相互認証の構成

相互認証を使用するには、サーバーとエージェントが鍵を交換する必要があります。サーバー鍵を証明書としてエクスポートし、その証明書をエージェント鍵ストアにインポートします。次にプロセスを逆にして、エージェント鍵をエクスポートし、その鍵をサーバー鍵ストアにインポートします。

始める前に

鍵を交換する前に、以下のプロパティーが設定されていることを確認してください。
  1. サーバーの (server_install/conf/server ディレクトリー内の) installed.properties ファイル内にある server.jms.mutualAuth プロパティーが true に設定されていること。
  2. 各エージェントについて、エージェントの (agent_install¥conf¥agent ディレクトリー内の) installed.properties ファイル内にある locked/agent.mutual_auth プロパティーが true に設定されていること。
  3. 各エージェント・リレーについて、リレーの (relay_install¥conf ディレクトリー内の) agentrelay.properties ファイル内にある agentrelay.jms_proxy.secure プロパティーが true に設定されていること。
  4. 各エージェント・リレーについて、リレーの agentrelay.properties ファイル内にある agentrelay.jms_proxy.mutualAuth プロパティーが true に設定されていること。

手順

  1. コマンド・ライン・ウィンドウを開き、サーバー・インストール済み環境の conf ディレクトリーに移動します。
  2. 以下のコマンドを実行します。
    keytool -export -keystore server.keystore -storepass changeit 
    -alias server -file server.crt
  3. エクスポートされたファイル (証明書) をエージェント・インストール済み環境の conf ディレクトリー、 またはエージェント・リレー・インストール済み環境の conf/jms-relay ディレクトリーにコピーします。
  4. エージェントの conf ディレクトリー内、またはエージェント・リレーの jms-relay ディレクトリー内から以下のコマンドを実行して、このファイルをインポートします。
    keytool -import -keystore keystoreFile -storepass changeit 
    -alias server -file server.crt -keypass changeit -noprompt
    keystoreFile については、 エージェントでは ibm-ucd.keystoreを、そしてエージェント・リレーでは agentrelay.keystore を使用してください。 Certificate was added to keystore というメッセージが表示されます。
  5. ローカルの各エージェントまたはエージェント・リレーについて、以下を (ファイル引数をエージェント名に合わせて変更して) 実行し、鍵をエクスポートします。
    keytool -export -keystore keystoreFile -storepass changeit 
    -alias ibm-ucd_agent -file agentName.crt
    keystoreFile については、 エージェントでは ibm-ucd.keystoreを、そしてエージェント・リレーでは agentrelay.keystore を使用してください。agentName については、 エージェントまたはエージェント・リレーの固有ストリング ID を指定します。 Certificate stored in file agentName.crt というメッセージが表示されます。
  6. エクスポートされたファイルをサーバーの conf ディレクトリーにコピーします。
  7. サーバーの conf ディレクトリー内から、 以下のコマンドを実行して各証明書をインポートします。
    keytool -import -keystore server.keystore -storepass changeit 
    -alias [agent_name] -file agentName.crt -keypass changeit -noprompt
    Certificate was added to keystore というメッセージが表示されます。
  8. サーバー、エージェント、およびエージェント・リレーを再始動します。

次のタスク

エージェント・リレーをリモート・エージェントに接続するには、前述のように、証明書を交換します。 各リモート・エージェントはリレーの証明書をインポートする必要があり、リレーは各リモート・エージェントから証明書をインポートする必要があります。リレーを使用するエージェントは、サーバーと証明書を交換する必要はありません。

鍵ストアにロードされた証明書をリストするには、鍵ストア・ディレクトリー内から以下を実行します。

keytool -list -keystore keystoreFile -storepass changeit

サーバー間の鍵の交換については、サーバー間での鍵ストアの交換を参照してください。


フィードバック