API Manager では、Web サイトを通じたデータ伝送の保護に TLS プロファイルが使用されます。送信した情報が盗まれたり改ざんされたりしないように TLS 証明書および SSL 証明書が保証します。このトピックでは、API Manager で TLS プロファイルを作成する方法を説明します。
このタスクについて
API Connect は TLS 証明書および SSL 証明書の使用をサポートしますが、それ自体が強い暗号鍵を生成したり、ご使用の暗号鍵を管理したりすることはありません。暗号鍵は、ユーザー独自の手順に従って生成および管理してください。詳しくは、TLS プロファイルの更新および認証局の PKCS#12 ファイルの生成を参照してください。
重要: IBM® API Connect for IBM Cloud™ (SaaS オファリング) を使用している場合、API Manager ユーザー・インターフェースで構成された TLS プロファイルを使用してバックエンド・サービスへのアクセスを保護できますが、フロントエンド (API Connect ユーザー・インターフェースへの接続や API 呼び出しの起動) へのアクセスの保護には使用できません。これは、フロントエンド機能は、すべてのお客様に代わって IBM 運用チームにより制御されているためです。カスタムのフロントエンド TLS 設定を構成する必要がある場合は、E メールで IBM までお問い合わせください。お問い合わせ先のアドレスは ibmapi@us.ibm.com です。
注: ゲートウェイ・サービスに関連付けられた TLS プロファイルを更新した場合に、更新内容は
ゲートウェイ・サーバーに自動的に伝搬するわけではありません。サーバーを最新の構成と再同期させるには、『
ゲートウェイの再同期』を参照してください。
API Manager に接続するときに TLS 証明書を使用するようにツールキットのコマンド・ライン・ツールを構成する方法については、『TLS 証明書を使用するためのコマンド・ライン・ツールの構成』を参照してください。
手順
TLS プロファイルを作成するには、以下のステップを実行します。
- 前に UI ナビゲーション・ペインをピン留めしていなかった場合は、「ナビゲート先」アイコン をクリックします。 API Manager UI ナビゲーション・ペインが開きます。UI ナビゲーション・ペインをピン留めするには、「メニューのピン留め」アイコン をクリックします。
- ナビゲーション・ペインで「管理」を選択し、「TLS プロファイル」をクリックします。
- 「TLS プロファイル (TLS Profiles)」ページで「追加」をクリックします。
- 「表示名」フィールドおよび「名前」フィールドに値を入力し、オプションで説明を入力します。 「名前」フィールドに特殊文字を含めることはできません。
- 「保存」をクリックして変更内容を保存します。
- 「現在の証明書」セクションで、「証明書のアップロード」アイコン をクリックします。 「証明書のアップロード」ウィンドウが開きます。
- 「ファイルの選択」をクリックしてから、認証用に提示する証明書ファイルを参照します。
注: - API Connect は、現在の証明書に対して P12 (PKCS12) 形式のファイルのみをサポートしています。
- P12 ファイルには、秘密鍵、認証局からのパブリック証明書、および署名に使用されるすべての中間証明書が含まれている必要があります。
- P12 ファイルには、中間証明書を 10 個まで含めることができます。
- 「パスワード」テキスト・フィールドに、証明書のパスワードを入力します。
注: 現在の証明書はパスワードで保護される必要があります。
- 「アップロード」をクリックします。 証明書がアップロードされます。
注: 一度にアップロードできる現在の証明書は 1 つのみです。アップロード操作を繰り返すと、前の現在の証明書は置換されます。
- 証明書を検証するために、「トラストストア内の指定 CA に対して証明書を要求して検証」スライダーを「オン」の位置に移動します。
- 「保存」をクリックして変更内容を保存します。
- 「トラストストア」ウィンドウ・セクションで、「証明書のアップロード」アイコン をクリックします。 「証明書のアップロード」ウィンドウが開きます。
- 「ファイルの選択」をクリックしてから、トラストストア証明書を参照します。
- トラストストアがパスワードで保護されている場合は、「パスワード」テキスト・フィールドにパスワードを入力します。 トラストストアはパスワードで保護されている必要はありません。
- 「アップロード」をクリックします。 証明書が追加されます。
注: - トラストストア証明書の有効期限が切れている場合は、証明書バンドル全体をアップロードして、現行の証明書をすべて置き換える必要があります。
- API Connect は、トラストストアに対して P12 (PKCS12) 証明書形式および PEM 証明書形式のみをサポートしています。
- オプション: ステップ 12 から 15 を繰り返して、トラストストア証明書をさらに追加します。
- 「プロトコル」セクションを展開して、SSL バージョンおよび TLS バージョンを表示します。
- 必要な TLS または SSL のバージョンに対応するチェック・ボックスを選択します。
- 「保存」をクリックします。 証明書がアップロードされ、その SSL バージョンまたは TLS バージョンが保存されます。
注: アップロードされた後で、API Connect から秘密鍵をダウンロードすることはできません。
タスクの結果
証明書が API Manager に追加され、SSL バージョンまたは TLS バージョンが保存されます。