パブリック認証局を使用した秘密鍵ストアの作成
CDC Replication コマンドを使用して、パブリック認証局とのソース/ターゲット通信の TLS 暗号化を有効にすることができます。
この場合、各サーバーは、パブリック認証局によって署名された証明書を所有しています。 デフォルトのトラストストアを使用できるため、トラストストアを作成する必要はありません。 この手順では、 installation_directory/jre64/jre/binの下にある keytoolを使用します。
各サーバーには秘密鍵が必要です。 keytool -genkeypair コマンドを使用して、秘密鍵 (および自己署名証明書) を生成できます。 例:
keytool -genkeypair -noprompt -alias self -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -dname "CN=hostname.example.com" -validity 365 -keypass password -keystore privatekey.jks -storepass password -storetype JKS各サーバーは、認証局に秘密鍵への署名を要求する必要があります。 keytool -certreq コマンドを使用して、証明書署名要求を作成できます。 例:
keytool -certreq -noprompt -alias self -sigalg SHA256withRSA -file hostname.csr -keypass password -keystore privatekey.jks -dname "CN=hostname.example.com" -storepass password -storetype JKS要求を認証局に送信し、署名を得て、署名済み証明書、認証局証明書、および中間証明書を受け取ります。
keytool -importcert コマンドの入力を作成するには、署名付き証明書と認証局の証明書をチェーニングする必要があります。 複数の証明書を連結するには、オペレーティング・システムの標準コマンドを使用します。 例えば、Windows の場合は type hostname.crt ca.crt
> hostname.pem 、 Linux および UNIX の場合は cat hostname.crt ca.crt > hostname.pem です。
各サーバーの秘密鍵は、その署名付き証明書チェーンに関連付けられている必要があります。 keytool -importcert コマンドを使用して、自己署名証明書を証明書チェーンに置き換えることができます。 例:
keytool -importcert -noprompt -alias self -file hostname.pem -keypass password -keystore privatekey.jks -storepass password -storetype JKSopenssl などのサード・パーティー製ツールを使用して、パブリック認証局で秘密鍵ストアを作成することもできます。