// 下階層用テンプレート #topicpath ---- //ここにコンテンツを記述します。 まずは、ベリサインなどの認証局(Certification Authority:略CA)を使用しない方法でやってみました。 (開発環境とかテストはこれで十分) #contents ***ikeymanで鍵データベース・ファイル作成 [#ted86a31] {$IHS_ROOT}/bin/ikeyman を起動し、GUIのメニューバーより 鍵データベース・ファイル > 新規.. を選択し 鍵データベース・タイプ:CMS ファイル名: mkinokey.kdb 位置: /opt/IBM/IBMHttpServer/ssl/ としてOK押下。そうすると、このkdbファイルを開くときに必要な、パスワードを指定する画面が出てくるので、適当に決めましょう。その際パスワードをファイルに隠しておきますか?をチェックしておく。 以上で、空の鍵データベース・ファイルができました。 mkinokey.sth mkinokey.crl mkinokey.kdb mkinokey.rdb ***鍵データベース・ファイルに個人用証明書設定。 [#g8bc8f7a] 今回はベリサインなどのCAを使用しない、テスト環境の設定を行います。 「鍵データベースの内容」のプルダウンを「個人用証明書」にします。 #ref(pic.png) 右下の「新規自己署名..」より自己署名を設定します。 鍵ラベル: test 共通名: サーバ名 <- ユーザがURLで指定するサーバ名にしておかないと、 ブラウザアクセス時、ダイアログが出ちゃうので注意深く設定しよう 組織: hoge とかしました。 以上で、鍵データベース・ファイルに個人用証明書の設定が完了しました。メニューより、 鍵データベース・ファイル > 終了 で閉じてください。 本番の環境など、Verisignに認証してもらう場合は、新規自己署名ではなく「受信」で、あらかじめVerisignにもらった個人証明書ファイルを読み込みます。 ***IHSの設定 [#i11b3787] httpd.confに以下を追加 LoadModule ibm_ssl_module modules/mod_ibm_ssl.so Listen 443 <VirtualHost *:443> SSLEnable Keyfile "/opt/IBM/IBMHttpServer/ssl/mkinokey.kdb" #SSLServerCert test <-Verisignの場合、鍵ラベルとあわせること #SSLClientAuth 0 </VirtualHost> http://www-1.ibm.com/support/docview.wss?uid=std3a980c41a5286c63049256eb3001f8a22 ***まとめ [#l26df8ae] ちなみにVerisignを使う場合のフローもあわせてまとめると -ikeyman起動して、鍵データベースファイルを作成(mkinokey.kdb 他) -(Verisignの場合)「個人証明書要求」でcertreq.arm(テキスト)を作成 -(Verisignの場合) http://www.verisign.co.jp/server/idregister/ にarmをアップして、諸々の内容を登録。 -(Verisignの場合) メールでcert.cer (テキスト)が返ってくる -(Verisignの場合) Verisignの証明書更新。更新するファイルは~ |LEFT:''URL''|LEFT:''ファイル''|LEFT:''ファイル形式''|LEFT:''名称''| |LEFT:https://www.verisign.co.jp/server/cus/rootcert/get2028pca3.html|LEFT:getrootcert.cer|LEFT:2進derデータ|LEFT:Verisign Class 3 Public Primary Certification Authority| |LEFT:https://www.verisign.co.jp/server/help/intermediateCA.html|LEFT:intermediateca.cer|LEFT:テキスト|LEFT:VeriSign Class 3 CA Individual Subscriber-Persona Not Validated| -(Verisignの場合) Verisignから取得したcert.cerをikeymanの「個人の証明書」で受信します。 -(テスト環境の場合)Verisignなどを経由せず、「個人証明書」の「新規自己署名」で署名データを作成します。 -あとはIHSに設定追加です。Verisignの場合は、 SSLServerCert ラベル SSLClientAuth 0 を追加することを忘れないようにしましょう。 ---- この記事は #vote(おもしろかった[18],そうでもない[13]) -ベリサインを使う場合は、個人用証明書ではなく、個人証明書要求を選択して署名を作成し、ベリサインに認証してもらいます。 -- [[きの]] &new{2005-12-30 13:25:43 (金)}; -kdbファイルは勝手にリネームしてはいけない模様?ikeyman経由で別名保存すること。 -- [[きの]] &new{2006-01-06 20:03:16 (金)}; -Verisignの場合は、証明書の内容をちゃんと入れないと、Verisignのサイトではねられてしまう見たい。ちゃんと入れましょう。 -- [[きの]] &new{2006-01-06 20:32:49 (金)}; -ファイルをikeymanでリネームすると [Fri Jan 06 22:45:14 2006] [warn] SSL0263W: SSL Connection attempted when SSL did not initialize. てなっちゃう。なんでだろ? -- [[きの]] &new{2006-01-06 22:34:32 (金)}; -sthファイルがないためのようだ。IHSが何でkdbファイル読めるか、不思議だったんだよね。ikeymanで、パスワードを隠すというのがあり、それをするとsthファイルが作成されます。。。。 -- [[きの]] &new{2006-01-07 01:03:01 (土)}; #comment #topicpath SIZE(10){現在のアクセス:&counter;}