クラスター環境用の証明書の作成と構成

この手順は、クラスター環境向けに独自の証明書を作成して構成する方法を記載しています。

始める前に

デフォルトの証明書を使用して、Campaign Web アプリケーションを SSL で構成する必要があります。

このタスクについて

以下の手順は、Campaign および Marketing Platform の自己署名証明書を作成して構成する方法を示しています。

IBM HTTP Server が Campaign Web アプリケーションおよび IBM Campaign リスナーの前に配置されているクラスター環境では、以下の手順に従って IBM Campaign リスナーを SSL で構成します。

GSKit の使用について詳しくは、http://www.ibm.com/developerworks/security/tutorials/se-gskit/ を参照してください。他の IBM® Marketing Software 製品の証明書を構成する場合も、これらのステップをガイドとして使用できます。

この手順は、IBM WebSphere Application Server によって提供されるデフォルトの証明書の場合に適用できます。カスタム・セキュリティー証明書を使用する場合は、IBM WebSphere Application Server によって使用されるカスタム証明書の場合の手順に従う必要があります。

手順

IBM HTTP Server を SSL で構成するには、以下の手順を実行します。

  1. GSKit を使用して、次のように SSL 証明書を生成します。
    1. 新しい鍵データベースを作成して初期化します。

      以下に例を示します。

      gsk8capicmd_64 -keydb -create -populate -db IHS.kdb -pw password -stash

      Campaign の場合、-stash オプションは必須です。
    2. GSKit を使用して、次のように Campaign の自己署名証明書を生成し、それを鍵データベースに格納します。

      以下に例を示します。

      gsk8capicmd_64 -cert -create -db IHS.kdb -dn "CN=*.in.ibm.com" -expire 3650 -pw password -size 1024 -label key -default_cert yes
    3. 証明書の公開部分をファイルに抽出します。

      クライアントが証明書を信頼するためには、その公開部分がクライアントに配布され、クライアントの鍵データベースに格納されなければなりません。このステップでは、Campaign 証明書の公開部分をエクスポートします。これを後のステップでインポートします。

      以下に例を示します。

      gsk8capicmd_64 -cert -extract -db IHS.kdb -stashed -label key -target IHS.arm
    4. httpd.conf ファイルで以下のモジュールを有効にします。

