認証局によって署名された SSL 証明書を使用するための Rational Change の構成

SSL データ交換が、ユーザーの ID を信頼する、既に信頼されたパートナーとの間に行われる場合は、自己署名証明書で十分な場合があります。 ただし、証明書は認証局 (CA) によって署名されているものの方が、他のユーザーから信頼される可能性が高くなります。

始める前に

鍵ストア・ファイルを生成します

手順

  1. 証明書署名要求 (CSR) を生成します。

    SSL 証明書を注文する前に、暗号化されたテキスト本文である CSR をサーバーで生成する必要があります。 CSR には、会社およびドメイン名に固有の、エンコードされた情報が含まれています。

    以下のコマンドで、PKCS#10 フォーマットを使用して CSR を生成します。

    keytool -certreq -v -keystore keystore_file -alias machinename –file certreq_file

    例:

    keytool -certreq -v -keystore "/usr/local/rc53/rc.keystore" -alias hawk -file rc.csr

    CSR は CA に送信されます。CA はオフラインで証明書要求者を認証してから、証明書または証明書チェーンを返します。 この証明書または証明書チェーンを使用して、鍵ストア内の既存の証明書チェーン (自己署名証明書から成る) を置き換えます。

  2. 自己署名証明書を、CA によって返された証明書または証明書チェーンに置き換えます。
    1. 固有の別名を指定して、信頼された CA 証明書すべてを鍵ストアにインポートします。

      これらの証明書は CA の公開鍵を認証するために使用されます。

      keytool -import -v -trustcacerts -alias unique_alias -file CA_certificate_file -keystore keystore_file

      例:

      keytool -import -v -trustcacerts -alias root1 -file root1.certificate -keystore "/usr/local/rc53/rc.keystore"

    2. 以下のコマンドを入力して、CA が返した証明書をインポートします。

      keytool -import -v -alias unique_alias -file your_certificate_file -keystore keystore_file

      注: このコマンドには、-trustcacerts 引数は含まれていません。

      例:

      keytool -import -v -alias rcCertificate -file rc.certificate -keystore "/usr/local/rc53/rc.keystore"

次のタスク

Web サーバーを修正します

フィードバック