証明書の管理

証明書は、SAML アサーションや OAuth、OpenID Connect JSON Web トークン (JWT) などのさまざまなオブジェクトの署名、検証、暗号化、および暗号化解除に使用されます。

始める前に

このタスクを完了するには管理者権限が必要です。
IBM® Verify 管理者として管理コンソールにログインしてください。

注： CAが署名した証明書を使用する場合、証明書チェーンに含まれるすべての中間証明書およびルート証明書をtruststoreに IBM Verify インポートする必要があります。 CA 署名証明書には有効な CRL が定義されている必要があり、CRL サイトはアクセス可能でなければなりません。

このタスクについて

Verify 以下の証明書を使用しています：

個人証明書

クライアントまたはサーバーが認証のために他のクライアントまたはサーバーに提供するデジタル・トラスト証明書。

個人証明書には、データの署名と暗号化のために、署名者証明書または公開鍵、および秘密鍵の両方が含まれています。

IDプロバイダーは、 SAML による認証応答に常に署名を行います。 SAML のシングルサインオンを設定する際は、サービスプロバイダーに対して、署名者証明書または個人証明書の公開鍵コンポーネントを提供する必要があります。この情報は、アイデンティティー・プロバイダーの ID を検証します。署名者証明書または個人証明書の公開鍵は、「アプリケーション」＞「サインオン手順」に自動的に入力されます。

証明書は、OIDC シングル・サインオン・アプリケーションの ID トークンに署名するためにも使用されます。

Verify 個人用証明書が含まれています。ただし、この証明書は、デモンストレーション、PoC (概念検証)、または PoT (技術検証) の目的でのみ使用することを意図しています。付属の証明書は、実稼働環境では使用しないでください。 Verify の初期セットアップ時に別の個人証明書を追加します。

複数の個人証明書を追加できますが、以下のように設定された証明書が常に 1 つ必要です。

server「フレンドリーネーム」が. に設定されている場合。
デフォルトとして設定されている。 SAML の認証応答の署名には、デフォルトの証明書のみが使用されます。

デフォルトの個人証明書の期限切れが近づいている場合は、必ずデフォルトを変更してから、その個人証明書の公開鍵を使用していたアプリケーションのシングル・サインオンを再構成してください。そうしないと、公開鍵が新しいデフォルトの個人証明書に対応していない場合、シングル・サインオン構成が機能しません。

署名者証明書

サービス・プロバイダーによって生成され、提供されるデジタル・トラスト証明書で、ターゲット・アプリケーションのアカウントまたはインスタンスに固有です。

署名者証明書には、ターゲット・アプリケーションの個人証明書に関連付けられた公開鍵が含まれています。署名者証明書により、証明書の発行者が検証されて信頼されるようになります。 Verify この証明書を使用して、ターゲットアプリケーションから受信した署名付き SAML 認証要求を検証し、ターゲットアプリケーションを信頼していることを Verify 示します。

サービスプロバイダーが SAML 認証リクエストに署名する場合、その署名者証明書を提供します。一般的に、署名者証明書の詳細は、サービス・プロバイダー・メタデータから取得できます。対象アプリケーションの SAML シングルサインオンを設定する前に、 Verify これをインポートしてください。

サービスプロバイダーが SAML 認証要求に署名しない場合、署名者証明書は提供されません。

複数の署名者証明書を追加できます。

注： SAML のエンタープライズIDプロバイダーを追加すると、その署名者証明書は「セキュリティ」>「証明書」>「署名者証明書」ページに自動的にインポートされます。

