サーバーをバージョン 6.0.1.1 以前からバージョン 6.0.1.1 より後のバージョンにアップグレードするときには、SSL 暗号化をアップグレードできます。
このタスクについて
このアップグレードはオプションですが、ご使用のサーバーのセキュリティーを強化します。
手順
- サーバーの HTTPS 証明書を以下に示すようにアップグレードします。
- サーバーでコマンド・ライン・ウィンドウを開き、server_install/opt/tomcat/conf フォルダーに移動します。ここで、server_install は、サーバー・インストール・フォルダーです。 デフォルトのサーバー・インストール・ディレクトリーは、
Linux 上では /opt/ibm-ucd/server、Windows 上では C:¥Program Files¥ibm-ucd¥server です。
- 次のコマンドを使用して、既存の証明書を削除します。
keytool -delete
-alias tomcat
-keystore tomcat.keystore
-storepass changeit
注: この例および以降の例で紹介するコマンドは、すべて 1 行で記述してください。
- 次のコマンドを使用して、証明書を作成します。
keytool -genkey
-alias tomcat
-storepass changeit
-keypass changeit
-keyalg RSA
-sigalg SHA256withRSA
-keysize 2048
-validity 7305
-dname CN=host_name
-keystore tomcat.keystore
host_name にはサーバーのホスト名を使用します。
- server_install/conf フォルダーに移動します。
- 次のコマンドを使用して、鍵ストアの既存の項目を削除します。
keytool -delete
-alias server
-keystore server.keystore
-storepass changeit
- 次のコマンドを使用して、鍵ストアの項目を作成します。
keytool -genkey
-alias server
-storepass changeit
-keypass changeit
-keyalg RSA
-sigalg SHA256withRSA
-keysize 2048
-validity 7305
-dname CN=host_name
-keystore tomcat.keystore
host_name にはサーバーのホスト名を使用します。
- ご使用のエージェント・リレーごとに、次の手順を使用して、暗号化をアップグレードします。
- コマンド・ライン・ウィンドウで、relay_install/conf/jms-relay フォルダーに移動します。ここで、relay_install は、リレー・インストール・フォルダーです。
- 次のコマンドを使用して、エージェント・リレー用の鍵ストアの既存の項目を削除します。
keytool -delete
-alias agentrelay
-keystore agentrelay.keystore
-storepass changeit
- 次のコマンドを使用して、新規の暗号化レベルを持つ項目を追加します。
keytool -genkey
-alias agentrelay
-keystore agentrelay.keystore
-storepass changeit
-keypass changeit
-keyalg RSA
-sigalg SHA256withRSA
-keysize 2048
-validity 7305
-dname CN=host_name
host_name にはサーバーのホスト名を使用します。
- サーバーとエージェントの間で相互暗号化を使用している場合には、各エージェントの暗号化を以下に示すようにアップグレードします。
- コマンド・ライン・ウィンドウで、agent_install/conf/jms-relay フォルダーに移動します。ここで、agent_install は、エージェント・インストール・フォルダーです。
- 次のコマンドを使用して、エージェント用の鍵ストアの既存の項目を削除します。
keytool -delete
-alias alias
-keystore keystore_file
-storepass changeit
alias は、エージェント鍵ストアに含まれるサーバー証明書の別名に置き換え、keystore_file には、鍵ストア・ファイルを指定します。鍵ストア・ファイルのデフォルト名は、ibm-ucd.keystore です。
別名を調べるには、次のコマンドを実行し、その出力の中から別名を探し出してください。
keytool -list -v -keystore keystore_file
- 相互認証の構成 の手順に従って、新規のサーバー証明書をエージェントに追加します。