新規 SSL 証明書を作成してセルの既存証明書と置き換える

セル全体のデフォルト Secure Socket Layer (SSL) 証明書を置き換えるには、ルートの鍵ストア DmgrDefaultRootStore に自己署名ルート証明書を新規に作成して、古いルート証明書とその新規証明書を置き換える必要があります。

このタスクの概要

CellDefaultKeyStore にあるセルのデフォルト証明書および NodeDefaultKeyStore にある各ノードのデフォルト証明書の場合、新規チェーン証明書を作成して、古いデフォルト証明書とその新規証明書を置き換えます。

ルート証明書は、デフォルトで WebSphere® Application Server上に作成され、cn= < hostname>, ou = Root Certificate, ou= < cell name>, ou = < node name>, o = ibm, c=us という形式の subjectDN を持ちます。 新規ルート証明書を作成するときに、subject DN をカスタマイズすることもできます。

新規 SSL ルート証明書を管理コンソールで作成するには、以下を実行します。

手順

新規 SSL ルート証明書を作成します。

  1. 「セキュリティー」>「SSL 証明書および鍵管理」>「鍵ストアおよび証明書」をクリックします。
  2. 「鍵ストアの使用 (Keystore usages)」プルダウンの下で、 「ルート証明書鍵ストア (Root certificate keystore)」を選択します。
  3. 鍵ストアの使用法リストで DmgrDefaultRootStore をクリックします。
  4. 「追加プロパティー」の下の「 個人証明書」を選択します。
  5. 「作成 (Create)」プルダウンで、「 自己署名証明書 (Self-signed Certificate)」を選択します。
  6. 証明書名および別名を入力します。
    既に存在する別名でなければ、どのような名前にしても構いません。 この名前は、鍵ストア内の証明書を識別するラベルとしてのみ使用されます。
  7. 「共通名」フィールドに、WebSphere Application Server がインストールされているコンピューターの完全修飾ドメイン・ネームを入力します。
    これは通常、ノードが実行されているホスト名にします。
  8. オプション: その他のサブジェクト DN 関連フィールドに入力します。
    サブジェクト DN を WebSphere Application Server上のデフォルトの subjectDN のようにしたい場合は、次のように入力します。
    • 「組織」フィールドに IBM と入力します。
    • 「組織単位」フィールドに <cell name>,ou=<node name> と入力します。
    • 「国または地域」プルダウンで「US」を選択します。
  9. 証明書の署名に使用するルート証明書、鍵サイズ、および有効期間に、デフォルト値を使用することも、独自の値を設定することもできます。
  10. 「適用」>「保存」をクリックします。
    注: createSelfSignedCertificate コマンドを使用して、自己署名証明書を作成することもできます。 詳しくは、AdminTask オブジェクトの PersonalCertificateCommands コマンド・グループの説明を参照してください。

古いルート証明書を、作成したばかりの証明書で置き換えます。

ここで作成した証明書と古いルート証明書を置き換える必要があります。 証明書置換オプションでは、古いデフォルトの証明書が新規証明書と置き換えられるだけでなく、古い証明書の署名者すべてが新規証明書の署名者と置き換えられます。 古い証明書の別名参照のために構成も検査され、新規証明書の別名と置き換えられます。 古い証明書と新規証明書を置き換えるには、残りのステップを完了してください。

  1. 「個人証明書」 ページで、古いルート証明書のチェック・ボックスを選択します。
  2. 「置換」をクリックします。
  3. 「次と置換」リストから、作成した証明書の別名を選択します。
  4. 「置換後に古い証明書を削除する」を選択します。
    重要: 「古い署名者の削除」 チェック・ボックスが選択されていないことを確認してください。
  5. 「適用」>「保存」をクリックします

セルのデフォルト鍵ストア CellDefaultKeystore 内にチェーン個人証明書を作成します。

  1. 「鍵ストアおよび証明書」 ページで、変更するノードの CellDefaultKeyStore を選択します。
  2. 「追加プロパティー」の下の「 個人証明書」を選択します。
  3. ノードのデフォルト証明書 (通常は defaultという名前) を選択します。
  4. 「作成」>「チェーン証明書」をクリックします。
  5. 「別名」フィールドに、新しい個人証明書の別名を入力します。
  6. 「証明書の署名に使用されるルート証明書」 プルダウン・リストで、別名 rootを選択します。
  7. 「共通名」フィールドに、WebSphere Application Server がインストールされているコンピューターの完全修飾ドメイン・ネームを入力します。
  8. 「適用」>「保存」をクリックします。

セルのデフォルトの鍵ストア CellDefaulltKeystore 内の個人証明書を置き換えます。

  1. 「個人証明書」 ページで、デフォルトのチェック・ボックスを選択します。
  2. 「置換」をクリックします。
  3. 「置換」 プルダウンから、作成したばかりの新規証明書の証明書別名を選択します。
  4. 「置換後に古い証明書を削除する」を選択します。
    重要: 「古い署名者の削除」 チェック・ボックスが選択されていないことを確認してください。
  5. 「適用」>「保存」をクリックします

次の作業

ノードのデフォルト証明書を置き換えることもできます。 詳しくは、『新規 SSL 証明書を作成してノードの既存証明書と置き換える』を参照してください。