メモ:このセクションの情報は、TomcatとApacheの両方をインストールするOES LinuxまたはOES NetWareには適用されません。OES Linuxのマニュアルに、ApacheとTomcatの自己署名証明書の置き換えに関する情報が記載されています。
スタンドアロンのiManagerのインストールには、Tomcatによって使用される、一時的な、自己署名証明書が含まれます。自己署名証明書の有効期限は1年間です。
これは長期的な使用を目的としたものではありません。システムを稼働させて、インストール後すぐにiManagerを安全に使用できるようにするための一時的なソリューションです。OpenSSLでは、テストを目的とする場合を除き、自己署名証明書の使用を推奨していません。
自己署名証明書の置き換えに関する1つの課題は、TomcatのデフォルトのキーストアがTomcat {JKS}フォーマットファイルを使用することです。このキーストアを変更するために使用するツールであるkeytoolは、秘密鍵をインポートできません。自己生成したキーのみを使用します。
eDirectoryを使用している場合は、追加投資を行わずに、Novell証明書サーバを使用して証明書の生成、追跡、格納、および取り消しを安全に行うことができます。Novell証明書サーバを使用してeDirectoryで公開鍵と秘密鍵のペアを生成するには、該当するプラットフォームの手順を完了します。
以下の手順は、Linuxプラットフォームで、eDirectory内にキーペアを作成し、PKCS#12ファイルを使用して公開鍵、秘密鍵、およびルートCA(証明機関)鍵をエクスポートする方法を示しています。これには、PKCS12ディレクティブを使用し、デフォルトのJKSキーストアを使用するのではなく環境設定が実際のP12ファイルを参照するように、Tomcatのserver.xml環境設定ファイルを変更する手順が含まれます。
このプロセスに関連するファイルは次のとおりです。
一時的なキーペアは、/var/opt/novell/novlwww/.keystoreファイルに保存されます。
信頼できるルートは、/etc/opt/novell/java/security/cacertsファイルに含まれます。
Tomcatの証明書の使用を設定するためのファイルは、 /etc/opt/novell/tomcat5/server.xmlです。
iManagerで新しいサーバ証明書を作成します。
iManagerで、[Novell Certificate Server (Novell証明書サーバ)]>[Create Server Certificate (サーバ証明書の作成)]の順に選択します。適切なサーバを選択し、ニックネームを指定し、残りは証明書のデフォルト値を使用します。
サーバ証明書をTomcatのホームディレクトリ( /var/opt/novell/novlwww)にエクスポートします。iManagerで、[ディレクトリ管理]>[オブジェクトの変更]の順に選択します。 KMOオブジェクトを参照して選択します。[Certificates (証明書)]タブで、[エクスポート]を選択します。パスワードを指定し、サーバ証明書をpkcs12ファイル( .pfx)として保存します。
.pfxファイルを.pemファイルに変換します。
この変換を行うには、次のようなコマンドを使用します。
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
手順2で指定した証明書パスワードを指定し、新しい.pemファイルのパスワードを指定します。同じパスワードを使用することもできます。
.pemファイルを.p12ファイルに変換します。
この変換を行うには、次のようなコマンドを使用します。
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
手順3で指定した証明書パスワードを指定し、新しい.p12ファイルのパスワードを指定します。同じパスワードを使用することもできます。
Tomcatを停止します。
/etc/init.d/novell-tomcat5 stop
Tomcatの環境設定ファイル( /etc/opt/novell/tomcat5/server.xml)を編集し、keystoreType、keystoreFile、およびkeystorePass変数を追加して、新しく作成された.p12証明書ファイルをTomcatが使用できるようにします。例を次に示します。
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" /></Connector>
キーストアの種類をPKCS12に設定するときは、TomcatではデフォルトでTomcatホームパスが使用されなくなるため、証明書ファイルのパス全体を指定する必要があります。
.p12ファイルの所有権を適切なTomcatユーザ/グループ(通常はnovlwww)に変更し、ファイルのパーミッションをuser=rw、group=rw、およびothers=rに設定します。例を次に示します。
chown novlwww:novlwww newtomcert.p12
chmod 654 newtomcert.p12
Tomcatを再起動します。例を次に示します。
/etc/init.d/novell-tomcat5 start
以下の手順は、Windowsプラットフォームで、edirectory内にキーペアを作成し、pkcs#12ファイルを使用して公開鍵、秘密鍵、およびルートCA(証明機関)鍵をエクスポートする方法を示しています。これには、PKCS12ディレクティブを使用し、デフォルトのJKSキーストアを使用するのではなく環境設定が実際のP12ファイルを参照するように、Tomcatのserver.xml環境設定ファイルを変更する手順が含まれます。
このプロセスに関連するファイルおよびそのデフォルトの場所は次のとおりです。
一時的なキーペア: C:\Program Files\Novell\Tomcat\conf\ssl\keystore
信頼できるルート証明書: C:\Program Files\Novell\jre\lib\security\cacerts
Tomcatの証明書が使用する環境設定: C:\Program Files\Novell\Tomcat\conf\server.xml
iManagerで新しいサーバ証明書を作成します。
iManagerで、[Novell Certificate Server (Novell証明書サーバ)]>[Create Server Certificate (サーバ証明書の作成)]の順に選択します。適切なサーバを選択し、ニックネームを指定し、残りは証明書のデフォルト値を使用します。
サーバ証明書をエクスポートします。iManagerで、[ディレクトリ管理]>[オブジェクトの変更]の順に選択します。KMOオブジェクトを参照して選択します。[Certificates (証明書)]タブで、[エクスポート]を選択します。パスワードを指定し、サーバ証明書をpkcs12ファイル( .pfx)として保存します。
.pfxファイルを.pemファイルに変換します。
メモ:OpenSSLはWindowsではデフォルトでインストールされませんが、Windowsプラットフォーム用のバージョンはOpenSSLのWebサイトに用意されています。または、OpenSSLがデフォルトでインストールされているLinuxプラットフォーム上で証明書を変換することができます。
この変換を行うには、次のようなコマンドを使用します。
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
手順2で指定した証明書パスワードを指定し、新しい.pemファイルのパスワードを指定します。同じパスワードを使用することもできます。
.pemファイルを.p12ファイルに変換します。
この変換を行うには、次のようなコマンドを使用します。
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
手順3で指定した証明書パスワードを指定し、新しい.p12ファイルのパスワードを指定します。同じパスワードを使用することもできます。
.p12ファイルをTomcatの証明書がある場所にコピーします。
デフォルトでは、C:\Program Files\Novell\Tomcat\conf\ssl\です。
Tomcatサービスを停止します。
/etc/init.d/novell-tomcat5 stop
Tomcatのserver.xmlを編集し、keystoreType、keystoreFile、およびkeystorePass変数を追加して、新しく作成された.p12証明書ファイルをTomcatが使用できるようにします。例を次に示します。
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
キーストアの種類をPKCS12に設定するときは、TomcatではデフォルトでTomcatホームパスが使用されなくなるため、証明書ファイルのパス全体を指定する必要があります。
Tomcatサービスを開始します。