暗号鍵の強度のアップグレード

サーバーをバージョン 6.0.1.1 以前からバージョン 6.0.1.1 より後のバージョンにアップグレードするときには、SSL 暗号化をアップグレードできます。

このタスクについて

このアップグレードはオプションですが、ご使用のサーバーのセキュリティーを強化します。

手順

  1. サーバーの HTTPS 証明書を以下に示すようにアップグレードします。
    1. サーバーでコマンド・ライン・ウィンドウを開き、server_install/opt/tomcat/conf フォルダーに移動します。ここで、server_install は、サーバー・インストール・フォルダーです。 デフォルトのサーバー・インストール・ディレクトリーは、 Linux 上では /opt/ibm-ucd/server、Windows 上では C:¥Program Files¥ibm-ucd¥server です。
    2. 次のコマンドを使用して、既存の証明書を削除します。
      keytool -delete 
        -alias tomcat 
        -keystore tomcat.keystore 
        -storepass changeit
      注: この例および以降の例で紹介するコマンドは、すべて 1 行で記述してください。
    3. 次のコマンドを使用して、証明書を作成します。
      keytool -genkey 
        -alias tomcat 
        -storepass changeit 
        -keypass changeit 
        -keyalg RSA 
        -sigalg SHA256withRSA 
        -keysize 2048 
        -validity 7305 
        -dname CN=host_name 
        -keystore tomcat.keystore
      host_name にはサーバーのホスト名を使用します。
    4. server_install/conf フォルダーに移動します。
    5. 次のコマンドを使用して、鍵ストアの既存の項目を削除します。
      keytool -delete 
        -alias server 
        -keystore server.keystore 
        -storepass changeit
    6. 次のコマンドを使用して、鍵ストアの項目を作成します。
      keytool -genkey 
        -alias server 
        -storepass changeit 
        -keypass changeit 
        -keyalg RSA 
        -sigalg SHA256withRSA 
        -keysize 2048 
        -validity 7305 
        -dname CN=host_name 
      -keystore tomcat.keystore
      host_name にはサーバーのホスト名を使用します。
  2. ご使用のエージェント・リレーごとに、次の手順を使用して、暗号化をアップグレードします。
    1. コマンド・ライン・ウィンドウで、relay_install/conf/jms-relay フォルダーに移動します。ここで、relay_install は、リレー・インストール・フォルダーです。
    2. 次のコマンドを使用して、エージェント・リレー用の鍵ストアの既存の項目を削除します。
      keytool -delete 
        -alias agentrelay 
        -keystore agentrelay.keystore 
        -storepass changeit
    3. 次のコマンドを使用して、新規の暗号化レベルを持つ項目を追加します。
      keytool -genkey 
        -alias agentrelay 
        -keystore agentrelay.keystore 
        -storepass changeit 
        -keypass changeit 
        -keyalg RSA 
        -sigalg SHA256withRSA 
        -keysize 2048 
        -validity 7305 
        -dname CN=host_name
      host_name にはサーバーのホスト名を使用します。
  3. サーバーとエージェントの間で相互暗号化を使用している場合には、各エージェントの暗号化を以下に示すようにアップグレードします。
    1. コマンド・ライン・ウィンドウで、agent_install/conf/jms-relay フォルダーに移動します。ここで、agent_install は、エージェント・インストール・フォルダーです。
    2. 次のコマンドを使用して、エージェント用の鍵ストアの既存の項目を削除します。
      keytool -delete 
        -alias alias 
        -keystore keystore_file 
        -storepass changeit
      alias は、エージェント鍵ストアに含まれるサーバー証明書の別名に置き換え、keystore_file には、鍵ストア・ファイルを指定します。鍵ストア・ファイルのデフォルト名は、ibm-ucd.keystore です。 別名を調べるには、次のコマンドを実行し、その出力の中から別名を探し出してください。
      keytool -list -v -keystore keystore_file
    3. 相互認証の構成 の手順に従って、新規のサーバー証明書をエージェントに追加します。

フィードバック