署名済みのサーバー証明書を作成するには
1. SSL プロトコルの公開キー暗号化で使用する新しい証明書を作成します。キー ペアには次のものが含まれています。
◦ 証明書に発行される公開キー
◦ サーバーによってのみアクセスできる秘密キー
次の例では、現在のディレクトリが、jre がインストールされているディレクトリであることを前提としています。
% <JREInstallDir>/bin/keytool -genkeypair -alias myname -storetype PKCS12
-keystore <ServerInstallDir>/data/tls/certificate.p12 -keyalg RSA
ここで
◦ -genkeypair では、新しいキーペアの生成を指定します。
◦ -alias では、キーストアの新しいキー エントリに関連付ける名前を指定します。
|
|
指定するエイリアス名は、この手順の後半で再度指定する必要があるので、書き留めておくか、覚えておくようにしてください。
|
◦ -storetype では、キーストアのフォーマットを指定します。フォーマットは PKCS12 にする必要があります。サーバー証明書は、それ以外のキーストアのタイプでは読み取ることができません。
◦ -keystore では、キーストアへのパス名を指定します。
|
|
コマンドの実行時に、キーストアおよび証明書のパスワードなどの追加情報を指定するように要求するメッセージが表示されます。パスワードは同一で、かつ is.properties ファイルの mksis.privatekey.password プロパティで指定される必要があります。表示されるプロンプトの詳細については、keytool ドキュメンテーションを参照してください。
|
◦ -keyalg では、強度の高いキーとの競合を回避します。フォーマットは RSA にする必要があります。
2. 証明書署名要求 (CSR) を作成して CA に送信します。以下に例を示します。
% <JREInstallDir>/bin/keytool -certreq -alias myname -storetype PKCS12
-keystore <ServerInstallDir>/data/tls/certificate.p12 -file data/tls/certificate.csr
ここで
◦ -certreq では、CSR の作成を指定します。
◦ -alias では、CSR の作成に使用するストアの既存のエントリ名を指定します。この名前は手順 1 で指定した名前です。
◦ -file では、CSR を書き込むファイルのパスを指定します。
CSR には次の情報を含めてください。
◦ キーストアパスワード
◦ 姓名 (これはホスト マシンの完全修飾ドメイン名である必要があります)
◦ 組織単位および部署の名前
◦ 組織の名前
◦ 市区町村
◦ 都道府県
◦ 2 文字の国コード (CA、US など)
◦ キーペアのパスワード (キーストアと異なる場合)
3. CA から署名済みの証明書を取得する場合は、証明書が次のいずれかのフォーマットであることを確認してください。
◦ DER エンコード バイナリ X.509 (.der / .cer)
◦ Base-64 エンコード X.509 (.pem / .cer)
◦ PKCS #7 証明書 (.p7b)
可能であれば、証明パスにあるすべての証明書をこのフォーマットにしてください。
カスタム ルート CA またはカスタム中間 CA (Verisign の場合) が使用されている場合は、次のいずれかの操作を行います。
◦ カスタム ルート CA またはカスタム中間 CA 証明書を certificate.p12 キーストアにインポートします。
<JREInstallDir>/bin/keytool –importcert –alias <alias> -storetype PKCS12
–keystore <ServerInstallDir>/data/tls/certificate.p12 –file <custom_ca_certificate>
ここで
▪ -importcert では、証明書の応答のインポートを指定します。
▪ -alias では、インポート元となる既存のエントリの名前を指定します。この名前は手順 1 で指定した名前です。
▪ -file では、CA の要求の読み込み元のパスを指定します。
◦ 署名済みのサーバー証明書が取得されたときに、PKCS #7 証明書 (.p7b) を取得します。
4. カスタムルート CA またはカスタム中間 CA が使用された場合は、それらの CA を Windchill RV&S Server の JRE 環境の jssecacerts キーストアにインポートします。次に例を示します。
% <JREInstallDir>/bin/keytool –importcert –alias <エイリアス>
–keystore <JRE インストールディレクトリ>/lib/security/jssecacerts
–file <カスタム CA 証明書>
ここで
◦ -importcert では、証明書の応答のインポートを指定します。
◦ -alias では、インポート元となる既存のエントリの名前を指定します。この名前は手順 1 で指定した名前です。
◦ -file では、CA の要求の読み込み元のパスを指定します。
|
|
• このコマンドにより、キーストア パスワードが要求されます。jssecacerts キーストアが存在しない場合は、初期パスワードとして任意のパスワードを入力できます。後で参照できるように、そのパスワードを安全な場所に書き留めておきます。
• 認証局 (CA) で自身のルート CA 証明書または中間 CA 証明書が更新されている場合は、その証明書を jssecacerts キーストアに追加する必要があります。Java をキーストア検索に使用する方式のため、関連するすべての CA 証明書は jssecacerts キーストア内に存在する必要があります。
|
5. 証明書を受信したら、その証明書をキーストアにインポートします。次に例を示します。
% <JREInstallDir>/bin/keytool –importcert –alias myname -storetype PKCS12
–keystore /data/tls/certificate.p12 -file data/tls/certificate.pem
ここで
◦ -importcert では、証明書の応答のインポートを指定します。
◦ -alias では、インポート元となる既存のエントリの名前を指定します。この名前は手順 1 で指定した名前です。
◦ -file では、CA の要求の読み込み元のパスを指定します。
6. カスタムルート CA またはカスタム中間 CA が使用された場合は、Windchill RV&S Server に接続する前に、それらの CA をすべての Windchill RV&S Client の JRE 環境の jssecacerts キーストアにインポートする必要があります。
% <JREInstallDir>/bin/keytool –importcert –alias <alias>
–keystore <JREInstallDir>/lib/security/jssecacerts
-file <custom_ca_certificate>
|
|
JRE インストールディレクトリは、Windchill RV&S Client で使用される JRE です。この JRE のパスが不明な場合は、Windchill RV&S Client の lax ファイルの LAX.NL.CURRENT.VM プロパティを参照してください。
|
または、証明書をインポートする代わりに、Windchill RV&S Server 上の jssecacerts キーストアを各 Windchill RV&S Client に配布することもできます。jssecacerts キーストアを <JREInstallDir>/lib/security にコピーし、Windchill RV&S Client を再起動します。
7. 次を確認して、SSL が有効であることを確認します。
<ServerInstallDir>/config/properties/security.properties
SSL が有効になっている場合は、セキュリティ ポリシー キー mks.security.policy.scheme によって、使用されているprivate セキュリティ ポリシーが示されます。
|
|
セキュリティ ポリシー キーは自動的に設定されません。_private を使用するセキュリティ ポリシーを設定するまで、システムはすべてのユーザー インタフェースに対して安全ではありません。
Web クライアントインタフェースについては、ユーザーが https://<host name>:<ssl port> を参照すると、セキュアな接続が確立されます。
|
