Enterprise Server with HADB バンドルを使用している場合は、次のコマンドを実行して DAS 証明書をエクスポートします。
<as home>/lib/upgrade/pk12util -d <domain root>/config -o sjsas.p12-W <file password> -K <master password> -n s1as
GlassFish v2.1 または HADB バンドルのない Enterprise Server を使用している場合は、次のコマンドを使用して DAS 証明書をエクスポートする必要があります。
<JAVA_HOME>/bin/keytool -export -rfc -alias s1as -keystore <GLASSFISH_HOME>/domains/<DOMAIN_NAME>/config/keystore.jks-file s1as.rfc
ここで、<GLASSFISH_HOME> は Application Server のインストールディレクトリ、<DOMAIN_NAME> は証明書のエクスポート元のドメインを示します。
証明書ファイルを Web サーバーの構成ディレクトリにコピーします。
Enterprise Server with HADB バンドルを使用している場合、次のコマンドを使用して、DAS 証明書を Web Server インスタンスにインポートします。
<webserver home>/bin/https/admin/bin/pk12util-i sjsas.p12-d <webserver home>/alias -W<file password> -K <webserver security db password> -P <instance-name>-<hostname>-
<webserver home>/bin/https/admin/bin/certutil -M -n s1as -t "TCu,Cu,Tuw" -d alias -P <instance-name>-<hostname>-
このコマンドにより、Application Server CA が、クライアント証明書およびサーバー証明書の両方に署名するための信頼済み CA になります。
GlassFish v2.1 または HADB バンドルのない Enterprise Server を使用している場合は、NSS セキュリティーツールの certutil を使用して作成された rfc ファイルから DAS 証明書をインポートします。
<webserver_home>/bin/certutil -A -a -n s1as -t "TCu,Cu,Tuw" -i s1as.rfc -d alias -P <instance-name>-<hostname>-
<webserver_home> は、Web サーバーのインストールディレクトリです。
次のコマンドを使用することで、この証明書の存在を確認できます。このコマンドは、デフォルトのサーバー証明書を含むその他の CA 証明書とともに s1as 証明書を一覧表示します。コマンドは必ず 1 行で入力してください。
<WS_INSTALL_ROOT>/bin/certutil -L -d <WS_INSTALL_ROOT>/admin-server/config-store/ <DEFAULT_CONFIG_NAME>/config
obj.conf に次の行が含まれていない場合は、ファイルの末尾に追加してください。Enterprise Server with HADB バンドルを使用している場合、この手順はインストールプログラムによって自動的に実行されます。
<Object ppath="*lbconfigupdate*"> PathCheck fn="get-client-cert" dorequest="1" require="1" <Object> <Object ppath="*lbgetmonitordata*"> PathCheck fn="get-client-cert" dorequest="1" require="1" </Object>
「設定の確認」で説明されている手順を使用することにより、上記の設定を DAS から確認できます。ローカル CA を使用する代わりに、ほかの任意の CA およびサーバー証明書を使用できます。その場合、前の節の手順 5 および 6 は省略できますが、ほかの CA から入手したサーバー証明書をインポートする必要があります。