証明書をキューマネージャーに発行する

各インフラストラクチャー内のキューマネージャーが、適切な識別名 (DN)の固有の証明書を持つようにしてください。DN は、WebSphere MQ ネットワーク内で一意にするようにしてください。

1. キューマネージャーのキーリポジトリを作成します。

   C:\myCAdir> mkdir \REPOS C:\myCAdir> cd \REPOS

2. 次のコマンドを発行して、キューマネージャーのキーデータベースを作成します。

   C:\REPOS> runmqckm -keydb -create -db myqmgr.kdb -type cms -stash

   パスワードの作成を要求されたら、キューマネージャーのキーリポジトリで使用するパスワードを入力します。

   -stash オプションは、stash ファイルを作成するためのもので重要です。ファイル名は myqmgr.sth になります。キューマネージャーは、このファイルを使用して、ユーザーにパスワードを要求することなくキーリポジトリを開くことができます。

3. 非公開鍵とともに、キューマネージャーの証明書要求ファイルを生成します。

   C:\REPOS> runmqckm -certreq -create -db myqmgr.kdb -type cms -dn "CN=QMNAME,O=SUN,OU=BI,L=BLR,C=IN" -label "ibmwebspheremqmyqmgr" -file myqmgr.req

   -label パラメータで指定するラベルは、すべて小文字で ibmwebspheremqmyqmgr の形にしてください。これは重要で、そうしないと、キューマネージャーは証明書の検索に失敗します。

4. 証明書要求ファイル myqmgr.req を、CA ファイルが格納されているディレクトリに転送します。そのあと、次のディレクトリに移動します。

   C:\REPOS> copy myqmgr.req \myCAdir C:\REPOS> cd \myCAdir

5. 次のコマンドを実行して、キューマネージャーの証明書に署名します。

   C:\myCAdir> runmqckm -cert -sign -db myCA.kdb -label "myCAcertificate" -expire 365 -format ascii -file myqmgr.req -target myqmgr.cer

   パスワードを要求されたら、CA キーリポジトリのパスワードを入力します。「証明書発行局を作成する」の最初の手順を参照してください。

6. 署名付きの証明書 (myqmgr.cer) と CA の公開証明書 (myCAcertfile.cer) を元の C:\REPOS に転送します。

   C:\myCAdir> copy myqmgr.cer \REPOS C:\myCAdir> copy myCAcertfile.cer \REPOS C:\myCAdir> cd \REPOS

7. CA の公開証明書をキューマネージャーのキーリポジトリに追加します。

   C:\REPOS> runmqckm -cert -add -db myqmgr.kdb -type cms -file myCAcertfile.cer -label "theCAcert"

   パスワードを要求されたら、キューマネージャーのキーリポジトリのパスワードを入力します。

8. CA によって署名済みの証明書をキューマネージャーのキーリポジトリに受け入れます。

   C:\REPOS> runmqckm -cert -receive -db myqmgr.kdb -type cms -file myqmgr.cer

   パスワードを要求されたら、キューマネージャーのキーリポジトリのパスワードを入力します。前述の手順 1 を参照してください。