鍵ストアのセットアップ

HTTPS トランザクションをモニターするには、モニターするすべての Web サーバー用に、KT5Keystore に鍵をインポートします。

このタスクについて

IBM 鍵管理 (iKeyman) を使用して、モニター対象の Web サーバーから SSL 証明書をエクスポートし、それらを HTTPS 鍵ストアにインポートするか、あるいは HTTPS 鍵ストアで Web サーバーの鍵ストア stash ファイル (.kdb) を指定することができます。Response Time Monitoring のインストール時または構成時には、keys.kdb ファイルの場所の入力を求めるプロンプトが出されます。

鍵ストア stash ファイル (.kdb および .sth) がない場合は、iKeyman を使用して鍵データベースをセットアップできるように、ご使用の Java バージョンで CMS プロバイダーが有効になっていることを確認してください。
  1. install_dir/ibm-jre/jre/lib/security ディレクトリーに移動します。例:
    • Linux /opt/ibm/apm/agent/JRE/lx8266/lib/security
    • Windows C:¥Program Files¥IBM¥APM¥ibm-jre¥jre¥lib¥security
  2. java.security ファイルで、以下に示すようにセキュリティー・プロバイダーのリストにステートメントを追加します。ここで number は、リスト内の最後のシーケンス番号です。
    security.provider.number=com.ibm.security.cmskeystore.CMSProvider
    プロバイダーのリストは、以下の例のようになります。
    ## List of providers and their preference orders #
security.provider.1=com.ibm.jsse.IBMJSSEProvider
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.security.jgss.IBMJGSSProvider
security.provider.4=com.ibm.security.cert.IBMCertPath
security.provider.5=com.ibm.security.cmskeystore.CMSProvider
...
#
  3. ファイルを保存して閉じます。
制約事項: Response Time Monitoring は、Diffie-Hellman 鍵交換を使用してトラフィックを暗号化解除することはできません。

手順

HTTPS トランザクション・モニターを有効にするには、モニターする Web サーバーから SSL 証明書を収集し、iKeyman を使用して証明書および鍵ストア stash ファイルを HTTPS 鍵ストアにインポートします。以下の例では、iKeyman を使用して、IBM HTTP Server から証明書をエクスポートし、それらを HTTPS 鍵ストアにインポートします。

  1. モニターする各 HTTPS Web サーバーに Response Time Monitoring エージェントをインストールします。
  2. オペレーティング・システムに応じて以下のコマンドのいずれかを実行し、IBM 鍵管理 (iKeyman) を IBM Java の bin ディレクトリー内から実行します。
    • AIXLinux /opt/ibm/apm/agent/JRE/lx8266/bin/ikeyman
      注: iKeyman が正しく動作するためには、環境に X Window が必要です。
    • Windows c:¥IBM¥APM¥java¥java80_x64¥jre¥bin¥ikeyman
  3. 新規鍵ストア・データベースを作成します。「新規」ダイアログ・ボックスで、以下の手順を実行します。
    1. 「鍵データベース・タイプ」リストから、「CMS」を選択します。
      CMS がリストで選択不可である場合、CMS プロバイダーが有効になっていない可能性があります。Java セキュリティー・ファイルで CMS プロバイダーを有効にしてください。
    2. 「ファイル名」フィールドで、HTTPS 鍵ストア・ファイルの名前を入力し、「OK」をクリックします。
      例えば、keys.kdb です。
  4. 「パスワード・プロンプト」ダイアログ・ボックスで、以下の手順を実行します。
    1. 「パスワード」および「パスワードの確認」フィールドで、パスワードの入力および確認を行い、keys.kdb にアクセスします。
      定期的に鍵ストア・データベースを再作成して Response Time Monitoring エージェントを再始動したい場合を除き、有効期限を設定しないでください。
    2. 「パスワードをファイルに入れて隠しますか?」を選択して、keys.kdb のパスワードを暗号化された形式で stash ファイル keys.sth 内に格納します。

      注: 応答時間エージェントがサポートする隠されたパスワード・バージョンは 1 つのみです。APM 8.1.4 以降は、次のコマンドを実行して、keys.kdb のパスワードを暗号化された stash ファイル keys.sth に格納します。

      Linux の場合:
      cp keyfile.sth keyfile.sth.new-format
      cd /opt/IBM/ccm/agent/lx8266/gs/bin
      #export LD_LIBRARY_PATH=/opt/ibm/apm/agent/lx8266/gs/lib64:$LD_LIBRARY_PATH
      ./gsk8capicmd_64 -keydb -stashpw -db /opt/IBM/ccm/agent/keyfiles/keyfile.kdb -v1stash
      Windows:
      copy server.sth server.sth.backup
      set PATH=c:¥IBM¥APM¥GSK8_x64¥lib64;%PATH%
      C:¥IBM¥APM¥GSK8_x64¥bin¥gsk8capicmd_64 -keydb -stashpw -db .¥server.kdb -pw passw0rd -v1stash
  5. iKeyMan ウィンドウの「鍵データベースの内容」セクションで、以下の手順を実行します。
    1. 「個人証明書」を選択します。
    2. 「インポート」をクリックします。
    3. 「鍵のインポート」ダイアログ・ボックスで、「鍵ファイル・タイプ」リストから「CMS」を選択します。
    4. 鍵ストア・ファイルを参照し、「開く」をクリックし、次に「OK」をクリックします。
    5. 「パスワード・プロンプト」ダイアログ・ボックスで、鍵ストアのパスワードを入力します。
    6. リストから鍵を選択し、「OK」をクリックします。
    7. 「ラベルの変更」ダイアログ・ボックスで、鍵のラベル名を選択します。「新規ラベルの入力 (Enter a new label)」フィールドにサーバーのホスト名を指定し、「適用」をクリックします。
      注: この値は、Response Time Monitoring を構成するときに必要なため、メモしておいてください。
    8. 「OK」をクリックします。
  6. HTTPS 鍵ストアを保存します。

