次世代プラットフォーム

アウトバウンド証明書の追加

Developerロールを持つユーザは、Self Service でクライアント証明書とトラスト証明書を追加できる。

このタスクについて

アウトバウンド証明書は、カスタマイズが外部システムと対話できるようにするためのものです。 確立できる接続には 2 つのタイプがあります。
  • セキュア SSL/TLS 接続-接続を確立し、返される証明書を信頼するためにトラストストアで必要とされる一部の証明書は、サード・パーティー証明書と呼ばれます。
  • 相互認証されたセキュア SSL/TLS 接続-アプリケーションは、セキュア接続を確立するために使用されるクライアント証明書を必要とします。 アプリケーションでクライアント証明書を使用するには、証明書と秘密鍵の両方をアップロードする必要があります。

TLS 接続を確立したい場合、 Sterling™ Order Managementシステムアプリケーションは接続するサーバーを信頼する必要があります。 この信頼を確立するには、 Sterling Order Management System アプリケーションが、サーバーから返された証明書を検証できる必要があります。 Sterling Order Management System アプリケーションは、証明書を直接信頼することも、証明書を作成した発行者を信頼することもできます。 Sterling Order Management システム ・アプリケーションが証明書の発行者を信頼する場合、サーバーの証明書が更新されても影響はありません。

デフォルトでは、一部の標準発行者は Sterling Order Management System アプリケーションで信頼されます。これにより、信頼をセットアップするための手動作業が削減されます。 Sterling Order Management System アプリケーションが接続しているサーバーが、デフォルトで信頼証明書リストにあるかどうかを確認する場合は、開発環境の cacerts ファイルを調べることができます。 このファイルには、信頼されているすべてのデフォルト証明書が含まれています。 信頼する証明書がこのファイル内にある場合は、これ以上のアクションは必要ありません。 このファイルに証明書が見つからない場合は、 「セルフサービス」を使用して証明書チェーンをアップロードする必要があります。 証明書が cacerts ファイルにリストされているかどうかを確認するには、以下の手順を使用します。
  1. デベロッパーズ・ツールキットの解凍済みランタイムの jdk/bin ディレクトリーに移動します。

    devtoolkit_docker/runtime/jdk/bin

  2. 次のコマンドを実行します。
    ./keytool -list -keystore ../jre/lib/omoc_security/cacerts
  3. パスワードの入力を求めるプロンプトが出されたら、 changeit を入力します。

    クラウド環境でも使用可能なすべての信頼証明書のリストが表示されます。

アプリケーションが信頼ストア内の信頼の完全なリストを持つように、中間証明書とルート証明書を提供することをお勧めします。 クライアント証明書の場合は、trust チェーンを使用して、使用する証明書を識別することもできます。

証明書チェーンは証明書の番号付きリストであり、SSL 証明書と認証局 (CA) 証明書が含まれています。 これにより、受信側は、送信側証明書とすべての CA 証明書が信頼できることを検証できます。 チェーンは SSL 証明書で始まり、チェーン内の各証明書は、チェーン内の次の証明書によって識別されるエンティティーによって署名されます。

SSL 証明書とルート証明書の間にある証明書は、チェーン証明書または中間証明書と呼ばれます。 中間証明書は、SSL 証明書の署名者または発行者です。 ルート CA 証明書は、中間証明書の署名者または発行者です。 SSL 証明書をすべてのクライアントと互換性を持たせるには、中間証明書をインストールする必要があります。 複数の中間証明書を追加できます。

チェーンはルート CA 証明書で終了します。 ルート CA 証明書は、常に認証局自体によって署名されます。 チェーン内のすべての証明書の署名は、ルート CA 証明書まで検証する必要があります。

中間証明書を信頼証明書としてアップロードして、 Sterling Order Management System 環境がその証明書を信頼できるようにすることができます。 Sterling Order Management System 環境が中間証明書を信頼する場合は、その中間証明書によって署名されたすべてのエンドポイント・クライアント証明書を信頼することもできます。

証明書を直接アップロードしてはならず、trust チェーンを使用する必要があります。 そのため、証明書が変更された場合は、簡単に更新できます。

IBM Sterling® Order Management System アプリケーションへのアクセスの詳細については、 IBM Sterling Order Management System アプリケーションへのアクセスを参照してください。

手順

  1. IBMidを使用して セルフサービス にアクセスします。
  2. 「セルフサービス」 メニューから、 「環境」をクリックします。
  3. 環境のリストから、環境を選択します。
  4. 「証明書」 タブで、 「アウトバウンド」をクリックします。
  5. クライアント証明書をアップロードするには、以下の手順を実行します。
    1. 「証明書の追加」 をクリックし、 「クライアント証明書の追加」 オプションを選択します。
    2. 「証明書の追加」 ページで、別名、PEM 形式の証明書、PEM 形式の証明書の秘密鍵、および PEM 形式の証明書チェーンを入力します。
      注: 証明書の秘密鍵は PEM 形式で、暗号化解除する必要があります。 鍵ファイルは、以下の形式で開始および終了する必要があります。
      -BEGIN PRIVATE KEY-
      -END PRIVATE KEY- 
      鍵ファイルが以下の形式で始まる場合は、openssl コマンドを使用して鍵ファイルを変換する必要があります。
      • 鍵ファイルは ---BEGIN RSA PRIVATE KEY---で始まります。 これは基本 RSA 鍵であり、Java™ はこの鍵を処理しません。
      • 鍵ファイルは ---BEGIN ENCRYPTED PRIVATE KEY---で始まります。 これは暗号化された鍵であり、処理されません。
      以下の openssl コマンドを使用して、鍵ファイル・フォーマットを変換し、 Self Serviceで新しい鍵を渡します。
      openssl pkcs8 -in <old_key_file> -out <new_key_file> -nocrypt -topk8
    3. 同じチェーンにさらに証明書を追加する場合は、 「別の証明書をチェーンに追加」をクリックします。
    4. 「追加」をクリックします。
  6. オプションで、 「鍵ストアのアップロード (Upload keystore)」 をクリックして、 .p12 ファイルまたは .pfx ファイルをアップロードできます。
  7. 信頼証明書をアップロードするには、以下の手順を実行します。
    1. 「証明書の追加」 をクリックし、 「信頼証明書の追加」 オプションを選択します。
    2. 「証明書の追加」 ページで、別名と証明書を PEM 形式で入力します。
    3. 「追加」をクリックします。

次のタスク

アウトバウンド証明書を追加した後、 「変更の適用」 をクリックして、ご使用の環境に証明書を適用します。