認証局要求の作成

Secure Sockets Layer (SSL) 通信を確実に行えるようにするために、サーバーは、自己署名されているか、外部の認証局 (CA) によってチェーニングまたは署名されている個人証明書を要求します。 CA によって署名された証明書を取得するには、最初に個人証明書要求を作成する必要があります。

事前処理

個人証明書要求を格納している鍵ストアが事前に存在している必要があります。
代替方法: wsadmin ツールを使用して認証要求を作成するには、 AdminTask オブジェクトの createCertificateRequest コマンドを使用します。 詳しくは、AdminTask オブジェクトの CertificateRequestCommands コマンド・グループの項目を参照してください。
問題の回避: WebSphere® Application Server を使用して CA 要求を作成する前に、使用する CA の要件を把握しておく必要があります。 WebSphere Application Server SSL CA 証明書要求プロセスが管理コンソールから開始された場合、組織プロパティーは必須設定としてマークされません。 ただし、VeriSign など一部の CA からの証明書を要求する場合、組織プロパティーは必要な設定です。

このタスクの概要

管理コンソールで以下のステップを実行します。

手順

  1. 「セキュリティー」 > 「SSL 証明書および鍵管理」 > をクリックします。 鍵ストアおよび証明書 > keystore
  2. 個人証明書要求 > 「新規」をクリックします。
  3. 証明書要求ファイルの絶対パスを入力します。
    このロケーションに証明書要求が作成されます。
  4. 鍵ラベル 」フィールドに別名を入力します。

    別名により、鍵ストアの証明書要求が識別されます。

    証明書要求を作成すると、証明書別名から空のスペースがすべて削除されます。 スペースが空の証明書別名は、Java™ バージョン間の互換性の問題を引き起こす可能性があります。

  5. 共通名 (CN) の値を入力します。
    この値は、 証明書の識別名 (DN) の CN の値です。
  6. 以下のオプション値 (複数可) を構成できます。
    • 鍵サイズの値を選択します。 有効な鍵サイズの値は、512、1024、2048、4096、および 8192 です。 デフォルトの鍵サイズの値は 2048 ビットです。
    • 組織の値を入力します。 この値は、証明書 DN の O の値です。
      注: 組織値にコンマ (,) を指定する場合は、コンマを二重引用符 (") で囲む必要があります。 円記号 (¥) でエスケープすることもできます。 識別名ストリング値にコンマが含まれていて、この方法で指定されていない場合、組織値は無効な名前としてエラーになります。 正しい指定方法を以下の例に示します。
      • X および Y Services, Inc. を指定します。 形式: "X and Y Services, Inc." OR X and Y Services\, Inc.
      • X、Y、および Z 会社を次のように指定します: "X, Y, and Z Company" OR X\, Y\, and Z Company
    • 組織単位の値を入力します。 この組織単位の値は、証明書 DN の OU の値です。
      注: 組織単位値に (,) コンマを指定する場合は、コンマを二重引用符 (") で囲む必要があります。 円記号 (¥) でエスケープすることもできます。 識別名ストリング値にコンマが含まれていて、この方法で指定されていない場合、組織単位値は無効な名前としてエラーになります。 正しい指定方法を以下の例に示します。
      • 「Sales」、「Distribution」を "Sales, Distribution" OR Sales\, Distribution として指定します。
      • 在庫、統制、およびマーケティングを次のように指定します: "Inventory, Control, and Marketing" OR Inventory\, Control\, and Marketing
    • 市町村の値を入力します。 この市町村の値は、証明書 DN の L の値です。
    • 都道府県の値を入力します。 この値は、証明書 DN の ST の値です。
    • 郵便番号の値を入力します。 この郵便番号の値は、証明書 DN の POSTALCODE の値です。
    • リストから国別値を選択します。 この国別値は、証明書要求 DN の C= の値です。
    • [9.0.5.5 以降]署名アルゴリズムを選択します。 デフォルトは RSAwithSHA256 です。
    • [9.0.5.5 以降]証明書の鍵用途を 1 つ以上選択します。 デフォルトでは、何も含まれていません。
    • [9.0.5.5 以降]証明書の拡張鍵用途を 1 つ以上選択します。 デフォルトでは、何も含まれていません。
    • [9.0.5.5 以降]証明書のサブジェクト代替名の一部にする E メール・アドレスを入力します。
    • [9.0.5.5 以降]証明書のサブジェクト代替名の一部にする DNS 名を入力します。
    • [9.0.5.5 以降]証明書のサブジェクト代替名の一部にする IP アドレスを入力します。
  7. 「適用」をクリックします。

結果

指定されたファイル・ロケーションの鍵ストア内に証明書要求が作成されます。 要求は、鍵ストアに証明書を手動で受け入れるまでは、署名された証明書の一時的なプレースホルダーとして機能します。
注: 鍵ストア・ツール ( iKeyman および keyToolなど) は、 WebSphere Application Serverからの証明書要求によって生成された署名付き証明書を受け取ることができません。 同様に、 WebSphere Application Server は、他の鍵ストア・ユーティリティーからの証明書要求によって生成された証明書を受け入れることができません。
重要: 証明書チェーンの有効期限が切れた場合、または認証局 (CA) 証明書チェーンの有効期限が切れた場合は、 チェーン全体 を更新する必要があります。 個別の署名者証明書がある新しい証明書チェーンを生成する必要があります。 CA 証明書チェーンの場合、通常、新しい証明書要求ファイル (CSR) を使用して、新しい証明書チェーンをインポートする必要がある場合があります。

次の作業

以上で、CA が署名した証明書を鍵ストア内に受け取って、サーバー用の署名済み証明書の生成プロセスを完了することができます。