運用環境では、合法的な認証局が発行した署名入り証明書を使用します。このセクションでは、署名入り証明書を識別情報アプリケーションのデフォルトのTomcatアプリケーションサーバにインポートする方法について説明します。
この手順は、合法的な認証局からの署名入り証明書が用意されていることを想定しています。詳細については、セクション 29.2, キーストアと証明書署名要求の作成を参照してください。
署名入り証明書とSSLを使用するには:
アプリケーションサーバの設定ディレクトリに証明書をコピーします。たとえば、C:\NetIQ\idm\apps\tomcat\confです。
ルート証明書をDERフォーマットに変換するには、次の手順を実行します。
confディレクトリにある証明書をダブルクリックします。
[証明書]ダイアログで証明のパスをクリックします。
署名機関から入手したルート証明書を選択します。
証明書の表示をクリックします。
詳細 > ファイルにコピーの順にクリックします。
証明書のエクスポートウィザードで次へをクリックします。
DER encoded binary for X.509 (.CER)を選択して次へをクリックします。
新しくフォーマットされた証明書を格納する新しいファイルを作成し、アプリケーションサーバのconfディレクトリに格納します。
たとえば、C:\NetIQ\idm\apps\tomcat\confです。
完了をクリックします。
変換された証明書をインポートするには、次の手順を実行します。
コマンドプロンプトでアプリケーションサーバのconfディレクトリに移動します。
次のコマンドを入力します。
keytool -import -trustcacerts -alias root -keystore your.keystore -file yourRootCA.der
次に例を示します。
keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file IDMTESTREE.der
メモ:別名としてrootを指定する必要があります。
証明書をインポートした後で、サーバにCertificate was added to keystore (証明書がキーストアに追加されました)が表示されます。
次のコマンドを使用して、署名入り証明書がconfディレクトリに正しくインポートされていることを確認します。
keytool -list -v -alias root -keystore your.keystore
次に例を示します。
keytool -list -v -alias root -keystore IDMkey.keystore
サーバに証明書が一覧表示されます。
NetIQでは、署名入り証明書をJava cacertsの場所にもインポートすることをお勧めします。次に例を示します。
keytool -import -trustcacerts -alias root -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file IDMTESTREE.der
アプリケーションサーバのSSL設定を更新します。セクション 29.6, アプリケーションサーバのSSL設定の更新を参照してください。
設定ユーティリティでSSL設定を更新します。詳細については、セクション 29.7, 設定ユーティリティによるSSL設定の更新を参照してください。
セルフサービスパスワードリセットのSSL設定を更新します。詳細については、セクション 29.8, セルフサービスパスワードリセットのSSL設定の更新を参照してください。
Tomcatを再起動します。