自己署名証明書は、合法的な認証局の署名入り証明書よりも簡単に入手できるので、テスト環境で使用することができます。
iManagerを使用してeDirectoryサーバから認証局(CA)をエクスポートして、自己署名証明書を生成できます。
eDirectory管理者のユーザ名とパスワードを使用してiManagerにログインします。
Administration (管理) > Modify Object (オブジェクトの変更)の順にクリックします。
セキュリティコンテナで「TreeName CA.Security」という名前のCAオブジェクトを参照します。たとえば、IDMTESTTREE CA.Securityを参照します。
OKをクリックします。
Certificates (証明書) > Self-Signed Certificate (自己署名証明書)の順にクリックします。
使用する自己署名証明書を選択します。
例: Self Signed Certificate RSA (自己署名証明書RSA)
Self Signed Certificate RSA (自己署名証明書RSA)をチェックします。
検証をクリックします。
Exportをクリックします。
Export private key (秘密鍵のエクスポート)をクリアします。
Export format (エクスポートフォーマット) > DER (DER)の順にクリックします。
次へをクリックします。
Save the exported certificate (エクスポートされた証明書の保存)をクリックします。
Save File (ファイルの保存)をクリックします。
iManagerはファイルを「TreeName cert.der」という名前で保存します。たとえば、IDMTESTREE cert.derというファイルに保存します。
閉じるをクリックします。
アプリケーションサーバ(cert.der)の設定ディレクトリに証明書をコピーします。
たとえば、C:\NetIQ\idm\apps\tomcat\confです。
ルート証明書をインポートするには、次の手順を実行します。
コマンドプロンプトで、次のコマンドを使用して、アプリケーションサーバのconfディレクトリに移動します。
keytool -import -trustcacerts -alias root -keystore <keystore file>.keystore -file exported_certificate_filename.der
例:
keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file cert.der
メモ:別名としてrootを指定する必要があります。
証明書をインポートした後で、サーバにCertificate was added to keystore (証明書がキーストアに追加されました)が表示されます。
NetIQでは、ルート証明書をJava cacertsの場所にもインポートすることをお勧めします。
次に例を示します。
keytool -import -trustcacerts -alias root -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file cert.der
次のコマンドを使用して、confディレクトリに署名入り証明書が正しくインポートされていることを確認します。
keytool -list -v -alias root -keystore your.jks
次に例を示します。
keytool -list -v -alias root -keystore IDMkey.jks
サーバに証明書が一覧表示されます。
自己署名証明書を生成する前に、キーストアと証明書要求ファイルが用意されていることを確認します。詳細については、「セクション 29.2, キーストアと証明書署名要求の作成」を参照してください。
iManagerにログインします。
Certificate Server (証明書サーバ) > Issue Certificate (証明書の発行)の順に移動します。
セクション 29.2, キーストアと証明書署名要求の作成のステップ 7で作成した.csrファイルを参照します。
例: IDMcertrequest.csr
次へを2回クリックします。
証明書タイプとしてUnspecified (指定なし)をクリックします。
次へを2回クリックします。
iManagerはファイルをcsr_request_name.derという名前で保存します。例: IDMcertrequest.der
アプリケーションサーバ(IDMcertrequest.der)の設定ディレクトリに証明書をコピーします。
たとえば、C:\NetIQ\idm\apps\tomcat\confです。
生成された自己署名証明書をインポートするには、次の手順を実行します。
コマンドプロンプトで、次のコマンドを使用して、アプリケーションサーバのconfディレクトリに移動します。
keytool -import -alias keystore_name -keystore <keystore_file> -file <signed_certificate_filename>.der
例:
keytool -import -alias IDMkey -keystore IDMkey.keystore -file IDMcertrequest.der
メモ:別名としてキーストア名を指定する必要があります。
証明書をインポートした後で、サーバにCertificate was added to keystore (証明書がキーストアに追加されました)が表示されます。
NetIQでは、自己署名証明書をJava cacertsの場所にもインポートすることをお勧めします。
次に例を示します。
keytool -import -alias IDMkey -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file IDMcertrequest.der
次のコマンドを使用して、署名入り証明書がconfディレクトリに正しくインポートされていることを確認します。
keytool -list -v -alias keystore_name -keystore your.jks
次に例を示します。
keytool -list -v -alias IDMkey -keystore IDMkey.jks
サーバに証明書が一覧表示されます。
アプリケーションサーバのSSL設定を更新します。詳細については、「セクション 29.6, アプリケーションサーバのSSL設定の更新」を参照してください。
設定ユーティリティでSSL設定を更新します。詳細については、セクション 29.7, 設定ユーティリティによるSSL設定の更新を参照してください。
セルフサービスパスワードリセットのSSL設定を更新します。詳細については、セクション 29.8, セルフサービスパスワードリセットのSSL設定の更新を参照してください。
Tomcatを再起動します。