IBM i ホストを SSL 用に構成

このタスクについて

ここで説明する手順で、自己署名認証局 (CA) として Secure Sockets Layer (SSL) を実行するように IBM® i ホストを構成します。 デジタル証明書マネージャー (DCM) および IBM HTTP Server for i によって、ご使用のネットワークのデジタル証明書を管理し、SSL を使用してセキュア通信を可能にすることができます。
注: まだインストールしていない場合は、DCM (基本オペレーティング・システムのオプション 34) をインストールしてください。 DCM セットアップ要件について詳しくは、ご使用のリリースに対応する情報をインフォメーション・センター (http://publib.boulder.ibm.com/eserver/ibmi.html) で 調べてください。

手順

  1. 以下の手順で、DCM の Web ページにアクセスします。
    1. PC でブラウザーを開き、次の URL を指定します。
       http://[your_isystem]:2001
      注: ホスト上で HTTP 管理サーバーが始動していない場合、次のように入力して始動する必要があります。
       strtcpsvr server(*HTTP) httpsvr(*admin)
    2. ホスト・ユーザー ID およびパスワードを指定して、Web ページにサインオンしてください。 「IBM Systems Director Navigator for i へようこそ (Welcome to the IBM Systems Director Navigator for i)」ページが表示されます。
    3. このウェルカム・ページで「IBM i タスク・ページ (IBM i Tasks Page)」リンクをクリックします。
    4. デジタル証明書マネージャー (Digital Certificate Manager)」リンクをクリックします。
    5. もう一度、ユーザー ID とパスワードを入力してください。
    6. デジタル証明書マネージャーの Web ページが表示されます。
      注: 左側のフレームで「IBM i 管理 (IBM i Management)」 > 「インターネット構成 (Internet Configurations)」リンクを クリックし、さらに「インターネット構成 (Internet Configurations)」ページで「デジタル証明書マネージャー (Digital Certificate Manager)」リンクをクリックしても、DCM Web ページを表示することができます。
  2. 次に、(まだ存在していないことを前提として) タイプ *SYSTEM の証明書ストアをホスト上に作成します。 このファイルは、これ以降の手順で作成する証明書を保管および管理するために使用されます。 証明書ストア・ファイルは、それ自体へのアクセスを制御するための関連パスワードを持っています。
    1. 左側のフレームで、「新規証明書ストアの作成 (Create New Certificate Store)」リンクをクリックします。
    2. *SYSTEM」にチェック・マークを付けます。 「*SYSTEM」が表示されない場合は、すでに証明書ストアが存在している可能性があります。 その場合、ホストの認証局証明書を表示およびエクスポートするための手順に進んでください。
    3. 続行」をクリックします。
    4. いいえ - 証明書を証明書ストアに作成しません (No - Do not create a certificate in the certificate store)」にチェック・マークを付けます。
    5. 続行」をクリックします。
    6. 証明書ストア・パスワード: (Certificate store password:)」および 「パスワードの確認: (Confirm password:)」を設定します。
    7. 続行」をクリックします。
    8. メッセージ「証明書ストアが作成されました (The certificate store has been created)」が表示されます。
  3. 次に、ホストの CA 証明書を作成します。
    1. 左側のフレームで、「認証局 (CA) の作成 (Create a Certificate Authority (CA))」リンクをクリックします。
    2. 証明書ストアを作成するために前のセクションでセットアップした情報を、「証明書ストア・パスワード: (Certificate store password:)」および 「パスワードの確認: (Confirm password:)」に設定します。
    3. 認証局 (CA) 名: (Certificate Authority (CA) name:)」を、ご使用の system.domain の値 (小文字) に設定します。 例えば、以下のとおりです。
      host001.dept2.corp123.com
    4. 必須フィールド「組織名 (Organization name)」、「都道府県 (State or province)」、および「国 (Country)」を設定します。
    5. 認証局の有効期間 (Validity period of Certificate Authority)」を設定します。 最大 7300 日に設定することができます。
    6. これで、「証明書のインストール (Install certificate)」リンクをクリックすることによって、証明書をブラウザーでインストールできるようになりました。 「信頼します... (Trust this...)」にあるボックスすべてにチェック・マークを付け、「OK」をクリックすることができます。
    7. 続行」をクリックして、「認証局 (CA) ポリシー・データ (Certificate Authority (CA) Policy Data)」ページに移動します。
    8. ユーザー証明書の作成を許可: (Allow creation of user certificates:)」で「いいえ」を選択します。
