サードパーティの信頼された SSL 証明書の実装

ドメインの管理 › 証明書の管理 › サードパーティの信頼された SSL 証明書の実装

サードパーティの信頼された SSL 証明書の実装

CA Process Automation は、HTTPS Web アクセスのサードパーティセキュリティ証明書および jar の署名をサポートしています。このような証明書は、サードパーティの認証局から取得できます。

以下の手順に従います。

証明書のパスワードを決め、認証局からセキュリティ証明書を取得します。
認証局の指示に従って、キーストアに証明書をインポートします。
通常は、keytool -import -alias myalias -file certfile -keystore "path_and_file_specification_for_keystore" といったコマンドを使用します。
キーストアパスワードについては、認証局が指定する証明書パスワードを入力します。
キーストアパスワードの暗号化されたバージョンを取得します。
1. <インストール先ディレクトリ>/server/c2o に移動します。
2. PasswordEncryption スクリプト（Windows の場合は PasswordEncryption.bat、UNIX または Linux の場合は PasswordEncryption.sh）を探します。
3. PasswordEncryption passwordtoencrypt を実行します。
4. プロパティファイルのエントリについて返された長い暗号化値を保存します。
オーケストレータの停止
Oasis 環境設定プロパティファイルをバックアップして編集し、以下を追加、または更新します。
1. itpam.web.keystorepath を完全修飾パスを使用したキーストアの場所とキーストアファイルのファイル名にする
2. 暗号化されたキーストアパスワードを備えた itpam.web.keystore.password （暗号化されたパスワード値を引用符で囲まない）
3. itpam.web.keystorealias をキーストアの証明書の参照に使用する別名にする（例の myalias）
<インストール先ディレクトリ>¥server¥c2o にある、CA Process Automation に付属の SignC2OJars （Windows の場合は SignC2OJars.bat、UNIX または Linux の場合は SignC2OJars.sh）を実行して、jar ファイルに署名します。パラメータなしで SignC2oJars を実行し、jar に署名します。入力したキーストアパスワードが証明書パスワードと一致しない場合は、jar に署名するたびに証明書パスワードを入力します。
注： AIX で、SignC2OJars を使用した jar の再署名に既知の問題があります。この問題を回避するには、SignC2OJars を実行する前に Java Archive ごとに META-INF フォルダの *.SF と *.RSA ファイルを削除して jar を手動で「署名解除」します。

キーストアに複数の別名が含まれる場合は、server.xml のコネクタエントリを変更します。 server.xml は <install_dir>¥server¥c2o¥deploy¥jbossweb-tomcat55.sar¥server.xml にあります。太字の行を追加します。

<Connector port="${tomcat.secure.port}" address="${jboss.bind.address}"

maxThreads="100" strategy="ms" maxHttpHeaderSize="8192"
emptySessionPath="true"
scheme="https" secure="true" clientAuth="false" 
keystoreFile="${itpam.web.keystorepath}"
keyAlias="${itpam.web.keystorealias}"
keystorePass="${itpam.web.keystore.password}" sslProtocol = "${SSL_PROTOCOL}" algorithm = "${X509_ALGORITHM}" useBodyEncodingForURI="true"/>

オーケストレータの開始
新しい証明書を使用するオーケストレータごとに、この手順を繰り返します。