AX Server のセキュリティ証明書のインストール

認証局(CA)から証明書をインストールし、AX Server とクライアント アプリケーション間の SSL 接続をセキュリティ保護するために使用される、デフォルトの自己署名証明書を置き換えます。

ツールおよびあらかじめ必要な知識

このタスクでは、鍵と証明書を管理するためには、Oracle の keytool ユーティリティを使用する必要があります。 keytool ユーティリティの詳細については、Oracle keytool ドキュメント を参照してください。

このタスクを正常に終了するには、セキュリティ証明書および Java KeyStore 技術について精通している必要もあります。

  • セキュリティ証明書 公開キーの所有権を証明するために使用される電子ドキュメント。 本証明書には、当該鍵、その所有者の ID 情報、および証明書のコンテンツが正しいことを検証したエンティティのデジタル署名に関する情報が記載されています。 詳細については以下を参照 セキュリティ証明書
  • Java KeyStore セキュリティ証明書のリポジトリと、SSL 暗号化に使用されるそれに対応する秘密キー。 詳細については、Oracle: KeyStore の作成を参照してください。

開始前の TomEE アプリケーション サーバー構成のバックアップ

  1. Windows エクスプローラーで、鍵ストア構成を更新しようとしている Analytics Exchange Server アプリケーションをインストールしたディレクトリにある TomCat\conf サブフォルダーを開きます。
  2. conf\tomee.xmlconf\server.xml、および conf\system.properties ファイルを安全なバックアップ先にコピーします。

    セキュリティ証明書の構成中に問題が発生した場合は、Analytics Exchange サービスを停止して、これらのファイルを復元し、サービスを再起動して元の構成を復元することができます。

サーバーサイド プロセス

ヒント

絶対パスを指定しないでも keytool コマンドを使用できるように、OS パス環境変数に Java の bin サブディレクトリを追加します。 このサブディレクトリをセッションのパスに追加するには、Set PATH=<java bin のパス>;%PATH% を実行します。

PFX 証明書ファイルを使用する場合は、そのファイルを秘密鍵が含まれる鍵ストアに変換します。それには、次の keytool コマンドを使用します。

keytool -importkeystore -srckeystore yourpfxfile.pfx -srcstoretype pkcs12 -destkeystore cientcert.jks -deststoretype JKS

新しい鍵ストアの作成

  1. サーバーでコマンド プロンプトを開きます。
  2. 次の構文を使用して新しい鍵ストアを作成します。

    keytool -genkeypair -alias <エイリアス> -keyalg RSA -keystore <鍵ストア ファイル名>

    keytool -genkeypair -alias AX_store -keyalg RSA -keystore myAxKeystore

  3. プロンプトで指示されたら各質問に回答します。 「」
    フィールド
    名と姓を教えてください。

    メモ

    この質問ではお使いの AX Server インスタンスのホスト名を入力する必要があります。

    		axserver.ax.com
    所属組織単位名は?購買
    所属組織名は?サンプルの会社
    お住まいの都市または地域名は?クパチーノ
    お住まいの州または都道府県名は?CA
    この単位の 2 文字の国コードは?US
    <CN=axserver.ax.com, OU=Purchasing, O=ExampleCompany, L=Cupertino, ST=CA, C=US> は正しいですか?y

    Enter キーを押し、鍵ストアとして同じパスワードを使用するか、新しいパスワードを指定して、Enter キーを押します。

新しい鍵ストアでの証明書署名要求(CSR)の生成

メモ

既存の証明書を使用している場合は、このセクションを省略してください。

セキュリティ証明書を VeriSign などの商用 CA から購入した場合、鍵ストアの構成に関する情報については、商用 CA から提供されているドキュメントを参照してください。 次の構文を使用して CSR を作成します。

keytool -certreq -alias <別名> -keyalg RSA -file <CSR の出力ファイル> -keystore <鍵ストアのファイル名>

結果 認証局から証明書を要求するために使用できるファイルが手に入りました。

CA 証明書の鍵ストアへのインポート

証明書が鍵ストアにインポートできない形式(PKCS12 など)で、かつ PEM 形式にも変換できない場合は、Tomcat での証明書の構成方法を ACL サポートにお問い合わせください。