    9. この認証局 (CA) が発行する証明書の有効期間 (1 から 2000): (Validity period of certificates that are issued by this Certificate Authority (CA) (1-2000):)」の値を 1 から 2000 日の間で設定します。
    10. 続行」をクリックします。
    11. この認証局 (CA) を組み込む必要があるアプリケーションすべてを、「アプリケーション認証局 (CA) トラスト (application Certificate Authority (CA) trust)」リストで選択します。
    12. メッセージ「選択したアプリケーションは、この認証局 (CA) を信頼します (The applications you selected will trust this Certificate Authority (CA))」が表示されます。
    13. 続行」をクリックして、CA の作成を完了します。
    14. Web ページに「オブジェクト署名証明書の作成 (Create an Object Signing Certificate)」が表示されます。 ここでは必要ないため、「キャンセル」をクリックしてください。
  4. 次に、ホストの CA 証明書を表示およびエクスポートします。
    1. 左側のフレームで、「証明書ストアの選択 (Select a Certificate Store)」ボタンをクリックします。
    2. *SYSTEM」を選択します。
    3. 続行」をクリックします。
    4. 証明書ストアのパスワードを入力します。
    5. 左側のフレームで、「証明書の管理 (Manage Certificates)」 > 「証明書の表示 (View Certificate)」 リンクをクリックします。
    6. 認証局 (CA) (Certificate Authority (CA))」を選択し、認証局 (CA) 証明書を表示します。
    7. 続行」をクリックします。
    8. LOCAL_CERTIFICATE _AUTHORITY_...」がリストされていることを確認します。 これを調べると、何を入力したかを確認できます。
  5. 以下のようにして、CA 証明書を IFS のファイルにエクスポートします。
    1. 左側のフレームで、「証明書の管理 (Manage Certificates)」 > 「証明書のエクスポート (Export certificate)」 リンクをクリックします。
    2. 認証局 (CA) (Certificate Authority (CA))」を選択し、認証局 (CA) 証明書を別の証明書ストアに、または 別のシステムで使用するためにファイルにエクスポートします。
    3. 続行」をクリックします。
    4. LOCAL_CERTIFICATE _AUTHORITY_...」を選択します。
    5. エクスポート」ボタンをクリックします。
    6. ファイル」を選択し、ファイルにエクスポートします。 これで、ファイルを別のシステムに送信し、証明書を既存の証明書ストアにインポートできるようになります。
    7. 続行」をクリックします。
    8. 証明書をエクスポートする先の IFS ファイル名を入力します。例:
      /tmp/myhostCA.cer
      存在する IFS ディレクトリー・パスを入力してください。そうしないと、エクスポートは失敗します。
    9. 続行」をクリックします。
    10. ファイルが IFS ロケーションにエクスポートされたことを示すメッセージが表示されます。
      注: この証明書ファイルは、証明書を Rational® Developer for Power クライアントに登録するため、PC で (ローカル側で) 必要になります。 このファイルは、EBCDIC から ASCII に正しく変換されるように、バイナリー・ファイルとして転送されることなく確実にテキスト・ファイルとして転送されるようにする必要があります。 このファイルをコピーするために Rational Developer for Power Systems Software でリモート・システム・エクスプローラーを使用したい場合は、まず *.cer ファイルのファイル転送モード「テキスト」に設定する必要があります。 これを行うには、「ウィンドウ」 > 「設定」を選択し、さらに 「リモート・システム」 > 「ファイル」を選択し、 「追加...」をクリックして *.cer ファイル用のファイル転送モードを追加してください。
  6. 以下のようにして、使用するサーバー・アプリケーション用の証明書をホストに作成します。
    1. 左側のフレームで、「証明書の作成 (Create certificate)」リンクを選択します。
    2. サーバーまたはクライアント証明書 (Server or client certificate)」を選択します。
    3. 続行」をクリックします。
    4. ローカル認証局 (CA) (Local Certificate Authority (CA))」を選択します。
    5. 続行」をクリックします。
    6. 鍵サイズ: (Key Size:)」を、必要な暗号化サイズに設定します。
    7. 該当するラベルを証明書に与えます。
    8. 該当する共通名を証明書に与えます。
    9. 必須フィールド「組織名 (Organization name)」、「都道府県 (State or province)」、および「国 (Country)」を設定します。
    10. 続行」をクリックします。 証明書が作成されたことを示すメッセージが表示されます。
    11. この証明書を使用するアプリケーションをすべて選択します。
    12. 続行」をクリックします。 選択したアプリケーションがこの証明書を使用することを示す、確認メッセージが表示されるはずです。
    13. 「OK」をクリックします。
    14. これで、ホスト・セットアップを完了しました。セキュア接続用に Rational Developer for Power Systems Software クライアントをセットアップした後、SSL 経由で接続できるようになりました。

フィードバック