署名済みの証明書を作成するには

Agent のインストールおよび構成 > Windchill RV&S Agentセキュリティ > 署名済みの Windchill RV&S Agent証明書の作成 > 署名済みの証明書を作成するには

署名済みの証明書を作成するには

1. SSL プロトコルの公開キー暗号化で使用する新しい証明書を作成します。キーペアには次のものが含まれています。

◦ 証明書に発行される公開キー

◦ Windchill RV&S Agent からのみアクセスできる秘密キー

以下の例では、現在のディレクトリが Windchill RV&S Agent のルートディレクトリであることを前提としています。

% jre/bin/keytool -genkeypair -alias myname -storetype PKCS12
-keystore data/tls/certificate.p12 -keyalg RSA

ここで

◦ -genkeypair では、新しいキーペアの生成を指定します。

◦ -alias では、キーストアの新しいキーエントリに関連付ける名前を指定します。

指定するエイリアス名は、この手順の後半で再度指定する必要があるので、書き留めておくか、覚えておくようにしてください。

◦ -storetype では、キーストアのフォーマットを指定します。フォーマットは PKCS12 にする必要があります。証明書は、それ以外のキーストアのタイプでは読み取ることができません。

◦ -keystore では、キーストアへのパス名を指定します。

コマンドの実行時に、キーストアおよび証明書のパスワードなどの追加情報を指定するように要求するメッセージが表示されます。パスワードは同一で、かつ agent.properties ファイルの mksagent.privatekey.password プロパティで指定される必要があります。表示されるプロンプトの詳細については、keytool ドキュメンテーションを参照してください。

◦ -keyalg では、強度の高いキーとの競合を回避します。フォーマットは RSA にする必要があります。

2. 証明書署名要求 (CSR) を作成して CA に送信します。以下に例を示します。

% jre\bin\keytool -certreq -alias myname -storetype PKCS12
-keystore data\tls\certificate.p12
-file data\tls\certificate.csr

ここで

◦ -certreq では、CSR の作成を指定します。

◦ -alias では、CSR の作成に使用するストアの既存のエントリ名を指定します。この名前は手順 1 で指定した名前です。

◦ -file では、CSR を書き込むファイルのパスを指定します。

CSR には次の情報を含めてください。

◦ キーストアパスワード

◦ 姓名 (ホストマシンの完全修飾ドメイン名でなければなりません)

◦ 組織単位/部署名

◦ 組織名

◦ 市区町村

◦ 都道府県

◦ 2 文字の国コード (CA、US など)

◦ キーペアのパスワード (キーストアと異なる場合)

3. CA から署名済みの証明書を取得する場合は、証明書が次のいずれかの形式になっていることを確認してください。

◦ DER エンコードバイナリ X.509 (.der / .cer)

◦ Base-64 エンコード X.509 (.pem / .cer)

◦ PKCS #7 証明書 (.p7b)

可能であれば、証明パスにあるすべての証明書をこのフォーマットにしてください。

カスタムルート CA またはカスタム中間 CA (Verisign の場合) が使用されている場合は、次のいずれかの操作を行います。

◦ カスタムルート CA またはカスタム中間 CA 証明書を cacerts キーストアにインポートします。

jre/bin/keytool –importcert –alias <alias> -storetype PKCS12
–keystore data/tls/certificate.p12 –file <custom_ca_certificate>

◦ 署名済みのサーバー証明書が取得されたときに、PKCS #7 証明書 (.p7b) を取得します。

4. カスタムのルート CA またはカスタムの中間 CA を使用していた場合は、その CA を Windchill RV&S Agent の JRE 環境の jssecacerts キーストアにインポートします。以下に例を示します。

% jre/bin/keytool –importcert –alias <alias>
–keystore <Integrity Agent installdir>
/jre/lib/security/jssecacerts –file <custom_ca_certificate>

• このコマンドにより、キーストアパスワードが要求されます。jssecacerts キーストアが存在しない場合は、初期パスワードとして任意のパスワードを指定できます。後で参照できるように、そのパスワードを安全な場所に書き留めておきます。

• 認証局 (CA) で自身のルート CA 証明書または中間 CA 証明書が更新されている場合は、その証明書を jssecacerts キーストアに追加する必要があります。Java をキーストア検索に使用する方式のため、関連するすべての CA 証明書は jssecacerts キーストア内に存在する必要があります。

5. 証明書を受信したら、その証明書をキーストアにインポートします。次に例を示します。

% jre\bin\keytool -importcert -alias myname -storetype PKCS12
-keystore data\tls\certificate.p12
-file data\tls\certificate.pem

ここで

◦ -importcertでは、証明書の応答のインポートを指定します。

◦ -alias では、インポート元となる既存のエントリの名前を指定します。この名前は手順 1 で指定した名前です。

◦ -file では、CA の要求の読み込み元のパスを指定します。

6. カスタムのルート CA またはカスタムの中間 CA を使用していた場合は、すべての Windchill RV&S Server について、その CA を JRE 環境の jssecacerts キーストアにインポートする必要があります。Windchill RV&S Agent に接続する前に、カスタムのルート CA またはカスタムの中間 CA がインポートされていることを確認してください。

次に例を示します。

% <Integrity server installdir>/jre/bin/keytool –importcert –alias <alias>
–keystore <Integrity server installdir>/jre/lib/security/jssecacerts
-file <custom_ca_certificate>

または、証明書をインポートする代わりに、Windchill RV&S Agent の jssecacerts キーストアを各 Windchill RV&S Server に配布することもできます。その場合は、jssecacerts キーストアを <Integrity server installdir>/jre/lib/security にコピーしてから Windchill RV&S Server を再起動してください。

7. 以下のファイルを調べて、SSL が有効になっていることを確認します。

<Integrity Agent installdir>/config/properties/security.properties

SSL が有効になっている場合は、private セキュリティポリシーを使用することがセキュリティポリシーのキー mks.security.policy.scheme で指定されています。

セキュリティポリシーキーは自動的に設定されません。_private を使用するセキュリティポリシーを設定するまで、システムはすべてのユーザーインタフェースに対して安全ではありません。