Liberty トークンプロファイルのカスタムキーストアの使用
関連項目
アプリケーションを保護するために Liberty トークンプロファイルを使用している場合、実行時のエラーを避けるために、ここに記載されている構成の手順を実行してください。
Liberty トークンプロファイルのカスタムキーストアを使用するには、次の手順に従います。
- 「サービス」ウィンドウで、アプリケーションサーバーが実行中の場合は停止します。
- 次の手順に従って、 amserver 別名の証明書をエクスポートします。
- <アプリケーションサーバーのインストールディレクトリ>\domains\domain1\config\ ディレクトリへ移動します。
IDE のインストール中に、Access Manager 構成のデフォルトを受け入れなかった場合は、手動の構成で指定した flatfile ディレクトリへ移動してください。
- そのディレクトリで、 keystore.jks ファイルを検索します。
- 次の keytool コマンドを使用して、amserver 別名の証明書をエクスポートします。
keytool -export -keystore keystore.jks -alias amserver -rfc -file server.cer
このコマンドを使用すると、x509 証明書が server.cer という名前のファイルに自動的に保存されます。
- amflatfiledir にある keystore.jks ファイルのパスワードは、secret です。
- カスタムキー別名の証明書をエクスポートし、次の操作を行なって、SOAP メッセージに署名して Web サービスクライアントで使用します。
- カスタムキーストアが置かれているディレクトリへ移動します。
- 次の keytool コマンドを使用して、カスタムキー別名の証明書をエクスポートします。
keytool -export -keystore customkeystore.jks -alias key-alias -rfc -file client.cer
このコマンドを使用すると、x509 証明書が client.cer という名前のファイルに自動的に保存されます。
手順 6 の com.sun.identity.liberty.wsc.cert.alias プロパティーでも同じ別名を使用します。
- 次の操作を行なって、証明書をインポートします。
- 次の keytool コマンドを使用して、手順 2 で作成した server.cer をカスタムキーストアファイルにインポートします。
keytool -import -keystore customkeystore.jks -alias amdisco -file server.cer
カスタムキーストアを使用する Web サービスプロバイダは、インポートしたこの証明書を使用して、Access Manager Liberty 検出サービスに信頼を与えます。
- 次の keytool コマンドを使用して、手順 3 で作成した client.cer を Access Manager のキーストアファイルにインポートします。
keytool -import -keystore keystore.jks -alias <カスタム別名> -file client.cer
Access Manager キーストアファイルの場所は、手順 2 を参照してください。
検出サービスは、このインポートした証明書を使用して、Web サービスクライアントのトークンを生成します。
- amflatfiledir にある keystore.jks ファイルのパスワードは、secret です。
- <アプリケーションサーバーのインストールディレクトリ>\addons\amserver ディレクトリへ移動し、AMConfig.properties ファイルを開きます。
- 次の行を探します。
com.sun.identity.liberty.ws.wsc.certalias=amclient
これを次のように変更します。
com.sun.identity.liberty.ws.wsc.certalias= <カスタムキーストアの非公開鍵の別名>
<カスタムキーストアの非公開鍵の別名> は、前述の手順 3 で使用した <キー別名> と同じです。
この証明書は、SOAP メッセージの署名に Liberty X509/SAML プロファイルを使用する、Web サービスクライアントによって使用されます。
- 次の行を探します。
com.sun.identity.liberty.ws.trustedca.certaliases=amserver: <ホスト名>
これを次のように変更します。
com.sun.identity.liberty.ws.trustedca.certaliases=amdisco: <ホスト名>
- amdisco は、手順 4 で証明書をインポートするのに使用した別名です。
- デフォルトのインストール値を変更しなかった場合、前述の <ホスト名> は、localhost です。
- 変更を保存して AMConfig.properties ファイルを閉じます。
- 「サービス」ウィンドウで、アプリケーションサーバーを再起動します。
- 関連項目
- Sun Java System Access Manager インスタンスのセキュリティー機構プロファイルの構成
- Liberty SAML トークンプロファイルのサポートの構成
- 「<セキュリティー機構> プロファイルを編集」ダイアログ
- Web サービスクライアントの Liberty セキュリティー機構の有効化
- Web サービスプロバイダの Liberty セキュリティー機構の有効化
著作権と商標について