インターネット インフォメーション サービスからの鍵のインポート

Internet Information Services から鍵を抽出して KT5Keystore にインポートするには、次の手順を実行します。

  1. モニターする各 HTTPS Web サーバーに Response Time Monitoring エージェントをインストールします。
  2. 次のようにして、Internet Information Services から .pfx ファイルをエクスポートします。
    1. Windows の「スタート」メニューで、「管理ツール」 > 「インターネット インフォメーション サービス (IIS) マネージャ」を選択します。
    2. エクスポートする秘密鍵を持つ Web サーバーとサイトを選択し、右クリックして、コンテキスト・メニューから「プロパティ」を選択します。
    3. 「ディレクトリ セキュリティ」タブを選択し、「セキュリティで保護された通信」セクションで「サーバー証明書」を選択します。
    4. 「IIS 証明書ウィザード」で、「次へ」をクリックします。
    5. 「.pfx ファイルに現在の証明書をエクスポートする」を選択し、「次へ」をクリックします。
    6. パスとファイル名を入力し、「次へ」をクリックします。
    7. 鍵のエクスポート・パスワードを入力し、「次へ」をクリックします。
    8. 以降のすべてのページで「次へ」をクリックし、「完了」をクリックします。
  3. 次のようにして、.pfx ファイルから個人証明書と署名者証明書を抽出します。
    1. IBM Java の bin ディレクトリー内からコマンド c:¥IBM¥APM¥java¥java80_x64¥jre¥bin¥ikeyman を使用して、IBM Key Management (iKeyman) を実行します。環境変数 JAVA_HOME が設定されていることを確認します。
    2. 鍵ストア・データベースで、「ファイル」 > 「開く」を選択します。
    3. 「鍵データベース・タイプ」リストから、「PKCS12」を選択します。
    4. 上の手順で作成した .pfx ファイルの名前とパスを入力し、「OK」をクリックします。プロンプトが表示されたら、パスワードを入力し、「OK」をクリックします。
    5. 「鍵データベースの内容」 > 「個人証明書」を選択し、「エクスポート/インポート」をクリックします。
    6. アクション・タイプとして「鍵のエクスポート」、鍵ファイル・タイプとして「PKCS12」を選択します。エクスポートした鍵のファイル名とロケーションを入力し、「OK」をクリックします。プロンプトが表示されたら、エクスポート・パスワードを入力し、「OK」を再度クリックします。
    7. 個人証明書が認証局によって署名されている場合は、「鍵データベースの内容」 > 「署名者の証明書」を選択し、「抽出」をクリックします。デフォルトのファイル・タイプを選択し、エクスポートした証明書のファイル名とロケーションを入力して、「OK」をクリックします。
  4. 次のようにして、署名者の .cer ファイルを抽出します (必要な場合)。
    1. 署名者の証明書ファイルが .pfx ファイルから抽出された場合、そのファイルが保存されたディレクトリーに移動し、拡張子 .cer を持つ新しいコピーを作成します。その新しいコピーをダブルクリックして、Windows の証明書ビューアーで開きます。
    2. 「証明のパス」タブで、署名者の証明書チェーンを表示できます。チェーンの一番下の項目が個人証明書です。それより上のすべての証明書について、次の手順を実行します。
      1. 証明書を選択し、「証明書の表示」をクリックします。
      2. 「詳細」を選択し、「ファイルへコピー」をクリックします。
      3. 証明書のエクスポート・ウィザードのデフォルト値をすべて受け入れ、.cer 拡張子を持つファイル名を入力します。
  5. 新規鍵ストア・データベースを作成します。「新規」ダイアログ・ボックスで、以下の手順を実行します。
    1. 「鍵データベース・タイプ」リストで、「CMS」を選択し、ファイル名とロケーションを入力します。プロンプトが表示されたら、新しい鍵ストアのパスワードを入力します。
      注: 「パスワードをファイルに入れて隠しますか?」を選択するようにしてください。
    2. .pfx から署名者証明書を抽出したら、次の手順を実行します。
      1. 「鍵データベースの内容」 > 「署名者の証明書」を選択します。
      2. 署名者証明書ごとに、「追加」をクリックして、.cer ファイルを追加します。
    3. 「鍵データベースの内容」 > 「個人証明書」を選択し、「インポート」をクリックします。
    4. 鍵ファイル・タイプとして「PKCS12」を選択し、.p12 ファイルの名前とロケーションを選択します。プロンプトで求められたら、パスワードを入力します。
    5. 鍵ストアを保存し、鍵管理ユーティリティーを終了します。
    6. .kdb ファイルと .sth ファイルを、Response Time Monitoring アプライアンス・マシンの KT5Keystore にコピーします。
    7. IBM 鍵管理データベース・ファイル (.kdb) とスタッシュ (.sth) を安全なディレクトリーに配置し、それらを読み取ることができるのは、管理者または root (あるいは Response Time Monitoring エージェントのインストールに使用したユーザー ID) のみになるようにします。