29.4 自己署名証明書によるSSLの有効化

自己署名証明書は、合法的な認証局の署名入り証明書よりも簡単に入手できるので、テスト環境で使用することができます。

29.4.1 認証局のエクスポート

iManagerを使用してeDirectoryサーバから認証局(CA)をエクスポートして、自己署名証明書を生成できます。

  1. eDirectory管理者のユーザ名とパスワードを使用してiManagerにログインします。

  2. Administration (管理) > Modify Object (オブジェクトの変更)の順にクリックします。

  3. セキュリティコンテナで「TreeName CA.Security」という名前のCAオブジェクトを参照します。たとえば、IDMTESTTREE CA.Securityを参照します。

  4. OKをクリックします。

  5. Certificates (証明書) > Self-Signed Certificate (自己署名証明書)の順にクリックします。

  6. 使用する自己署名証明書を選択します。

    例: Self Signed Certificate RSA (自己署名証明書RSA)

    1. Self Signed Certificate RSA (自己署名証明書RSA)をチェックします。

    2. 検証をクリックします。

  7. Exportをクリックします。

  8. Export private key (秘密鍵のエクスポート)をクリアします。

  9. Export format (エクスポートフォーマット) > DER (DER)の順にクリックします。

  10. 次へをクリックします。

  11. Save the exported certificate (エクスポートされた証明書の保存)をクリックします。

  12. Save File (ファイルの保存)をクリックします。

    iManagerはファイルを「TreeName cert.der」という名前で保存します。たとえば、IDMTESTREE cert.derというファイルに保存します。

  13. 閉じるをクリックします。

  14. アプリケーションサーバ(cert.der)の設定ディレクトリに証明書をコピーします。

    たとえば、C:\NetIQ\idm\apps\tomcat\confです。

  15. ルート証明書をインポートするには、次の手順を実行します。

    1. コマンドプロンプトで、次のコマンドを使用して、アプリケーションサーバのconfディレクトリに移動します。

      keytool -import -trustcacerts -alias root -keystore <keystore file>.keystore -file exported_certificate_filename.der

      例:

      keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file cert.der

      メモ:別名としてrootを指定する必要があります。

      証明書をインポートした後で、サーバにCertificate was added to keystore (証明書がキーストアに追加されました)が表示されます。

    2. NetIQでは、ルート証明書をJava cacertsの場所にもインポートすることをお勧めします。

      次に例を示します。 

      keytool -import -trustcacerts -alias root -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file cert.der

    3. 次のコマンドを使用して、confディレクトリに署名入り証明書が正しくインポートされていることを確認します。

      keytool -list -v -alias root -keystore your.jks

      次に例を示します。

      keytool -list -v -alias root -keystore IDMkey.jks

      サーバに証明書が一覧表示されます。

29.4.2 自己署名証明書の生成

自己署名証明書を生成する前に、キーストアと証明書要求ファイルが用意されていることを確認します。詳細については、「セクション 29.2, キーストアと証明書署名要求の作成」を参照してください。

  1. iManagerにログインします。

  2. Certificate Server (証明書サーバ) > Issue Certificate (証明書の発行)の順に移動します。

  3. セクション 29.2, キーストアと証明書署名要求の作成ステップ 7で作成した.csrファイルを参照します。

    例: IDMcertrequest.csr

  4. 次へを2回クリックします。

  5. 証明書タイプとしてUnspecified (指定なし)をクリックします。

  6. 次へを2回クリックします。

    iManagerはファイルをcsr_request_name.derという名前で保存します。例: IDMcertrequest.der

  7. アプリケーションサーバ(IDMcertrequest.der)の設定ディレクトリに証明書をコピーします。

    たとえば、C:\NetIQ\idm\apps\tomcat\confです。

  8. 生成された自己署名証明書をインポートするには、次の手順を実行します。

    1. コマンドプロンプトで、次のコマンドを使用して、アプリケーションサーバのconfディレクトリに移動します。

      keytool -import -alias keystore_name -keystore <keystore_file> -file <signed_certificate_filename>.der

      例:

      keytool -import -alias IDMkey -keystore IDMkey.keystore -file IDMcertrequest.der

      メモ:別名としてキーストア名を指定する必要があります。

      証明書をインポートした後で、サーバにCertificate was added to keystore (証明書がキーストアに追加されました)が表示されます。

    2. NetIQでは、自己署名証明書をJava cacertsの場所にもインポートすることをお勧めします。

      次に例を示します。 

      keytool -import -alias IDMkey -keystore 
C:\NetIQ\idm\jre\lib\security\cacerts -file IDMcertrequest.der

    3. 次のコマンドを使用して、署名入り証明書がconfディレクトリに正しくインポートされていることを確認します。

      keytool -list -v -alias keystore_name -keystore your.jks

      次に例を示します。

      keytool -list -v -alias IDMkey -keystore IDMkey.jks

      サーバに証明書が一覧表示されます。

  9. アプリケーションサーバのSSL設定を更新します。詳細については、「セクション 29.6, アプリケーションサーバのSSL設定の更新」を参照してください。

  10. 設定ユーティリティでSSL設定を更新します。詳細については、セクション 29.7, 設定ユーティリティによるSSL設定の更新を参照してください。

  11. セルフサービスパスワードリセットのSSL設定を更新します。詳細については、セクション 29.8, セルフサービスパスワードリセットのSSL設定の更新を参照してください。

  12. Tomcatを再起動します。