自己署名付き証明書の生成 (Sun Java System Message Queue 3.7 UR1 管理ガイド)

Sun Java System Message Queue 3.7 UR1 管理ガイド

自己署名付き証明書の生成

キーツールユーティリティー (imqkeytool) を実行し、ブローカの自己署名付き証明書を生成します。UNIX® システムでは、キーストアを作成するアクセス権を取得するために、スーパーユーザー (root) としてユーティリティーを実行する必要があります。ssljms、ssladmin、cluster の接続サービスに対して、同じ証明書を使用できます。

コマンドプロンプトで次のとおり入力します。

imqkeytool -broker

キーツールユーティリティーによりキーストアのパスワードの入力が要求されます。

   Generating keystore for the broker ...
   Enter keystore password:

次に、ユーティリティーにより、この証明書の所有者であるブローカを識別する情報の入力が要求されます。指定する情報は、X.500 識別名になります。表 7–5 に、プロンプトと、それぞれに指定する値を示します。値は大文字と小文字を区別し、空白を使用できます。

表 7–5 自己署名付き証明書に必要な識別名情報


プロンプト	X.500 属性	説明	例
`姓名を入力してください。`	`commonName` (`CN`)	ブローカを実行しているサーバーの完全修飾名	`mqserver.sun.com`
`組織単位名を入力してください。`	`organizationalUnit` (`OU`)	部署または部門の名前	`purchasing`
`組織名を入力してください。`	`organizationName` (`ON`)	企業または政府機関などの大規模組織の名前	`My Company, Inc.`
`都市名または地域名を入力してください。`	`localityName` (`L`)	市町村の名前	`San Francisco`
`州名または地方名を入力してください。`	`stateName` (`ST`)	(頭語ではない) 州または県の完全名	`California`
`この単位に該当する 2 文字の国番号を入力してください。`	`country` (`C`)	標準的な 2 文字国コード	`US`

情報を入力し終えたら、キーツールユーティリティーにより確認の画面が表示されます。たとえば、次のように指定します。

   Is CN=mqserver.sun.com, OU=purchasing, ON=My Company, Inc.,
   L=San Francisco, ST=California, C=US correct?

現在の値でよければ、先に進み、yes を入力します。値を再入力する場合は、デフォルトを使用するか no を入力します。確認後、ユーティリティーが鍵ペアを生成する間、このユーティリティーは停止します。

次に、ユーティリティーから鍵ペアをロックするためのパスワードの入力が要求されます (キーパスワード)。このプロンプトに対して Return キーを押し、キーパスワードおよびキーストアパスワードと同じパスワードを使用します。

注 –

指定したパスワードは覚えておいてください。ブローカの起動時にこのパスワードを指定し、ブローカがキーストアを開けるようにする必要があります。キーストアパスワードはパスワードファイルに保存できます (「パスワードファイル」を参照)。

キーツールユーティリティーは、自己署名付き証明書を生成し、Message Queue のキーストアに配置します。キーストアは、付録 A 「プラットフォームごとの Message Queue^TM データの場所」に記載されているとおり、オペレーティングシステムに応じたディレクトリにあります。

次に示すのは、SSL ベースの接続サービスの場合の、Message Queue キーストアの設定可能なプロパティーです。

imq.keystore.file.dirpath: キーストアファイルが配置されているディレクトリへのパスです。デフォルト値については、付録 A 「プラットフォームごとの Message Queue^TM データの場所」を参照してください。
imq.keystore.file.name: キーストアファイル名です。
imq.keystore.password: キーストアのパスワードです。

状況によっては、特定の問題を解決するために、鍵ペアを生成し直す必要があります。たとえば、キーストアのパスワードを忘れてしまった場合や、ブローカの起動時に次の例外が発生し、SSL ベースのサービスの初期化に失敗した場合などです。

java.security.UnrecoverableKeyException:Cannot recover key

この例外は、自己署名付き証明書を生成したときに、キーストアのパスワードと違ったものをキーのパスワードに設定した場合に発生する可能性があります。

鍵ペアを生成し直す

付録 A 「プラットフォームごとの Message Queue^TM データの場所」に示すとおり、ブローカのキーストアを削除します。

上記の説明に従って、imqkeytool をもう一度実行し、新しい鍵ペアを生成します。