質問

Advanced Search

Solution ID : SO23589

Last Modified : 03/22/2021

IBM WebSphere Application Server 7.0 + IBM HTTP Server 7.0 サーバ証明書インストール手順 (新規/更新)

Solution

必ずお読みください

  • 本文書の内容によって生じた結果の影響について、弊社では一切の責任を負いかねますこと予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、製品のマニュアルをお読みいただくか、開発元にご確認ください。

事前準備:証明書、中間CA証明書、ルート証明書の取得

申請時にサーバープラットフォーム選択でIBM HTTP Serverを選択された場合は、
発行のお知らせメールにZipファイルが添付され、以下3つの証明書ファイルが含まれています。
それぞれのファイルを下記手順にてインストールしてください。

 ・サーバ証明書:  (コモンネーム).crt
 ・中間CA証明書: DigiCertCA.crt
 ・ルート証明書: TrustedRoot.crt

サーバープラットフォーム選択を誤られた場合は、CertCentralからダウンロードダウンロードしてください。

Step 1:ルート証明書のインストール

  1. ルート証明書ファイル「TrustedRoot.crt」をIBM 鍵管理画面からデータベースに登録します。

  2. ikeyman を実行し、「IBM 鍵管理画面」を起動します。

    cd /opt/IBM/HTTPServer/bin
    # ./ikeyman
  3. CSR ファイルを作成した鍵データベースを開きます。
     
  4. 鍵データベースの内容のプルダウンメニューから署名者の証明書を選択し、「追加」をクリックします。
     


     

  5. ルート証明書を指定する画面が表示されます。
    「参照」をクリックし、ルート証明書ファイルを指定します。
     


     

    次いでラベルの入力画面が表示されます。適当な名前を入力し「OK」をクリックします。
     


     

Step 2:中間CA証明書のインストール

中間CA証明書ファイル「DigiCertCA.crt」を、「Step1 ルート証明書のインストール」と同様の手順で鍵データベースに登録します。

クロスルート証明書も適用する場合は、クロスルート証明書とルート証明書「Baltimore CyberTrust Root 」をそれぞれ登録してください。

 参考:サーバ証明書 インストール手順

Step 3:サーバ証明書のインストール

  1. 鍵データベースの内容を個人証明書に変更し、「受信」をクリックします。


  2. サーバ証明書ファイルを、ファイル名に指定します。

     

  3. 鍵データベースに表示されていることを確認します。

     

Step 4:SSL を有効にする設定

SSL 接続を可能にするためには、IBM HTTP Server の設定ファイルを編集する必要があります。
IBM HTTP Server の設定ファイルは、/opt/IBM/HTTPServer/conf の下にあります。
SSL 接続設定のため、このディレクトリにある httpd.conf を編集します。
 

LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 443
<VirtualHost *:443>
  SSLEnable
  SSLServerCert test.sample.co.jp
  SSLClientAuth 0
  KeyFile /opt/IBM/HTTPServer/cert/key.kdb
</VirtualHost>


SSLServerCert には、Webサーバのホスト名を記述します。(上記の例では test.sample.co.jp)
KeyFile には、今回作成した鍵データベースファイル名を絶対パスで指定します。

上記の行を編集することにより、証明書情報を Web サーバに取り込みます。
更新の場合など、すでに上記の行が記述されている場合は、新しい鍵データベースファイルのパスを指定し直してください。

設定ファイルを編集後、Web サーバを再起動すると SSL が接続可能になります。
 

Step 5:サーバ ID とキーペアファイルのバックアップ


ハードウェア障害などに備え、各データベースファイル(鍵データベースファイル、リクエストデータベースファイル、パスワードスタッシュファイル)をバックアップしておきます。
 

  • サーバをリプレイスする場合などには、キーペアの各ファイルを新しい環境にインポートすることで移行して利用できます。
  • 有効なデータベースファイルを紛失した場合、取得したサーバ証明書を利用できません。確実にバックアップを取ってください。
     
  1. あらかじめバックアップファイルを保存するための、適当なディレクトリを作成します。

    # mkdir -p /opt/IBM/HTTPServer/cert-backup

  2. [鍵データベースの内容] にサーバ証明書のラベルが表示されているのを確認後「エクスポート/インポート」をクリックします。
     


     

  3. [場所] に、あらかじめ作成しておいたバックアップディレクトリを指定し、「OK」をクリックします。
     


     

  4. バックアップディレクトリに、ファイルが作成されていることを確認します。
     

    # ls /opt/IBM/HTTPServer/cert-backup
    key.kdb  key.rdb  key.sth


お客様の秘密鍵情報について

  • 秘密鍵は、セキュリティ上最も大切な情報です。秘密鍵が漏洩した場合、暗号化の安全性が失われます。
  • 秘密鍵をEメールに添付して送信したり、共有のドライブで保存するなどの行為は絶対にお止めください。
  • 当社がお客様の秘密鍵情報を受け取ることは絶対にありません。
  • 秘密鍵は必ずハードディスク以外のメディアにもバックアップを取り、厳重管理してください。
  • 設定したパスワードを忘れないように十分注意してください。