証明書の管理

証明書は、SAML アサーションや OAuth、OpenID Connect JSON Web トークン (JWT) などのさまざまなオブジェクトの署名、検証、暗号化、および暗号化解除に使用されます。

始める前に

このタスクを完了するには管理者権限が必要です。
管理者として IBM® Verify 管理コンソールにログインします。

注: CA 署名証明書を使用する場合は、チェーン内のすべての中間証明書とルート証明書を IBM Verify トラストストアにインポートする必要があります。 CA 署名証明書には有効な CRL が定義されている必要があり、CRL サイトはアクセス可能でなければなりません。

このタスクについて

Verify は、以下の証明書を使用します。

個人証明書

クライアントまたはサーバーが認証のために他のクライアントまたはサーバーに提供するデジタル・トラスト証明書。

個人証明書には、データの署名と暗号化のために、署名者証明書または公開鍵、および秘密鍵の両方が含まれています。

アイデンティティー・プロバイダーは、常にその SAML 認証応答に署名します。 SAML シングル・サインオンを構成する場合、サービス・プロバイダーに個人証明書の署名者証明書または公開鍵コンポーネントを提供する必要があります。この情報は、アイデンティティー・プロバイダーの ID を検証します。署名者証明書または個人証明書の公開鍵は、[ アプリケーション ] > [サインオン手順] に自動的に入力されます。

証明書は、OIDC シングル・サインオン・アプリケーションの ID トークンに署名するためにも使用されます。

Verify には、個人証明書が含まれています。ただし、この証明書は、デモンストレーション、PoC (概念検証)、または PoT (技術検証) の目的でのみ使用することを意図しています。付属の証明書は、実稼働環境では使用しないでください。 Verify の初期セットアップ時に別の個人証明書を追加します。

複数の個人証明書を追加できますが、以下のように設定された証明書が常に 1 つ必要です。

「フレンドリー名」が serverに設定されている。
デフォルトとして設定されている。 SAML 認証応答の署名には、デフォルトの証明書のみが使用されます。

デフォルトの個人証明書の期限切れが近づいている場合は、必ずデフォルトを変更してから、その個人証明書の公開鍵を使用していたアプリケーションのシングル・サインオンを再構成してください。そうしないと、公開鍵が新しいデフォルトの個人証明書に対応していない場合、シングル・サインオン構成が機能しません。

署名者証明書

サービス・プロバイダーによって生成され、提供されるデジタル・トラスト証明書で、ターゲット・アプリケーションのアカウントまたはインスタンスに固有です。

署名者証明書には、ターゲット・アプリケーションの個人証明書に関連付けられた公開鍵が含まれています。署名者証明書により、証明書の発行者が検証されて信頼されるようになります。 Verify はこの証明書を使用して、ターゲット・アプリケーションから受け取る署名付き SAML 認証要求を検証し、 Verify がターゲット・アプリケーションを信頼することを示します。

サービス・プロバイダーがその SAML 認証要求に署名すると、その署名者証明書が提供されます。一般的に、署名者証明書の詳細は、サービス・プロバイダー・メタデータから取得できます。ターゲット・アプリケーション用に SAML シングル・サインオンを構成する前に、 Verify にインポートします。

サービス・プロバイダーが SAML 認証要求に署名しない場合、署名者証明書は提供されません。

複数の署名者証明書を追加できます。

注： SAML エンタープライズIDプロバイダーを追加すると、その署名者証明書が自動的に「セキュリティ > 証明書 > 署名者証明書」ページにインポートされます。