以下のタスクを実行できます。

証明書情報を表示する
個人証明書を追加する
署名者証明書を追加する
個人証明書または署名者証明書を削除する

手順

「セキュリティ」＞「証明書」を選択します

証明書情報を表示します。

証明書を選択すると、「証明書の詳細」ダイアログボックスが表示され、以下の情報が表示されます：

表 1. 証明書の詳細
情報	説明
分かりやすい名前	証明書別名とも呼ばれます。これは表示名です。これは、シリアル番号や発行者DN ではなく、証明書そのものを指すものと見なされます。小文字テキストである必要があります。英数字のみを使用してください。
証明書タイプ	証明書が個人証明書であるか署名者証明書であるかを識別します。
発行者識別名	証明書に署名して発行したエンティティーの識別名。通常、これは認証局です。これは、コンマで区切られた複数の`attribute=value`ペアで構成されます。 CN: CommonName 組織の完全修飾ドメイン名。 OU: OrganizationalUnit 組織内の部門または部署の名前。 O: Organization 市区町村、県、または国/地域の適切な機関で登録されている組織の登記名。 L: Locality その組織の所在地がある都市。 ST: StateOrProvinceName 組織の所在地の都道府県。 C®： CountryName 2 文字の国コードまたは地域コード。
サブジェクト DN	サブジェクト識別名。証明書の発行先のエンティティー名。これは、コンマで区切られた複数の`attribute=value`ペアで構成されます。
有効開始日	この証明書の有効期間の開始日。証明書が有効なのは特定の期間に限られます。認証局は証明書に署名する際に、証明書の有効期間を設定して開始します。指定した日付は、ローカルの日時設定に依存します。
有効期限	この日付を過ぎると、証明書は無効です。指定した日付は、ローカルの日時設定に依存します。
シリアル番号	証明書を、認証局が発行した他の証明書から区別するための固有 ID。
フィンガープリント	証明書を識別するためのダイジェスト・アルゴリズム。公開鍵証明書のハッシュおよび SAML 2.0 送信メッセージへの署名に使用されるアルゴリズム。 SHA-1 注：SSL の証明書発行機関は、2016年1月よりこのアルゴリズムの使用を非推奨としています。 SHA-256
デフォルト証明書	これがデフォルト証明書かどうかを示します。デフォルトの個人証明書は編集も削除もできません。
署名アルゴリズム	証明書のハッシュおよび暗号化アルゴリズム。

個人証明書を追加する。

「個人証明書を追加」を選択します。「個人証明書の追加」ダイアログ・ボックスが表示されます。
「 PKCS#12 (.p12)」または「 PKCS#8 (.p8)」ファイルを探してください。または、ドロップ領域にドラッグします。

注：PKCS#12 ファイル形式ではRSA証明書のみがサポートされており、 PKCS#8 ファイル形式ではECDSA証明書のみがサポートされています。

選択したファイルの名前が表示されます。

新規証明書について、以下の情報を指定します。

表 2. 「個人用証明書の追加」ダイアログボックス
情報	説明
ファイルのパスワード	.p12ファイルの場合にのみ必要です。証明書ファイルの暗号化を解除してインストールするためのパスワード。
分かりやすい名前	.p8 ファイルの場合は必須ですが、.p12 filesの場合はオプションです。証明書のラベル。
デフォルト証明書	これがデフォルト証明書かどうかを示します。注：デフォルトの証明書として使用できるのは、証明書のみ .p12 です。

「OK」を選択します。

署名者証明書を追加します。
1. 「署名者証明書を追加」を選択します。「署名者証明書の追加」ダイアログ・ボックスが表示されます。
2. .pem ファイルを選択するか、ドロップエリアにドラッグしてください。
  選択したファイルの名前が表示されます。
3. 新しい証明書の「フレンドリー名」を指定してください。詳細は表1を参照のこと。
4. 「OK」を選択します。
  証明書は「署名者証明書」セクションに表示されます。また、 [アプリケーション ] > [サインオン] ページにある「サービスプロバイダー署名証明書」の値としても追加されます。
個人証明書または署名者証明書を削除します。
1. 以下のいずれかの操作を実行します。
  - 削除したい証明書にカーソルを合わせ、アイコンを選択します。
  - 証明書を選択します。
2. 「削除」を選択します。
3. 選択した 1 人以上のユーザーを完全に削除することを確認します。