質問

Solution ID : SO23589

IBM WebSphere Application Server 7.0 + IBM HTTP Server 7.0 サーバIDインストール手順 (新規)

Problem

IBM WebSphere Application Server 7.0 + IBM HTTP Server 7.0 サーバIDインストール手順 (新規)

Solution

必ずお読みください

  • 本文書の内容によって生じた結果の影響について、弊社では一切の責任を負いかねますこと予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、製品のマニュアルをお読みいただくか、開発元にご確認ください。

Step 1:ルート証明書のインストール

ルート証明書

■2017/12/1以降のマネージドCA発行の証明書の場合

Baltimore CyberTrust Root (クロスルート設定用証明書を使う場合)
もしくは
DigiCert Global Root CA (クロスルート設定用証明書を使わない通常の証明書の場合)
DigiCert High Assurance EV Root CA(クロスルート設定用証明書を使わないEV SSL証明書の場合)

をインストールする必要があります。

ルート証明書は、以下リンク先からダウンロードしてください。

■2017/11/30までのシマンテックCA発行の証明書の場合

Class 3 Public Primary Certification Authority (クロスルート設定用証明書を使う場合)
もしくは
VeriSign Class 3 Public Primary Certification Authority - G5 (クロスルート設定用証明書を使わない場合)

をインストールする必要があります。

ルート証明書は、以下リンク先からダウンロードしてください。
※Class 3 Public Primary Certification Authority は [ Root2 ] 、VeriSign Class 3 Public Primary Certification Authority - G5 は [ Root3 ]

  1. 入手したルート証明書を任意のファイル名で保存し、IBM 鍵管理画面からデータベースに登録します。

  2. ikeyman を実行し、「IBM 鍵管理画面」を起動します。

    cd /opt/IBM/HTTPServer/bin
    # ./ikeyman
  3. CSR ファイルを作成した鍵データベースを開きます。
     
  4. 鍵データベースの内容のプルダウンメニューから署名者の証明書を選択し、「追加」をクリックします。
     


     

  5. ルート証明書を指定する画面が表示されます。
    「参照」をクリックし、ルート証明書ファイルを指定します。
     


     

    次いでラベルの入力画面が表示されます。適当な名前を入力し「OK」をクリックします。
     


     

Step 2:中間CA証明書のインストール

お読みください
シマンテックCA発行の証明書の場合、クロスルート設定は非推奨となります。
詳細は以下のサイトを確認してください。
クロスルート設定用証明書の設定について、どのような対応が必要でしょうか?
クロスルート証明書ご提供方法変更のご案内(続報)

以下より必要な「中間CA証明書」を入手します。

入手した中間CA証明書は、「Step1 ルート証明書のインストール」と同様の手順で鍵データベースに登録します。

複数の中間CA証明書が必要な製品では、それぞれ登録します。
 

Step 3:サーバIDのインストール

  1. 受信したサーバID通知メール本文中にある
    (-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----) までを証明書ファイルとして任意のファイル名で保存します。

  2. 鍵データベースの内容を個人証明書に変更し、「受信」をクリックします。
     


     

  3. あらかじめファイル保存したサーバ証明書を、ファイル名に指定します。
     


     

  4. 鍵データベースに表示されていることを確認します。
     


     

Step 4:SSL を有効にする設定

SSL 接続を可能にするためには、IBM HTTP Server の設定ファイルを編集する必要があります。
IBM HTTP Server の設定ファイルは、/opt/IBM/HTTPServer/conf の下にあります。
SSL 接続設定のため、このディレクトリにある httpd.conf を編集します。
 

LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 443
<VirtualHost *:443>
  SSLEnable
  SSLServerCert test.sample.co.jp
  SSLClientAuth 0
  KeyFile /opt/IBM/HTTPServer/cert/key.kdb
</VirtualHost>


SSLServerCert には、Webサーバのホスト名を記述します。(上記の例では test.sample.co.jp)
KeyFile には、今回作成した鍵データベースファイル名を絶対パスで指定します。

上記の行を編集することにより、証明書情報を Web サーバに取り込みます。
更新の場合など、すでに上記の行が記述されている場合は、新しい鍵データベースファイルのパスを指定し直してください。

設定ファイルを編集後、Web サーバを再起動すると SSL が接続可能になります。
 

Step 5:サーバ ID とキーペアファイルのバックアップ


ハードウェア障害などに備え、各データベースファイル(鍵データベースファイル、リクエストデータベースファイル、パスワードスタッシュファイル)をバックアップしておきます。
 

  • サーバをリプレイスする場合などには、キーペアの各ファイルを新しい環境にインポートすることで移行して利用できます。
  • 有効なデータベースファイルを紛失した場合、取得したサーバIDを利用できません。確実にバックアップを取ってください。
     
  1. あらかじめバックアップファイルを保存するための、適当なディレクトリを作成します。

    # mkdir -p /opt/IBM/HTTPServer/cert-backup

  2. [鍵データベースの内容] にサーバ証明書のラベルが表示されているのを確認後「エクスポート/インポート」をクリックします。
     


     

  3. [場所] に、あらかじめ作成しておいたバックアップディレクトリを指定し、「OK」をクリックします。
     


     

  4. バックアップディレクトリに、ファイルが作成されていることを確認します。
     

    # ls /opt/IBM/HTTPServer/cert-backup
    key.kdb  key.rdb  key.sth


お客様の秘密鍵情報について

  • 秘密鍵は、セキュリティ上最も大切な情報です。秘密鍵が漏洩した場合、暗号化の安全性が失われます。
  • 秘密鍵をEメールに添付して送信したり、共有のドライブで保存するなどの行為は絶対にお止めください。
  • 当社がお客様の秘密鍵情報を受け取ることは絶対にありません。
  • 秘密鍵は必ずハードディスク以外のメディアにもバックアップを取り、厳重管理してください。
  • 設定したパスワードを忘れないように十分注意してください。