テスト証明書の作成

自己署名証明書は、 MQIPT 経路がリモート・ピアに対して自己を識別するために使用できます。

自己署名証明書は、証明書のために認証局 (CA) に費用を支払わずに TLS 接続を確実にする必要があるテスト・シナリオで便利です。ただし、実稼働環境では自己署名証明書を使用しないでください。本番環境で使用する証明書の申請が必要な場合は、「MQIPT用のCA署名付き証明書の申請」を参照してください。

始める前に

このタスクを開始する前に MQ に記載されている手順を完了してください。

本タスクについて

[MQ 9.4.0 2024 年 6 月] 使用mqiptKeytool証明書を作成するコマンド。証明書がインバウンド接続で使用されるかアウトバウンド接続で使用されるかに応じて、証明書を含む鍵ストアの名前を SSLServerKeyRing または SSLClientKeyRing MQIPT 経路プロパティーで指定します。

手順

PKCS #12 鍵ストア内にテスト用の自己署名個人証明書を作成するには、以下のコマンドを入力します。

mqiptKeytool -genkeypair -keystore keystore_name -storetype pkcs12 -storepass password
             -alias label -dname DN_identity
             -keyalg key_algorithm -keysize key_size -sigalg signature_algorithm

ここで、

-keystore 鍵ストア名: 鍵ストアの名前を指定します。例えば、 mqiptKeys.p12などです。鍵ストアが存在しない場合は作成されます。
-storepass パスワード: 鍵ストア・パスワードを指定します。
-alias ラベル: 証明書ラベルを指定します。
-dname DN_identity: 二重引用符で囲まれた証明書の X.500 識別名を指定します。例えば、 "CN=Test Certificate, OU=Sales, O=Example, C = US"のようになります。
-keyalg キー・アルゴリズム: 鍵ペアの作成に使用されるアルゴリズムを指定します。例えば、 RSAです。
-keysize キー・サイズ: 鍵のサイズを指定します。例えば、 2048です。
- 署名アルゴリズム: 証明書の署名に使用されるアルゴリズムを指定します。例えば、 SHA256WithRSAです。

値の例を使用すると、このコマンドは、2048 ビット RSA 公開鍵を持つデジタル証明書と、 SHA-256 ハッシュ・アルゴリズムを使用した RSA を使用するデジタル署名を作成します。

組織のセキュリティー・ニーズに応じて、適切な公開鍵暗号化アルゴリズム、鍵サイズ、およびデジタル署名アルゴリズムを選択します。詳しくは、 MQIPTのデジタル証明書に関する考慮事項を参照してください。

次のタスク

以下のコマンドを発行して、鍵ストア・パスワードを暗号化します。

mqiptPW

プロンプトが出されたら、暗号化する鍵ストア・パスワードを入力します。 mqipt.conf 構成ファイル内の該当するプロパティーの値を、 mqiptPW コマンドによって出力される暗号化されたパスワードに設定します。証明書がインバウンド接続とアウトバウンド接続のどちらで使用されるかに応じて、 SSLServerKeyRingPW プロパティーまたは SSLClientKeyRingPW プロパティー、あるいは暗号化されたパスワードのいずれかの値を設定します。鍵ストア・パスワードの暗号化について詳しくは、保管されているパスワードの暗号化を参照してください。