相互認証を使用するには、サーバーとエージェントが鍵を交換する必要があります。サーバー鍵を証明書としてエクスポートし、その証明書をエージェント鍵ストアにインポートします。次にプロセスを逆にして、エージェント鍵をエクスポートし、その鍵をサーバー鍵ストアにインポートします。
始める前に
鍵を交換する前に、以下のプロパティーが設定されていることを確認してください。
- サーバーの (server_install/conf/server ディレクトリー内の) installed.properties ファイル内にある server.jms.mutualAuth プロパティーが true に設定されていること。
- 各エージェントについて、エージェントの (agent_install¥conf¥agent ディレクトリー内の) installed.properties ファイル内にある locked/agent.mutual_auth プロパティーが true に設定されていること。
- 各エージェント・リレーについて、リレーの (relay_install¥conf ディレクトリー内の) agentrelay.properties ファイル内にある agentrelay.jms_proxy.secure プロパティーが true に設定されていること。
- 各エージェント・リレーについて、リレーの agentrelay.properties ファイル内にある agentrelay.jms_proxy.mutualAuth プロパティーが true に設定されていること。
手順
- コマンド・ライン・ウィンドウを開き、サーバー・インストール済み環境の conf ディレクトリーに移動します。
- 以下のコマンドを実行します。
keytool -export -keystore server.keystore -storepass changeit
-alias server -file server.crt
- エクスポートされたファイル (証明書) をエージェント・インストール済み環境の conf ディレクトリー、
またはエージェント・リレー・インストール済み環境の conf/jms-relay ディレクトリーにコピーします。
- エージェントの conf ディレクトリー内、またはエージェント・リレーの jms-relay ディレクトリー内から以下のコマンドを実行して、このファイルをインポートします。
keytool -import -keystore keystoreFile -storepass changeit
-alias server -file server.crt -keypass changeit -noprompt
keystoreFile については、
エージェントでは ibm-ucd.keystoreを、そしてエージェント・リレーでは agentrelay.keystore を使用してください。 Certificate was added to keystore というメッセージが表示されます。
- ローカルの各エージェントまたはエージェント・リレーについて、以下を (ファイル引数をエージェント名に合わせて変更して) 実行し、鍵をエクスポートします。
keytool -export -keystore keystoreFile -storepass changeit
-alias ibm-ucd_agent -file agentName.crt
keystoreFile については、
エージェントでは ibm-ucd.keystoreを、そしてエージェント・リレーでは agentrelay.keystore を使用してください。agentName については、
エージェントまたはエージェント・リレーの固有ストリング ID を指定します。 Certificate stored in file agentName.crt というメッセージが表示されます。
- エクスポートされたファイルをサーバーの conf ディレクトリーにコピーします。
- サーバーの conf ディレクトリー内から、
以下のコマンドを実行して各証明書をインポートします。
keytool -import -keystore server.keystore -storepass changeit
-alias [agent_name] -file agentName.crt -keypass changeit -noprompt
Certificate was added to keystore というメッセージが表示されます。
- サーバー、エージェント、およびエージェント・リレーを再始動します。
次のタスク
エージェント・リレーをリモート・エージェントに接続するには、前述のように、証明書を交換します。
各リモート・エージェントはリレーの証明書をインポートする必要があり、リレーは各リモート・エージェントから証明書をインポートする必要があります。リレーを使用するエージェントは、サーバーと証明書を交換する必要はありません。
鍵ストアにロードされた証明書をリストするには、鍵ストア・ディレクトリー内から以下を実行します。
keytool -list -keystore keystoreFile -storepass changeit
サーバー間の鍵の交換については、サーバー間での鍵ストアの交換を参照してください。