AX Server のセキュリティ > セキュリティ証明書のインストール

セキュリティ証明書のインストール

認証局（CA）から証明書をインストールし、AX サーバーとクライアントアプリケーション間の SSL 接続をセキュリティ保護するために使用される、デフォルトの自己署名証明書を置き換えます。

ツールおよびあらかじめ必要な知識

このタスクでは、鍵と証明書を管理するためには、Oracle の keytool ユーティリティを使用する必要があります。keytool ユーティリティの詳細については、Oracle keytool ドキュメントを参照してください。

このタスクを正常に終了するには、セキュリティ証明書および Java KeyStore 技術について精通している必要もあります。

セキュリティ証明書公開キーの所有権を証明するために使用される電子ドキュメント。本証明書には、当該鍵、その所有者の ID 情報、および証明書のコンテンツが正しいことを検証したエンティティのデジタル署名に関する情報が記載されています。詳細については、セキュリティ証明書を参照してください。
Java KeyStore セキュリティ証明書のリポジトリと、SSL 暗号化に使用されるそれに対応する秘密キー。詳細については、Oracle: KeyStore の作成を参照してください。

開始前の TomEE アプリケーションサーバー構成のバックアップ

Windows エクスプローラーで、鍵ストア構成を更新しようとしている Analytics Exchange Server アプリケーションをインストールしたディレクトリにある TomCat\conf サブフォルダーを開きます。
conf\tomee.xml、conf\server.xml、および conf\system.properties ファイルを安全なバックアップ先にコピーします。
セキュリティ証明書の構成中に問題が発生した場合は、Analytics Exchange サービスを停止して、これらのファイルを復元し、サービスを再起動して元の構成を復元することができます。

サーバーサイドプロセス

ヒント

絶対パスを指定しないでも keytool コマンドを使用できるように、OS パス環境変数に Java の bin サブディレクトリを追加します。このサブディレクトリをセッションのパスに追加するには、Set PATH=<java bin のパス>;%PATH% を実行します。

新しい鍵ストアの作成

サーバーでコマンドプロンプトを開きます。
次の構文を使って新しい鍵ストアを作成します。
keytool -genkeypair -alias <別名> -keyalg RSA -keystore <鍵ストアのファイル名>

プロンプトで指示されたら各質問に回答します。「」

フィールド	例
名と姓を教えてください。メモこの質問ではお使いの AX Server インスタンスのホスト名を入力する必要があります。	axserver.ax.com
所属組織単位名は?	購買
所属組織名は?	サンプルの会社
お住まいの都市または地域名は?	クパチーノ
お住まいの州または都道府県名は?	CA
この単位の 2 文字の国コードは?	US
<CN=axserver.ax.com, OU=Purchasing, O=ExampleCompany, L=Cupertino, ST=CA, C=US> は正しいですか?	y

Enter キーを押し、鍵ストアとして同じパスワードを使用するか、新しいパスワードを指定して、Enter キーを押します。

新しい鍵ストアでの証明書署名要求（CSR）の生成

メモ

既存の証明書を使用している場合は、このセクションを省略してください。

セキュリティ証明書を VeriSign などの商用 CA から購入した場合、鍵ストアの構成に関する情報については、商用 CA から提供されているドキュメントを参照してください。次の構文を使用して CSR を作成します。

keytool -certreq -alias <別名> -keyalg RSA -file <CSR の出力ファイル> -keystore <鍵ストアのファイル名>

結果認証局から証明書を要求するために使用できるファイルが手に入りました。

CA 証明書の鍵ストアへのインポート

証明書が鍵ストアにインポートできない形式（PKCS12 など）で、かつ PEM 形式にも変換できない場合は、Tomcat での証明書の構成方法を ACL サポートサービスにお問い合わせください。

使用する CA によっては、中間証明書またはルート証明書、あるいはその両方を鍵ストアにインポートする必要がある場合があります。次の構文を使って、これらの証明書の一方または両方をインポートします。
keytool -import -alias <別名> -keystore <鍵ストアのファイル名> -trustcacerts -file <証明書のファイル名>
両方の証明書をインポートする場合、各証明書に指定する別名は一意である必要があります。最初にルート証明書をインポートし、次に keytool コマンドを再実行して中間証明書をインポートする必要があります。
次の構文を使ってセキュリティ証明書をインポートします。
keytool -import -alias <別名> -keystore <鍵ストアのファイル名> -trustcacerts -file <証明書のファイル名>
指定された別名は、鍵ストアの生成した時に指定された同じ値である必要があります。鍵ストアに作成されていたデフォルトの自己署名証明書は、インポートした証明書に置き換えられます。
鍵ストアファイルを App\keystores サブフォルダーにコピーします。

TomEE アプリケーションサーバーを構成して証明書を使用する

TomCat\conf サブフォルダーの server.xml を特定し、それをテキストエディターで開きます。
次の設定を更新して保存し、server.xml を閉じます。
- keystoreFile 名前、および次の形式で作成した鍵ストアファイルへのパス: C:\ACL\App\keystores\<お使いの鍵ストア名>
- keystorePass 作成時に鍵ストアに指定したパスワード。パスワードは二重引用符（" "）で囲む必要があります。
TomCat\conf サブフォルダーの system.properties を特定し、それをテキストエディターで開きます。
次の設定を更新して保存し、system.properties を閉じます。
- javax.net.ssl.trustStore 名前、および次の形式で作成した鍵ストアファイルへのパス: C:\ACL\App\keystores\<お使いの鍵ストア名>
- javax.net.ssl.trustStorePassword 作成時に鍵ストアに指定したパスワード。
Analytics Exchange Service を再起動します。

クライアントサイドプロセス

AX Client マシンの Java cacerts ファイルに証明書をインポートする

デフォルトで cacerts ファイルのルート証明書なく証明書を使用する場合に、AX クライアントがインストールされる各エンドユーザーのコンピューターにこの構成を完了する必要があります。

Windows エクスプローラーを開き、AX クライアントをインストールする jre\lib\security サブフォルダーの cacerts ファイルに移動します。
デフォルトの場所は、C:\Program Files(x86)\ACL Software\ACL Analytics Exchange Client\jre\lib\security です。
ファイルに変更を加える前に、バックアップコピーを作成しておきます。
使用する認証局から受信する証明書によっては、中間証明書またはルート証明書、あるいはその両方を cacerts ファイルにインポートする必要がある場合があります。次の構文を使って、これらの証明書の一方または両方をインポートします。
keytool -import -alias <別名> -keystore <cacerts ファイル> -trustcacerts -file <証明書のファイル名>
両方の証明書をインポートする場合、各証明書に指定する別名は一意である必要があります。
［パスワード］プロンプトで鍵ストアのパスワードを入力し、Enter キーを押します。
cacerts ファイルのデフォルトの Java パスワードは "changeit" です。
"この証明書を信頼しますか" プロンプトで「y」と入力し、Enter キーを押します。

必要に応じて、Analytics Exchange Web アプリケーションにアクセスする各コンピューターの Web ブラウザーにこの証明書をインストールします。

メモ

この作業は、証明書が Internet Explorer の［信頼されたルート証明機関］にリストされている CA によって提供されている場合、必要ありません。このリストには、VeriSign など大手の商用 CA が含まれています。