Connect:Direct ブリッジ・エージェントと Connect:Direct ノードの間の SSL または TLS の構成

鍵ストアとトラストストアを作成し、 Connect:Direct ブリッジ・エージェント・プロパティー・ファイルでプロパティーを設定することにより、SSL プロトコルを介して相互に接続するように Connect:Direct® ブリッジ・エージェントと Connect:Direct ノードを構成します。

本タスクについて

ここでは、認証局から鍵の署名を得るための手順を含めています。 認証局を使用しない場合は、自己署名証明書を生成できます。 自己署名証明書の生成について詳しくは、 AIX、 Linux、および Windows での SSL/TLS の取り扱いを参照してください。

これらのステップには、 Connect:Direct ブリッジ・エージェント用の新しい鍵ストアとトラストストアを作成するための手順が含まれています。 Connect:Direct ブリッジ・エージェントに、 IBM MQ キュー・マネージャーに安全に接続するために使用する鍵ストアとトラストストアが既にある場合は、 Connect:Direct ノードに安全に接続する際に、既存の鍵ストアとトラストストアを使用できます。 詳しくは、 MFT の SSL または TLS 暗号化の構成を参照してください。

手順

Connect:Direct ノードの場合は、以下のステップを実行します。

  1. Connect:Direct ノードの鍵および署名付き証明書を生成します。
    これは、 IBM MQで提供される IBM 鍵管理ツールを使用して行うことができます。 詳しくは、 SSL/TLS の取り扱いを参照してください。
  2. 鍵の署名を得るための要求を認証局に送信します。 返ってくる証明書を受け取ります。
  3. 認証局の公開鍵を含むテキスト・ファイル (例: /test/ssl/certs/CAcert) を作成します。
  4. Connect:Direct ノードに Secure + オプションをインストールします。
    ノードが既に存在している場合は、インストーラーを再び実行し、既存のインストール環境の場所を指定し、Secure+ オプションだけのインストールを選択することによって、Secure+ オプションをインストールできます。
  5. 新規テキスト・ファイル (例: /test/ssl/cd/keyCertFile/node_name.txt) を作成します。
  6. 認証局から受け取った証明書と、 /test/ssl/cd/privateKeys/node_name.keyにある秘密鍵を、テキスト・ファイルにコピーします。
    /test/ssl/cd/keyCertFile/node_name.txt の内容は、以下の形式になっている必要があります。
    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,64A02DA15B6B6EF9
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-----END RSA PRIVATE KEY-----
  7. Secure+ 管理ツールを開始します。
    • AIX and Linux システムでは、コマンド spadmin.shを実行します。
    • Windows システムでは、 「スタート」 > 「プログラム」 > Sterling Commerce Connect:Direct > CD Secure + Admin Tool をクリックします。
    CD Secure+ 管理ツールが開始します。
  8. CD Secure + 管理ツールで、 をダブルクリックします。メインの SSL または TLS 設定を編集するためのローカル 行。
    1. 使用するプロトコルに応じて、 「SSL プロトコルを有効にする (Enable SSL Protocol)」 または 「TLS プロトコルを有効にする (Enable TLS Protocol)」を選択します。
    2. 「オーバーライドを無効にする」を選択します。
    3. 少なくとも 1 つの暗号スイートを選択します。
    4. 双方向認証が必要な場合は、 「クライアント認証の有効化」 の値を Yesに変更します。
    5. 「信頼されたルート証明書」 フィールドに、認証局の公開証明書ファイル /test/ssl/certs/CAcertへのパスを入力します。
    6. 「鍵証明書ファイル」 フィールドに、作成したファイルへのパス /test/ssl/cd/keyCertFile/node_name.txtを入力します。
  9. をダブルクリックします。メインの SSL または TLS 設定を編集するためのクライアント 行。
    1. 使用するプロトコルに応じて、 「SSL プロトコルを有効にする (Enable SSL Protocol)」 または 「TLS プロトコルを有効にする (Enable TLS Protocol)」を選択します。
    2. 「オーバーライドを無効にする」を選択します。

Connect:Direct ブリッジ・エージェントの場合は、以下のステップを実行します。

  1. トラストストアを作成します。 そのためには、ダミーの鍵を作成してから、そのダミーの鍵を削除します。
    以下のコマンドを使用できます。
    keytool -genkey -alias dummy -keystore /test/ssl/fte/stores/truststore.jks
    keytool -delete -alias dummy -keystore /test/ssl/fte/stores/truststore.jks
  2. 認証局の公開証明書をトラストストアにインポートします。
    以下のコマンドを使用できます。
    keytool -import -trustcacerts -alias myCA 
        -file /test/ssl/certs/CAcert 
        -keystore /test/ssl/fte/stores/truststore.jks
  3. Connect:Direct ブリッジ・エージェントのプロパティー・ファイルを編集します。
    ファイルの任意の場所に以下の行を組み込みます。
    cdNodeProtocol=protocol
cdNodeTruststore=/test/ssl/fte/stores/truststore.jks
cdNodeTruststorePassword=password
    この手順の例では、protocol は使用するプロトコル (SSL または TLS) で、password はトラストストアの作成時に指定したパスワードです。
  4. 双方向認証が必要な場合は、 Connect:Direct ブリッジ・エージェントの鍵と証明書を作成します。
    1. 鍵ストアと鍵を作成します。
      以下のコマンドを使用できます。
      keytool -genkey -keyalg RSA -alias agent_name 
        -keystore /test/ssl/fte/stores/keystore.jks 
        -storepass password -validity 365
    2. 署名要求を生成します。
      以下のコマンドを使用できます。
      keytool -certreq -v -alias agent_name 
        -keystore /test/ssl/fte/stores/keystore.jks -storepass password 
        -file /test/ssl/fte/requests/agent_name.request
    3. 前の手順で受け取った証明書を鍵ストアにインポートします。 証明書は、x.509 形式でなければなりません。
      以下のコマンドを使用できます。
      keytool -import -keystore /test/ssl/fte/stores/keystore.jks 
        -storepass password -file certificate_file_path
    4. Connect:Direct ブリッジ・エージェントのプロパティー・ファイルを編集します。
      ファイルの任意の場所に以下の行を組み込みます。
      cdNodeKeystore=/test/ssl/fte/stores/keystore.jks
cdNodeKeystorePassword=password
      この手順の例では、password は鍵ストアの作成時に指定したパスワードです。