使用する必要があります。
- [Key Database Content] 領域で、ドロップダウン メニューの [Signer Certificates] をクリックします。CA 名 (会社名) がリストされている場合、[Key Database Content] ページで、ドロップダウン項目の [Personal Certificates] を選択します。[受け取り (Receive)] をクリックします。
Common Name.arm ファイルを参照します (ステップ 6 を参照)。
これが ASCII ファイルである場合は、[データ タイプ] ドロップダウン ボックスで [ASCII] を選択し、それ以外の場合には DER バイナリ ファイルを選択します。
[OK] をクリックします。証明書を受け取ったというメッセージを受け取るはずです。
CA 名がリストされていない場合は、次のように CA のルート証明書を追加します。
- CA の Web サイトでルート証明書を探してダウンロードし、その名前を CA.arm (CA はその認証局会社の名前) にします。
- [鍵データベースの内容 (Key Database Content)] 領域で、ドロップダウン項目の [署名者証明書 (Signer Certificates)] を選択し、[追加] をクリックします。
- [Browse] をクリックして、ダウンロードしたばかりの .arm ファイル (CA.arm) にナビゲートします。
これが ASCII ファイルである場合、[Data Type] ドロップダウン ボックスで [ASCII] を選択します。そうでない場合は、DER バイナリ ファイルを選択します。[OK] をクリックすると、リストには CA の名前が含まれており、証明書を受け取ったというメッセージを受け取るはずです。ステップ 7 に進んでください。