test

SSL をサポートする Java CAPS の構成

証明書発行局の作成

次の手順では、WebSphere MQ で提供されるコマンド行ユーティリティーを使用して証明書発行局 (CA) を作成する方法について説明します。

Procedure証明書発行局を作成する

  1. CA のキーリポジトリを作成します。

  2. 次に示すテキストを入力して、ディレクトリを作成し、そのディレクトリにキーリポジトリファイルを作成します。


    C:\> mkdir \myCAdir
C:\> cd \myCAdir
C:\myCAdir> runmqckm -keydb -create -db myCA.kdb -type cms

    パスワードの作成を要求されたら、CA のキーリポジトリで使用するパスワードを入力します。

  3. この CA の識別に使用される、自己署名付き CA 証明書を作成します。


    C:\myCAdir> runmqckm -cert -create -db myCA.kdb -type cms -label "myCAcertificate" 
-dn "CN=myCAName,O=myOrganisation,OU=myDepartment,L=myLocation,C=IN" -expire 1000 
-size 1024

  4. CA 証明書を myCAcertfile.cer という名前のファイルに抽出します。このファイルは、あとでキューマネージャーとクライアントアプリケーションのキーリポジトリに転送します。


    C:\myCAdir> runmqckm -cert -extract -db myCA.kdb -type cms -label "myCAcertificate" 
-target myCAcertfile.cer -format ascii

Procedure証明書をキューマネージャーに発行する

各インフラストラクチャー内のキューマネージャーが、適切な識別名 (DN)の固有の証明書を持つようにしてください。DN は、WebSphere MQ ネットワーク内で一意にするようにしてください。

  1. キューマネージャーのキーリポジトリを作成します。


    C:\myCAdir> mkdir \REPOS
C:\myCAdir> cd \REPOS

  2. 次のコマンドを発行して、キューマネージャーのキーデータベースを作成します。


    C:\REPOS> runmqckm -keydb -create -db myqmgr.kdb -type cms -stash

    パスワードの作成を要求されたら、キューマネージャーのキーリポジトリで使用するパスワードを入力します。

    -stash オプションは、stash ファイルを作成するためのもので重要です。ファイル名は myqmgr.sth になります。キューマネージャーは、このファイルを使用して、ユーザーにパスワードを要求することなくキーリポジトリを開くことができます。

  3. 非公開鍵とともに、キューマネージャーの証明書要求ファイルを生成します。


    C:\REPOS> runmqckm -certreq -create -db myqmgr.kdb -type cms 
-dn "CN=QMNAME,O=SUN,OU=BI,L=BLR,C=IN" -label "ibmwebspheremqmyqmgr" -file myqmgr.req

    -label パラメータで指定するラベルは、すべて小文字で ibmwebspheremqmyqmgr の形にしてください。これは重要で、そうしないと、キューマネージャーは証明書の検索に失敗します。

  4. 証明書要求ファイル myqmgr.req を、CA ファイルが格納されているディレクトリに転送します。そのあと、次のディレクトリに移動します。


    C:\REPOS> copy myqmgr.req \myCAdir
C:\REPOS> cd \myCAdir

  5. 次のコマンドを実行して、キューマネージャーの証明書に署名します。


    C:\myCAdir> runmqckm -cert -sign -db myCA.kdb -label "myCAcertificate" -expire 365 
-format ascii -file myqmgr.req -target myqmgr.cer

    パスワードを要求されたら、CA キーリポジトリのパスワードを入力します。「証明書発行局を作成する」の最初の手順を参照してください。

  6. 署名付きの証明書 (myqmgr.cer) と CA の公開証明書 (myCAcertfile.cer) を元の C:\REPOS に転送します。


    C:\myCAdir> copy myqmgr.cer \REPOS
C:\myCAdir> copy myCAcertfile.cer \REPOS
C:\myCAdir> cd \REPOS

  7. CA の公開証明書をキューマネージャーのキーリポジトリに追加します。


    C:\REPOS> runmqckm -cert -add -db myqmgr.kdb -type cms -file myCAcertfile.cer 
-label "theCAcert"

    パスワードを要求されたら、キューマネージャーのキーリポジトリのパスワードを入力します。

  8. CA によって署名済みの証明書をキューマネージャーのキーリポジトリに受け入れます。


    C:\REPOS> runmqckm -cert -receive -db myqmgr.kdb -type cms -file myqmgr.cer

    パスワードを要求されたら、キューマネージャーのキーリポジトリのパスワードを入力します。前述の手順 1 を参照してください。

ProcedureJava CAPS に証明書を発行する

  1. アプリケーションサーバードメインのデフォルトの keystore.jks への証明書要求を作成します。


    <JavaCAPS>\appserver\domains\<domain_name>\config> runmqckm -certreq -create 
-db keystore.jks -type jks -dn "CN=Client Identifier,O=SUN,OU=BI,L=BLR,C=IN" 
-label "ibmwebspheremqmyuserid" -file myappj.req

    パスワードの作成を要求されたら、アプリケーションサーバーのデフォルトのパスワード changeit を入力します。選択された証明書ラベルは、ibmwebspheremqmyuserid です。

  2. 証明書要求ファイル (myappj.req) を、CA のファイルが格納されているディレクトリに転送し、そのディレクトリに移動します。


    <JavaCAPS>\appserver\domains\<domain_name>\config> copy myappj.req C:\myCAdir
<JavaCAPS>\appserver\domains\<domain_name>\config> cd  C:\myCAdir

  3. 次のコマンドを実行して、アプリケーションの証明書に署名します。


    C:\myCAdir> runmqckm -cert -sign -db myCA.kdb -label "myCAcertificate" -expire 365 
-format ascii -file myappj.req -target myappj.cer

    パスワードを要求されたら、CA キーリポジトリのパスワードを入力します。「証明書発行局を作成する」の最初の手順を参照してください。

  4. 署名付きの証明書 (myappj.cer) と CA の公開証明書 (myCAcertfile.cer) を元の C:\MYAPPJ に転送します。


    C:\myCAdir> copy myappj.cer <JavaCAPS>\appserver\domains\<domain_name>\config\
C:\myCAdir> copy myCAcertfile.cer<JavaCAPS>\appserver\domains\<domain_name>\config
C:\myCAdir> cd <JavaCAPS>\appserver\domains\<domain_name>\config

  5. CA 証明書を Java CAPS キーストアに追加します。


    <JavaCAPS>\appserver\domains\<domain_name>\config> runmqckm -cert -add 
-db keystore.jks -type jks -file myCAcertfile.cer -label "theCAcertificate"

    パスワードを要求されたら、Java CAPS キーストアパスワードとして changeit と入力します。

  6. CA によって署名された証明書を Java CAPS キーストアに受け入れます。


    <JavaCAPS>\appserver\domains\<domain_name>\config> runmqckm -cert -receive 
-db keystore.jks -type jks -file myappj.cer

    パスワードを要求されたら、Java CAPS キーストアパスワードとして changeit と入力します。

  7. CA 証明書をトラストストアに追加します。


    <JavaCAPS>\appserver\domains\<domain_name>\config> runmqckm -cert -add 
-db cacerts.jks -type jks -file myCAcertfile.cer -label "theCAcertificate"