次のタスクを実行します。
次の手順では、WebSphere MQ で提供されるコマンド行ユーティリティーを使用して証明書発行局 (CA) を作成する方法について説明します。
CA のキーリポジトリを作成します。
次に示すテキストを入力して、ディレクトリを作成し、そのディレクトリにキーリポジトリファイルを作成します。
C:\> mkdir \myCAdir C:\> cd \myCAdir C:\myCAdir> runmqckm -keydb -create -db myCA.kdb -type cms |
パスワードの作成を要求されたら、CA のキーリポジトリで使用するパスワードを入力します。
この CA の識別に使用される、自己署名付き CA 証明書を作成します。
C:\myCAdir> runmqckm -cert -create -db myCA.kdb -type cms -label "myCAcertificate" -dn "CN=myCAName,O=myOrganisation,OU=myDepartment,L=myLocation,C=IN" -expire 1000 -size 1024 |
CA 証明書を myCAcertfile.cer という名前のファイルに抽出します。このファイルは、あとでキューマネージャーとクライアントアプリケーションのキーリポジトリに転送します。
C:\myCAdir> runmqckm -cert -extract -db myCA.kdb -type cms -label "myCAcertificate" -target myCAcertfile.cer -format ascii |
各インフラストラクチャー内のキューマネージャーが、適切な識別名 (DN)の固有の証明書を持つようにしてください。DN は、WebSphere MQ ネットワーク内で一意にするようにしてください。
キューマネージャーのキーリポジトリを作成します。
C:\myCAdir> mkdir \REPOS C:\myCAdir> cd \REPOS |
次のコマンドを発行して、キューマネージャーのキーデータベースを作成します。
C:\REPOS> runmqckm -keydb -create -db myqmgr.kdb -type cms -stash |
パスワードの作成を要求されたら、キューマネージャーのキーリポジトリで使用するパスワードを入力します。
-stash オプションは、stash ファイルを作成するためのもので重要です。ファイル名は myqmgr.sth になります。キューマネージャーは、このファイルを使用して、ユーザーにパスワードを要求することなくキーリポジトリを開くことができます。
非公開鍵とともに、キューマネージャーの証明書要求ファイルを生成します。
C:\REPOS> runmqckm -certreq -create -db myqmgr.kdb -type cms -dn "CN=QMNAME,O=SUN,OU=BI,L=BLR,C=IN" -label "ibmwebspheremqmyqmgr" -file myqmgr.req |
-label パラメータで指定するラベルは、すべて小文字で ibmwebspheremqmyqmgr の形にしてください。これは重要で、そうしないと、キューマネージャーは証明書の検索に失敗します。
証明書要求ファイル myqmgr.req を、CA ファイルが格納されているディレクトリに転送します。そのあと、次のディレクトリに移動します。
C:\REPOS> copy myqmgr.req \myCAdir C:\REPOS> cd \myCAdir |
次のコマンドを実行して、キューマネージャーの証明書に署名します。
C:\myCAdir> runmqckm -cert -sign -db myCA.kdb -label "myCAcertificate" -expire 365 -format ascii -file myqmgr.req -target myqmgr.cer |
パスワードを要求されたら、CA キーリポジトリのパスワードを入力します。「証明書発行局を作成する」の最初の手順を参照してください。
署名付きの証明書 (myqmgr.cer) と CA の公開証明書 (myCAcertfile.cer) を元の C:\REPOS に転送します。
C:\myCAdir> copy myqmgr.cer \REPOS C:\myCAdir> copy myCAcertfile.cer \REPOS C:\myCAdir> cd \REPOS |
CA の公開証明書をキューマネージャーのキーリポジトリに追加します。
C:\REPOS> runmqckm -cert -add -db myqmgr.kdb -type cms -file myCAcertfile.cer -label "theCAcert" |
パスワードを要求されたら、キューマネージャーのキーリポジトリのパスワードを入力します。
CA によって署名済みの証明書をキューマネージャーのキーリポジトリに受け入れます。
C:\REPOS> runmqckm -cert -receive -db myqmgr.kdb -type cms -file myqmgr.cer |
パスワードを要求されたら、キューマネージャーのキーリポジトリのパスワードを入力します。前述の手順 1 を参照してください。
アプリケーションサーバードメインのデフォルトの keystore.jks への証明書要求を作成します。
<JavaCAPS>\appserver\domains\<domain_name>\config> runmqckm -certreq -create -db keystore.jks -type jks -dn "CN=Client Identifier,O=SUN,OU=BI,L=BLR,C=IN" -label "ibmwebspheremqmyuserid" -file myappj.req |
パスワードの作成を要求されたら、アプリケーションサーバーのデフォルトのパスワード changeit を入力します。選択された証明書ラベルは、ibmwebspheremqmyuserid です。
証明書要求ファイル (myappj.req) を、CA のファイルが格納されているディレクトリに転送し、そのディレクトリに移動します。
<JavaCAPS>\appserver\domains\<domain_name>\config> copy myappj.req C:\myCAdir <JavaCAPS>\appserver\domains\<domain_name>\config> cd C:\myCAdir |
次のコマンドを実行して、アプリケーションの証明書に署名します。
C:\myCAdir> runmqckm -cert -sign -db myCA.kdb -label "myCAcertificate" -expire 365 -format ascii -file myappj.req -target myappj.cer |
パスワードを要求されたら、CA キーリポジトリのパスワードを入力します。「証明書発行局を作成する」の最初の手順を参照してください。
署名付きの証明書 (myappj.cer) と CA の公開証明書 (myCAcertfile.cer) を元の C:\MYAPPJ に転送します。
C:\myCAdir> copy myappj.cer <JavaCAPS>\appserver\domains\<domain_name>\config\ C:\myCAdir> copy myCAcertfile.cer<JavaCAPS>\appserver\domains\<domain_name>\config C:\myCAdir> cd <JavaCAPS>\appserver\domains\<domain_name>\config |
CA 証明書を Java CAPS キーストアに追加します。
<JavaCAPS>\appserver\domains\<domain_name>\config> runmqckm -cert -add -db keystore.jks -type jks -file myCAcertfile.cer -label "theCAcertificate" |
パスワードを要求されたら、Java CAPS キーストアパスワードとして changeit と入力します。
CA によって署名された証明書を Java CAPS キーストアに受け入れます。
<JavaCAPS>\appserver\domains\<domain_name>\config> runmqckm -cert -receive -db keystore.jks -type jks -file myappj.cer |
パスワードを要求されたら、Java CAPS キーストアパスワードとして changeit と入力します。
CA 証明書をトラストストアに追加します。
<JavaCAPS>\appserver\domains\<domain_name>\config> runmqckm -cert -add -db cacerts.jks -type jks -file myCAcertfile.cer -label "theCAcertificate" |