インターネットでサービスを供給する際にサーバー証明書をインストールするのはビジネスでは一般的です。
そしてサーバー証明書の認証局としてはVerisign社が大手です。
今回のプロジェクトではこのVerisignのサーバー証明書を動的コンテンツをサービスするWebLogicServer 8.0(アプリケーションサーバー)にインストールしました。
主要なアプリケーションサーバーについては、Verisign社のHPに手順が掲載されています。が、WebLogicサーバーについては、日本ベリサインではなく米国のVerisign社のリンクがあるだけ。
そして、そのリンクをたどっていくとWebLogicの販社であるBEA社のコンテンツにたどり着きます。
この手順書はビデオを使った丁寧な説明ですが、実は、手順がひとつ抜けています。(わかる人には言うまでもないことなのかもしれないが)
だから、この手順書どおりのことだけしかやらないと、正常にインストールが完了できません。
後人のために、手順を補完して掲載します。(Linux編)
なお、コマンドについては見やすいように改行を入れていますが、実際にシェルを作成する際には、改行をいれてはいけません。(空白による区切りのみ)
1.IDキーストアをつくる。
%javahome%keytool -genkey
-alias プライベートキーエイリアス
-dname "CN=ホスト名.ドメイン名,ou=部署名,O=組織名,L=市町村名,S=都道府県名,C=JP"
-keyalg RSA
-keysize 1024
-keypass 非公開鍵のパスワード
-keystore IDキーストアファイル名.jks
-storepass IDキーストアのパスワード
-storetype JKS
-provider com.sun.net.ssl.internal.ssl.Provider
2.証明書発行要求の作成
%javahome%keytool -certreq
-alias プライベートキーエイリアス
-file 証明書発行要求ファイル名.pem
-keypass 非公開鍵のパスワード
-keystore IDキーストアファイル名.jks
-storepass IDキーストアのパスワード
-storetype JKS
-provider com.sun.net.ssl.internal.ssl.Provider
3.認証局(Verisign)への証明書発行要求
1で作成されたIDキーストアファイルと2で作成された証明書発行要求ファイルをバックアップ媒体に保存する。
VerisignのHPで証明書発行要求ファイル名.pemを貼り付けて、発行手続きを行う。
4.Verisignが発行した証明書をキーストアにインポートする。
(1)Verisignの案内に従い、中間認証局の証明書をファイルに格納する。(例:CACert.cer)
(2)中間認証局証明書の信頼キーストアへのインストール
%javahome%keytool -import
-alias 信頼キーエイリアス
-trustcacerts
-file CACert.cer
-keystore 信頼キーストアファイル名.jks
-storepass 信頼キーストアのパスワード
(3)サーバー証明書の信頼キーストアへのインストール
%javahome%keytool -import
-trustcacerts -alias プライベートキーエイリアス
-file Verisignからの戻りファイル名.pem
-keypass 非公開鍵のパスワード
-keystore 信頼キーストアファイル名.jks
-storepass 信頼キーストアのパスワード
-storetype JKS
-provider com.sun.net.ssl.internal.ssl.Provider
(4)中間認証局証明書のIDキーストアへのインストール
%javahome%keytool -import
-alias 信頼キーエイリアス
-trustcacerts
-file CACert.cer
-keystore IDキーストアファイル名.jks
-storepass IDキーストアのパスワード
(5)サーバー証明書のIDキーストアへのインストール
%javahome%keytool -import
-trustcacerts -alias プライベートキーエイリアス
-file Verisignからの戻りファイル名.pem
-keypass 非公開鍵のパスワード
-keystore IDキーストアファイル名.jks
-storepass IDキーストアのパスワード
-storetype JKS
-provider com.sun.net.ssl.internal.ssl.Provider
5.完成したキーストアをWeblogicサーバーにコンフィグレーションする。
キーストアコンフィグレーション
カスタムIDキーストア:IDキーストアファイル名
Pass Phrase:IDキーストアのパスワード
カスタム信頼キーストア:信頼キーストアファイル名
Pass Phrase:信頼キーストアのパスワード
SSLコンフィグレーション
プライベートキーのエイリアス:プライベートキーエイリアス