      以下に例を示します。

      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
      
      Listen 443
      <VirtualHost *:443>
      SSLEnable
      </VirtualHost>
      KeyFile /data/webservers/IBM/IHS/ssl/IHS.kdb
      SSLStashFile /data/webservers/IBM/IHS/ssl/IHS.sth
      SSLDisable
    5. httpd.conf ファイルで鍵ファイル・パスを設定します。
    6. IBM HTTP Server を再始動します。
  2. IBM Campaign リスナーをホストするサーバーの鍵ストア・データベース・ファイルを生成します。
    1. IBM Campaign リスナーをホストするサーバーで、任意の場所から以下のコマンドを実行し、パスをメモしておきます。
      gsk8capicmd_64 -keydb -create -populate -db Key.kdb -pw password -stash
      gsk8capicmd_64 -cert -create -db Key.kdb -dn "CN=*.in.ibm.com" -expire 3650 -pw password -size 1024  
        -label key -default_cert yes
      gsk8capicmd_64 -cert -extract -db Key.kdb -stashed -label key -target Key.arm
    2. 上記のコマンドを実行した場所に、以下のファイルが生成されていることを確認します。
      • Key.arm
      • Key.crl
      • Key.kdb
      • Key.rdb
      • Key.sth
  3. Key.arm ファイルおよび HIS.arm ファイルを、Campaign Web アプリケーションが配置されているアプリケーション・サーバーにインポートします。
    1. Key.arm ファイルおよび HIS.arm ファイルを Campaign Web アプリケーション・サーバーにコピーします。
    2. 以下の手順を実行して、Key.arm ファイルおよび HIS.arm ファイルを WebSphere Application Server の NodeDefaultTrustStore 内に追加します。
      1. 「セキュリティー」 > 「SSL 証明書および鍵管理」 > 「鍵ストアおよび証明書」をクリックします。
      2. 「NodeDefaultTrustStore」 > 「署名者証明書」をクリックします。
      3. 「追加」をクリックして、「別名」を指定し、Key.arm ファイルおよび HIS.arm ファイルのコピー先のパスを指定します。
      4. 「OK」をクリックします。
  4. IBM WebSphere Application Server の個人証明書と署名者証明書を抽出します。
    1. 「セキュリティー」 > 「SSL 証明書および鍵管理」 > 「鍵ストアおよび証明書」をクリックします。
    2. 「NodeDefaultTrustStore」 > 「個人証明書」をクリックします。
    3. デフォルトの証明書を選択します。
    4. IBM Campaign Web アプリケーション・サーバー内の有効なパスを付けて個人証明書ファイル名を追加します。例えば、/opt/IBM/IBMMS101/ClientPersonal.cer
    5. 「OK」をクリックします。
    6. 「NodeDefaultTrustStore」 > 「署名者証明書」をクリックします。
    7. デフォルトの証明書を選択します。
    8. IBM Campaign Web アプリケーション・サーバー内の有効なパスを付けて署名者証明書ファイル名を追加します。例えば、/opt/IBM/IBMMS101/ClientSigner.cer
    9. このフォルダーにナビゲートし、それらの証明書が両方ともフォルダー内にあることを確認します。
  5. 個人証明書と署名者証明書を、IBM Campaign リスナーおよび IBM HTTP Server の鍵ストア・データベースにインポートします。
    1. ClientPersonal.cer 証明書と ClientSigner.cer 証明書をリスナー・サーバーにコピーします。key.kdbファイルを作成した場所と同じ場所を使用できます。
    2. リスナー鍵ストア・データベース (key.kdb) が作成された場所から gsk8capicmd_64 コマンドを使用して、個人証明書と署名者証明書をリスナー鍵ストア・データベースにインポートします。
      gsk8capicmd_64 -cert -add -db Key.kdb -stashed -label ClientPersonalKey -file ClientPersonal.cer
      gsk8capicmd_64 -cert -add -db Key.kdb -stashed -label ClientSignerlKey -file ClientSigner.cer
    3. ClientPersonal.cer 証明書と ClientSigner.cer 証明書を IBM HTTP Server にコピーします。IHS.kdbファイルを作成した場所と同じ場所を使用できます。
    4. IBM HTTP Server 鍵ストア・データベース (IHS.kdb) が作成された場所から gsk8capicmd_64 コマンドを使用して、個人証明書と署名者証明書をリスナー鍵ストア・データベースにインポートします。
  6. Campaign リスナー鍵を IBM HTTP Server 鍵ストア・データベースにインポートし、IBM HTTP Server 鍵を Campaign 鍵ストア・データベースにインポートします。
    1. IBM HTTP Server 鍵 (IHS.arm) をリスナー・サーバーにコピーします。
    2. Campaign リスナー鍵ストア・データベース (key.kdb) が作成された場所から gsk8capicmd_64 コマンドを使用して、IBM HTTP Server 鍵をリスナー鍵ストア・データベースにインポートします。
      gsk8capicmd_64 -cert -add -db Key.kdb -stashed -label IHSKey -file IHS.arm
    3. Campaign リスナー鍵 (Key.arm) をリスナー・サーバーにコピーします。
    4. IBM HTTP Server 鍵ストア・データベース (IHS.kdb) が作成された場所から gsk8capicmd_64 コマンドを使用して、Campaign リスナー鍵を IBM HTTP Server 鍵ストア・データベースにインポートします。
      gsk8capicmd_64 -cert -add -db IHS.kdb -stashed -label IHSKey -file Key.arm
  7. IBM Campaign アプリケーション・サーバーと IBM HTTP サーバーを再始動してから、IBM Campaign リスナーを開始します。