52.7 署名入り証明書によるSSLの有効化

運用環境では、合法的な認証局が発行した署名入り証明書を使用します。このセクションでは、署名入り証明書を識別情報アプリケーションのデフォルトのTomcatアプリケーションサーバにインポートする方法について説明します。証明書が正しくインポートされることを保証するために、使用するアプリケーションサーバのマニュアルをレビューすることをお勧めします。

この手順は、合法的な認証局からの署名入り証明書が用意されていることを想定しています。詳細については、セクション 52.5, キーストアと証明書署名要求の作成を参照してください。

署名入り証明書とSSLを使用するには:

  1. アプリケーションサーバの設定ディレクトリに証明書のコピーを配置します。たとえば、opt/netiq/idm/apps/tomcat/confに移動します。

    メモ:

    • 識別情報アプリケーション、Identity Reporting、OSP、およびSSPRをアプリケーションサーバの複数のインスタンスに展開している場合、確実に各インスタンスに証明書のコピーを配置します。

    • この証明書のバックアップコピーを安全な場所に保存する必要もあります。

  2. ルート証明書をDERフォーマットに変換するには、次の手順を実行します。

    1. confディレクトリにある証明書をダブルクリックします。

    2. [証明書]ダイアログで[証明のパス]をクリックします。

    3. 署名機関から入手したルート証明書を選択します。

    4. [証明書の表示]をクリックします。

    5. [詳細]>[ファイルにコピー]の順にクリックします。

    6. 証明書のエクスポートウィザードで[次へ]をクリックします。

    7. [DER encoded binary for X.509 (.CER)]を選択して[次へ]をクリックします。

    8. 新しくフォーマットされた証明書を格納する新しいファイルを作成し、アプリケーションサーバのconfディレクトリに格納します。

    9. [完了]をクリックします。

  3. 変換された証明書をインポートするには、次の手順を実行します。

    1. コマンドプロンプトでアプリケーションサーバのconfディレクトリに移動します。

    2. 次のコマンドを入力します。

      keytool -import -trustcacerts -alias root -keystore your.keystore -file yourRootCA.cer

      次に例を示します。

      keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file IDMTESTREE.cer

      メモ:別名としてrootを指定する必要があります。

      インポートに成功すると、「Certificate was added to keystore」と表示されます。

    3. 署名入り証明書が正常にインポートされていることを検証するには、confディレクトリで次のコマンドを実行します。

      keytool -list -v -alias root -keystore your.keystore

      次に例を示します。

      keytool -list -v -alias root -keystore IDMkey.keystore

      自己署名証明書と署名入り証明書のリストが表示されます。

  4. Tomcatを停止します。

  5. (状況によって実行) TomcatでSSLを有効にするには、次の手順を実行します。

    1. テキストエディタでserver.xmlを開きます。このファイルは、デフォルトではnetiq/idm/apps/tomcat/confディレクトリにあります。

    2. このファイルの次のセクションのコメントを解除するか、またはこのファイルに次のセクションを追加します。

      <Connector port="8543" protocol="HTTP/1.1" 
       maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="path_to_keystore_file"
       keystorePass="keystore_password" />

      where

      keystoreFile

      userapp.keystoreファイルへのパスを指定します。このファイルは、デフォルトでは/netiq/idm/apps/tomcat/conf/userapp.keystoreディレクトリにあります。

      keystorePass

      userapp.keystoreファイルのパスワードを指定します。

      keystoreFilekeystorePassに適切な値を指定する必要があります。NetIQでは、クリアテキストパスワードを提供する代わりに、keystorePassの暗号化パスワードを指定することをお勧めします。SSL通信でのクリアテキストおよび暗号化パスワードの使用法の詳細については、「Securing Tomcat」を参照してください。

      TomcatでSSLを有効にする方法の詳細については、「SSL Configuration HOW-TO」を参照してください。

  6. 識別情報アプリケーション、レポーティング、およびSSPRのSSL設定を更新します。詳細については、セクション 52.2, 設定ユーティリティによるSSL設定の更新を参照してください。

  7. Tomcatを再起動します。