Pass Phrase:非公開鍵のパスワード
そしてサーバー証明書の認証局としてはVerisign社が大手です。
今回のプロジェクトではこのVerisignのサーバー証明書を動的コンテンツをサービスするWebLogicServer 8.0(アプリケーションサーバー)にインストールしました。
主要なアプリケーションサーバーについては、Verisign社のHPに手順が掲載されています。が、WebLogicサーバーについては、日本ベリサインではなく米国のVerisign社のリンクがあるだけ。
そして、そのリンクをたどっていくとWebLogicの販社であるBEA社のコンテンツにたどり着きます。
この手順書はビデオを使った丁寧な説明ですが、実は、手順がひとつ抜けています。(わかる人には言うまでもないことなのかもしれないが)
だから、この手順書どおりのことだけしかやらないと、正常にインストールが完了できません。
後人のために、手順を補完して掲載します。(Linux編)
なお、コマンドについては見やすいように改行を入れていますが、実際にシェルを作成する際には、改行をいれてはいけません。(空白による区切りのみ)
1.IDキーストアをつくる。
%javahome%keytool -genkey
-alias プライベートキーエイリアス
-dname "CN=ホスト名.ドメイン名,ou=部署名,O=組織名,L=市町村名,S=都道府県名,C=JP"
-keyalg RSA
-keysize 1024
-keypass 非公開鍵のパスワード
-keystore IDキーストアファイル名.jks
-storepass IDキーストアのパスワード
-storetype JKS
-provider com.sun.net.ssl.internal.ssl.Provider
2.証明書発行要求の作成
%javahome%keytool -certreq
-alias プライベートキーエイリアス
-file 証明書発行要求ファイル名.pem
-keypass 非公開鍵のパスワード
-keystore IDキーストアファイル名.jks
-storepass IDキーストアのパスワード
-storetype JKS
-provider com.sun.net.ssl.internal.ssl.Provider
3.認証局(Verisign)への証明書発行要求
1で作成されたIDキーストアファイルと2で作成された証明書発行要求ファイルをバックアップ媒体に保存する。
VerisignのHPで証明書発行要求ファイル名.pemを貼り付けて、発行手続きを行う。
4.Verisignが発行した証明書をキーストアにインポートする。
(1)Verisignの案内に従い、中間認証局の証明書をファイルに格納する。(例:CACert.cer)
(2)中間認証局証明書の信頼キーストアへのインストール
%javahome%keytool -import
-alias 信頼キーエイリアス
-trustcacerts
-file CACert.cer
-keystore 信頼キーストアファイル名.jks
-storepass 信頼キーストアのパスワード
(3)サーバー証明書の信頼キーストアへのインストール
%javahome%keytool -import
-trustcacerts -alias プライベートキーエイリアス
-file Verisignからの戻りファイル名.pem
-keypass 非公開鍵のパスワード
-keystore 信頼キーストアファイル名.jks
-storepass 信頼キーストアのパスワード
-storetype JKS
-provider com.sun.net.ssl.internal.ssl.Provider
(4)中間認証局証明書のIDキーストアへのインストール
%javahome%keytool -import
-alias 信頼キーエイリアス
-trustcacerts
-file CACert.cer
-keystore IDキーストアファイル名.jks
-storepass IDキーストアのパスワード
(5)サーバー証明書のIDキーストアへのインストール
%javahome%keytool -import
-trustcacerts -alias プライベートキーエイリアス
-file Verisignからの戻りファイル名.pem
-keypass 非公開鍵のパスワード
-keystore IDキーストアファイル名.jks
-storepass IDキーストアのパスワード
-storetype JKS
-provider com.sun.net.ssl.internal.ssl.Provider
5.完成したキーストアをWeblogicサーバーにコンフィグレーションする。
キーストアコンフィグレーション
カスタムIDキーストア:IDキーストアファイル名
Pass Phrase:IDキーストアのパスワード
カスタム信頼キーストア:信頼キーストアファイル名
Pass Phrase:信頼キーストアのパスワード
SSLコンフィグレーション
プライベートキーのエイリアス:プライベートキーエイリアス
Pass Phrase:非公開鍵のパスワード