  1. 使用する CA によっては、中間証明書またはルート証明書、あるいはその両方を鍵ストアにインポートする必要がある場合があります。 次の構文を使って、これらの証明書の一方または両方をインポートします。

    keytool -import -alias <別名> -keystore <鍵ストアのファイル名> -trustcacerts -file <証明書のファイル名>

    両方の証明書をインポートする場合、各証明書に指定する別名は一意である必要があります。 最初にルート証明書をインポートし、次に keytool コマンドを再実行して中間証明書をインポートする必要があります。

  2. 次の構文を使ってセキュリティ証明書をインポートします。

    keytool -import -alias <別名> -keystore <鍵ストアのファイル名> -trustcacerts -file <証明書のファイル名>

    指定された別名は、鍵ストアの生成した時に指定された同じ値である必要があります。 鍵ストアに作成されていたデフォルトの自己署名証明書は、インポートした証明書に置き換えられます。

  3. 鍵ストア ファイルを App\keystores サブフォルダーにコピーします。

TomEE アプリケーション サーバーを構成して証明書を使用する

  1. TomCat\conf サブフォルダーの server.xml を特定し、それをテキスト エディターで開きます。
  2. 次の設定を更新し、server.xml を保存して閉じます。
    • keystoreFile 次の形式で作成した鍵ストア ファイルのパスと名前:C:/ACL/App/keystores/<お使いの鍵ストア名>
    • keystorePass 鍵ストアの作成時に指定したパスワード。 パスワードは二重引用符(" ")で囲む必要があります。
  3. TomCat\conf サブフォルダーの system.properties を特定し、それをテキスト エディターで開きます。
  4. 次の設定を更新し、server.properties を保存して閉じます。

    • keystoreFile 次の形式で作成した鍵ストア ファイルのパスと名前:C:/ACL/App/keystores/<お使いの鍵ストア名>

      メモ

      鍵ストア パスでは、スラッシュ '/' 文字を使用する必要があります。 Windows 環境で一般的なバックスラッシュ文字 '\' を使用する場合は、ログイン時にサーバー エラーが発生します。

    • javax.net.ssl.trustStorePassword 鍵ストアの作成時に指定したパスワード
  5. Analytics Exchange Service を再起動します。

クライアントサイド プロセス

AX Client マシンの Java cacerts ファイルに証明書をインポートする

デフォルトで cacerts ファイルのルート証明書なく証明書を使用する場合に、AX クライアントがインストールされる各エンドユーザーのコンピューターにこの構成を完了する必要があります。

  1. Windows エクスプローラーを開き、AX クライアントをインストールする jre\lib\security サブフォルダーの cacerts ファイルに移動します。

    デフォルトの場所は、C:\Program Files(x86)\ACL Software\ACL Analytics Exchange Client\jre\lib\security です。

  2. ファイルに変更を加える前に、バックアップ コピーを作成しておきます。
  3. 使用する認証局から受信する証明書によっては、中間証明書またはルート証明書、あるいはその両方を cacerts ファイルにインポートする必要がある場合があります。 次の構文を使って、これらの証明書の一方または両方をインポートします。

    keytool -import -alias <別名> -keystore <cacerts ファイル> -trustcacerts -file <証明書のファイル名>

    両方の証明書をインポートする場合、各証明書に指定する別名は一意である必要があります。

  4. パスワード] プロンプトで鍵ストアのパスワードを入力し、Enter キーを押します。

    cacerts ファイルのデフォルトの Java パスワードは "changeit" です。

  5. "この証明書を信頼しますか?" プロンプトで「y」と入力し、Enter キーを押します。

必要に応じて、Analytics Exchange Web アプリケーションにアクセスする各コンピューターの Web ブラウザーにこの証明書をインストールします。

メモ

この作業は、証明書が Internet Explorer の[信頼されたルート証明機関]にリストされている CA によって提供されている場合、必要ありません。 このリストには、VeriSign など大手の商用 CA が含まれています。

[ トップに戻る ]