Open SSL 証明書から IBM SSL への変換

現在 Open SSL 証明書を使用している状態で、対象製品をアップグレードする場合は、 証明書を PKCS12 形式にエクスポートしてから IBM® SSL 証明書としてインポートする必要があります。 これらのエクスポートされた非公開証明書および公開証明書は、パスワード保護ファイルに保存されます。

既存の Open SSL 証明書を PKCS12 形式にエクスポートおよびインポートする場合は、次のようにします。
  1. 証明書を PKCS12 形式にエクスポートします。
    1. コマンド行で、適切なディレクトリにナビゲートします。
      • Windows® の場合: drive-letter:¥Program Files¥IBM¥RationalSDLC¥common¥IHS¥bin
      • UNIX® の場合: /opt/IBM/RationalSDLC/common/IHS/bin
      • Linux® の場合: /opt/ibm/RationalSDLC/common/IHS/bin
    2. 次のコマンドを入力します。

      openssl pkcs12 -export -in your_server_certificate.crt -out mapped_shared_location¥server_cert.p12 -inkey your_server_private_key.key -name ibmhttp

      注: ファイル server_cert.p12 のロケーションに注意してください。これが、IBM SSL 鍵管理ストアにインポートされる、PKCS12 形式のファイルです。
    3. 最初に秘密鍵が作成されたときに使用されたパス フレーズを入力します。
    4. エクスポート パスワードを入力します。
  2. IBM SDK ポリシー ファイルをアップグレードして、 非 IBM 証明書ファイルの認識を可能にする、制約のないバージョンを使用するようにします。
    注: ポリシー ファイルの アップグレードが失敗すると、PKCS12 証明書のインポート中にエラーが発生します。
    http://www.ibm.com/support/docview.wss?uid=swg21201170 の手順に従ってください。制約なしポリシー ファイルの 1.4.2 バージョンをダウンロードし、 次の場所にある既存の 2 つのポリシー ファイルと置き換えます。
    • Windows の場合: drive-letter:¥Program Files¥IBM¥RationalSDLC¥common¥IHS¥_jvm¥jre¥lib¥security
    • UNIX の場合: /opt/IBM/RationalSDLC/common/IHS/_jvm/jre/lib/security
    • Linux の場合: /opt/ibm/RationalSDLC/common/IHS/_jvm/jre/lib/security
    次のようにして、証明書を IBM SSL 鍵管理ストアにインポートします。
    1. IBM HTTP Server Key Management Utility ツールを開始します (まだ稼働していない場合)。
    2. ツールで [鍵データベース ファイル (Key Database File)] > [開く] とクリックして、[鍵データベース タイプ (Key database type)] で CMS を選択し、[参照] をクリックして鍵ストア ファイル (common/IHS/key.kdb) を指定します。
    3. 鍵ストア パスワードを入力して、[OK] をクリックします。
    4. [Key database content] 領域でドロップダウン メニューをクリックし、[Personal Certificates] を選択します。
    5. [Import] をクリックし、[Key File type] をクリックして [PKCS12] を選択します。
    6. [Browse] をクリックし、インポートする .p12 ファイルにナビゲートして [OK] をクリックします。
    7. プロンプトが出されたら、キー データベースのパスワードを入力し、[OK] をクリックします。
    8. インポート処理を完了するため、もう一度 [OK] をクリックします。
    注: インポートしようとしている証明書の有効期限が切れている場合、 それをインポートすることはできません。「認証局による証明書への署名」を参照してください。

認証局による証明書への署名

iKeyMan ユーティリティを使用して認証局 (CA) の自己署名 (SSL) 証明書を取得するには
  1. IBM HTTP Server Key Management Utility ツールを開始します。
  2. [鍵データベース ファイル (Key Database File)] > [開く] > [鍵データベースの選択 (Select Key database)] とクリックします。 CMS を入力して [参照] をクリックし、ご使用の鍵ストア ファイル (key.kdb) を指定します。 鍵ストア パスワードを入力して、[OK] をクリックします。最初に鍵ストア (key.kbd) ファイルが作成されていない場合は、「HTTP Server 鍵の作成」を参照してください。
  3. [Key Database Content] 領域で、ドロップダウン メニューを選択し、[Personal Certificate Request] をクリックします。
  4. 各フィールドにフィールド値を入力します。 都道府県では省略名ではなく、完全な名前を使用します。 完了したら、ファイルをファイルの拡張子 .arm で保管します。
  5. .arm ファイルの送信や、署名付き証明書 (.cert ファイル) の受信に関する、認証局 (CA) 組織の規則に従います。 例えば、一部の会社では、.arm ファイルをアップロードしたり、電子メールで .cert ファイルを受信したりできる Web サイトが示されます。
  6. .cert ファイルは、証明書の [共通名 (Common Name)] フィールドの値に名前を変更する必要があります。 これは通常、マシンの完全なインターネット名 (例えば、mymachine.somedomain.ibm.com) です。 共通名を参照する際には、完全なマシン名を使用する必要があります。
  7. [Key Database Content] 領域で、ドロップダウン メニューの [Signer Certificates] をクリックします。CA 名 (会社名) がリストされている場合、[Key Database Content] ページで、ドロップダウン項目の [Personal Certificates] を選択します。[受け取り (Receive)] をクリックします。 Common Name.arm ファイルを参照します (ステップ 6 を参照)。 これが ASCII ファイルである場合は、[データ タイプ] ドロップダウン ボックスで [ASCII] を選択し、それ以外の場合には DER バイナリ ファイルを選択します。 [OK] をクリックします。証明書を受け取ったというメッセージを受け取るはずです。
    CA 名がリストされていない場合は、次のように CA のルート証明書を追加します。
    1. CA の Web サイトでルート証明書を探してダウンロードし、その名前を CA.arm (CA はその認証局会社の名前) にします。
    2. [鍵データベースの内容 (Key Database Content)] 領域で、ドロップダウン項目の [署名者証明書 (Signer Certificates)] を選択し、[追加] をクリックします。
    3. [Browse] をクリックして、ダウンロードしたばかりの .arm ファイル (CA.arm) にナビゲートします。 これが ASCII ファイルである場合、[Data Type] ドロップダウン ボックスで [ASCII] を選択します。そうでない場合は、DER バイナリ ファイルを選択します。[OK] をクリックすると、リストには CA の名前が含まれており、証明書を受け取ったというメッセージを受け取るはずです。ステップ 7 に進んでください。

フィードバック