以下のタスクを実行できます。

証明書情報の表示
個人証明書の追加
署名者証明書の追加
個人証明書または署名者証明書の削除

手順

セキュリティ＞証明書を選択

証明書情報を表示します。

証明書を選択して「証明書の詳細」ダイアログ・ボックスを表示します。このダイアログ・ボックスには、以下の情報が表示されます。

表 1. 証明書の詳細
情報	説明
分かりやすい名前	証明書別名とも呼ばれます。これは表示名です。これは、「シリアル番号」および「発行者 DN」ではなく、証明書への重要な参照と見なされます。小文字テキストである必要があります。英数字のみを使用してください。
証明書タイプ	証明書が個人証明書であるか署名者証明書であるかを識別します。
発行者識別名	証明書に署名して発行したエンティティーの識別名。通常、これは認証局です。これは、コンマで区切られた複数の`attribute=value`ペアで構成されます。 CN: CommonName 組織の完全修飾ドメイン名。 OU: OrganizationalUnit 組織内の部門または部署の名前。 O: Organization 市区町村、県、または国/地域の適切な機関で登録されている組織の登記名。 L: Locality 組織の住所を示す市区町村。 ST: StateOrProvinceName 組織の所在地の都道府県。 C®: CountryName 2 文字の国コードまたは地域コード。
サブジェクト DN	サブジェクト識別名。証明書の発行先のエンティティー名。これは、コンマで区切られた複数の`attribute=value`ペアで構成されます。
有効開始日	この証明書の有効期間の開始日。証明書が有効なのは特定の期間に限られます。認証局は証明書に署名する際に、証明書の有効期間を設定して開始します。指定した日付は、ローカルの日時設定に依存します。
有効期限	この日付を過ぎると、証明書は無効です。指定した日付は、ローカルの日時設定に依存します。
シリアル番号	証明書を、認証局が発行した他の証明書から区別するための固有 ID。
フィンガープリント	証明書を識別するためのダイジェスト・アルゴリズム。公開鍵証明書のハッシュおよび SAML 2.0 送信メッセージへの署名に使用されるアルゴリズム。 SHA-1 注: SSL 証明書の発行者は、このアルゴリズムを 2016 年 1 月から非推奨にしました。 SHA-256
デフォルト証明書	これがデフォルト証明書かどうかを示します。デフォルトの個人証明書は編集も削除もできません。
署名アルゴリズム	証明書のハッシュおよび暗号化アルゴリズム。

個人証明書を追加します。

「個人証明書の追加」を選択します。「個人証明書の追加」ダイアログ・ボックスが表示されます。
PKCS#12 (.p12) または PKCS#8 (.p8) ファイルを参照します。または、ドロップ領域にドラッグします。

注: PKCS#12 ファイル・フォーマットでは RSA 証明書のみがサポートされ、 PKCS#8 ファイル・フォーマットでは ECDSA 証明書のみがサポートされます。

「選択したファイル」の名前が表示されます。

新規証明書について、以下の情報を指定します。

表 2. 個人証明書を追加するダイアログボックス
情報	説明
ファイルのパスワード	.p12ファイルの場合にのみ必要です。証明書ファイルの暗号化を解除してインストールするためのパスワード。
分かりやすい名前	.p8 ファイルの場合は必須ですが、.p12 filesの場合はオプションです。証明書のラベル。
デフォルト証明書	これがデフォルト証明書かどうかを示します。注: デフォルトの証明書として使用できるのは、 .p12 証明書のみです。

「OK」を選択します。

署名者証明書を追加します。
1. 「署名者証明書の追加」を選択します。「署名者証明書の追加」ダイアログ・ボックスが表示されます。
2. .pem ファイルを参照するか、ドロップ領域にドラッグします。
  「選択したファイル」の名前が表示されます。
3. 新規証明書の通称を指定します。詳しくは、表 1 を参照してください。
4. 「OK」を選択します。
  証明書が「署名者証明書」セクションに表示されます。また、 [アプリケーション ] > [サインオン] ページで、サービスプロバイダー署名者証明書の値として追加されます。
個人証明書または署名者証明書を削除します。
1. 以下のいずれかの操作を実行します。
  - 削除したい証明書にカーソルを合わせ、アイコンを選択してください。
  - 証明書を選択します。
2. 「削除」を選択します。
3. 選択した 1 人以上のユーザーを完全に削除することを確認します。