WebSphere/SSLを使う のバックアップ(No.22)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ | ログイン ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• WebSphere/SSLを使う へ行く。
  • 1 (2005-12-30 (金) 02:53:05)
  • 2 (2005-12-30 (金) 04:54:56)
  • 3 (2006-01-06 (金) 13:35:15)
  • 4 (2006-01-06 (金) 16:03:06)
  • 5 (2006-01-06 (金) 20:10:49)
  • 6 (2006-01-08 (日) 13:59:57)
  • 7 (2006-11-13 (月) 05:55:05)
  • 8 (2006-11-20 (月) 01:18:53)
  • 9 (2006-12-29 (金) 06:26:38)
  • 10 (2007-04-18 (水) 07:58:34)
  • 11 (2007-05-29 (火) 02:43:51)
  • 12 (2007-07-09 (月) 09:11:31)
  • 13 (2007-12-18 (火) 23:31:22)
  • 14 (2007-12-21 (金) 09:28:25)
  • 15 (2008-03-05 (水) 09:56:11)
  • 16 (2008-03-19 (水) 11:47:23)
  • 17 (2008-06-19 (木) 07:43:02)
  • 18 (2008-06-24 (火) 06:37:07)
  • 19 (2008-07-16 (水) 04:12:18)
  • 20 (2008-09-17 (水) 16:04:48)
  • 21 (2008-09-29 (月) 19:46:41)
  • 22 (2008-09-30 (火) 00:33:54)
  • 23 (2008-10-21 (火) 11:17:23)
  • 24 (2009-01-22 (木) 05:04:34)
  • 25 (2009-08-17 (月) 15:58:39)
  • 26 (2009-10-05 (月) 13:24:27)
  • 27 (2010-03-31 (水) 05:21:35)
  • 28 (2011-07-04 (月) 04:36:53)
  • 29 (2013-07-17 (水) 14:46:20)
  • 30 (2014-08-12 (火) 09:09:20)

---

---

まずは、ベリサインなどの認証局(Certification Authority:略CA)を使用しない方法でやってみました。 (開発環境とかテストはこれで十分)

ikeymanで鍵データベース・ファイル作成 †

{$IHS_ROOT}/bin/ikeyman を起動し、GUIのメニューバーより

鍵データベース・ファイル > 新規..

を選択し

鍵データベース・タイプ:CMS
ファイル名: mkinokey.kdb
位置: /opt/IBM/IBMHttpServer/ssl/

としてＯＫ押下。そうすると、このkdbファイルを開くときに必要な、パスワードを指定する画面が出てくるので、適当に決めましょう。その際パスワードをファイルに隠しておきますか？をチェックしておく。

以上で、空の鍵データベース・ファイルができました。

mkinokey.sth
mkinokey.crl
mkinokey.kdb
mkinokey.rdb

鍵データベース・ファイルに個人用証明書設定。 †

今回はベリサインなどのCAを使用しない、テスト環境の設定を行います。

「鍵データベースの内容」のプルダウンを「個人用証明書」にします。

右下の「新規自己署名..」より自己署名を設定します。

鍵ラベル: test
共通名: サーバ名 <- ユーザがURLで指定するサーバ名にしておかないと、
ブラウザアクセス時、ダイアログが出ちゃうので注意深く設定しよう
組織: hoge

とかしました。

以上で、鍵データベース・ファイルに個人用証明書の設定が完了しました。メニューより、

鍵データベース・ファイル > 終了

で閉じてください。

本番の環境など、Verisignに認証してもらう場合は、新規自己署名ではなく「受信」で、あらかじめVerisignにもらった個人証明書ファイルを読み込みます。

IHSの設定 †

httpd.confに以下を追加

LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 443

<VirtualHost *:443>
SSLEnable
Keyfile "/opt/IBM/IBMHttpServer/ssl/mkinokey.kdb"
#SSLServerCert test <-Verisignの場合、鍵ラベルとあわせること
#SSLClientAuth 0
</VirtualHost>

http://www-1.ibm.com/support/docview.wss?uid=std3a980c41a5286c63049256eb3001f8a22

まとめ †

ちなみにVerisignを使う場合のフローもあわせてまとめると

• ikeyman起動して、鍵データベースファイルを作成(mkinokey.kdb 他)
• (Verisignの場合)「個人証明書要求」でcertreq.arm(テキスト)を作成
• (Verisignの場合) http://www.verisign.co.jp/server/idregister/ にarmをアップして、諸々の内容を登録。
• (Verisignの場合) メールでcert.cer (テキスト)が返ってくる
• (Verisignの場合) Verisignの証明書更新。更新するファイルは
  

  URL	ファイル	ファイル形式	名称
  https://www.verisign.co.jp/server/cus/rootcert/get2028pca3.html	getrootcert.cer	2進derデータ	Verisign Class 3 Public Primary Certification Authority
  https://www.verisign.co.jp/server/help/intermediateCA.html	intermediateca.cer	テキスト	VeriSign? Class 3 CA Individual Subscriber-Persona Not Validated

• (Verisignの場合) Verisignから取得したcert.cerをikeymanの「個人の証明書」で受信します。
• (テスト環境の場合)Verisignなどを経由せず、「個人証明書」の「新規自己署名」で署名データを作成します。
• あとはIHSに設定追加です。Verisignの場合は、

  SSLServerCert ラベル
  SSLClientAuth 0

  を追加することを忘れないようにしましょう。

---

この記事は

選択肢	投票
おもしろかった	14
そうでもない	13

• ベリサインを使う場合は、個人用証明書ではなく、個人証明書要求を選択して署名を作成し、ベリサインに認証してもらいます。 -- きの? 2005-12-30 13:25:43 (金)
• kdbファイルは勝手にリネームしてはいけない模様？ikeyman経由で別名保存すること。 -- きの? 2006-01-06 20:03:16 (金)
• Verisignの場合は、証明書の内容をちゃんと入れないと、Verisignのサイトではねられてしまう見たい。ちゃんと入れましょう。 -- きの? 2006-01-06 20:32:49 (金)
• ファイルをikeymanでリネームすると

  [Fri Jan 06 22:45:14 2006] [warn] SSL0263W: SSL Connection attempted when SSL did not initialize. 

  てなっちゃう。なんでだろ？ -- きの? 2006-01-06 22:34:32 (金)
• sthファイルがないためのようだ。IHSが何でkdbファイル読めるか、不思議だったんだよね。ikeymanで、パスワードを隠すというのがあり、それをするとsthファイルが作成されます。。。。 -- きの? 2006-01-07 01:03:01 (土)

お名前:

現在のアクセス:27366

     

Site admin: Masatomi KINO

PukiWiki 1.5.1 © 2001-2016 PukiWiki Development Team. Powered by PHP 7.2.6. HTML convert time: 0.014 sec.