Liberty トークンプロファイルのカスタムキーストアの使用

関連項目

アプリケーションを保護するために Liberty トークンプロファイルを使用している場合、実行時のエラーを避けるために、ここに記載されている構成の手順を実行してください。

Liberty トークンプロファイルのカスタムキーストアを使用するには、次の手順に従います。

  1. 「サービス」ウィンドウで、アプリケーションサーバーが実行中の場合は停止します。
  2. 次の手順に従って、 amserver 別名の証明書をエクスポートします。
    1. <アプリケーションサーバーのインストールディレクトリ>\domains\domain1\config\ ディレクトリへ移動します。
      IDE のインストール中に、Access Manager 構成のデフォルトを受け入れなかった場合は、手動の構成で指定した flatfile ディレクトリへ移動してください。
    2. そのディレクトリで、 keystore.jks ファイルを検索します。
    3. 次の keytool コマンドを使用して、amserver 別名の証明書をエクスポートします。
      keytool -export -keystore keystore.jks -alias amserver -rfc -file server.cer
      このコマンドを使用すると、x509 証明書が server.cer という名前のファイルに自動的に保存されます。
      • amflatfiledir にある keystore.jks ファイルのパスワードは、secret です。
  3. カスタムキー別名の証明書をエクスポートし、次の操作を行なって、SOAP メッセージに署名して Web サービスクライアントで使用します。
    1. カスタムキーストアが置かれているディレクトリへ移動します。
    2. 次の keytool コマンドを使用して、カスタムキー別名の証明書をエクスポートします。
      keytool -export -keystore customkeystore.jks -alias key-alias -rfc -file client.cer
      このコマンドを使用すると、x509 証明書が client.cer という名前のファイルに自動的に保存されます。
      手順 6 の com.sun.identity.liberty.wsc.cert.alias プロパティーでも同じ別名を使用します。
  4. 次の操作を行なって、証明書をインポートします。
    1. 次の keytool コマンドを使用して、手順 2 で作成した server.cer をカスタムキーストアファイルにインポートします。
      keytool -import -keystore customkeystore.jks -alias amdisco -file server.cer
      カスタムキーストアを使用する Web サービスプロバイダは、インポートしたこの証明書を使用して、Access Manager Liberty 検出サービスに信頼を与えます。
    2. 次の keytool コマンドを使用して、手順 3 で作成した client.cer を Access Manager のキーストアファイルにインポートします。
      keytool -import -keystore keystore.jks -alias <カスタム別名> -file client.cer
      Access Manager キーストアファイルの場所は、手順 2 を参照してください。
      検出サービスは、このインポートした証明書を使用して、Web サービスクライアントのトークンを生成します。
      • amflatfiledir にある keystore.jks ファイルのパスワードは、secret です。
  5. <アプリケーションサーバーのインストールディレクトリ>\addons\amserver ディレクトリへ移動し、AMConfig.properties ファイルを開きます。
  6. 次の行を探します。
    com.sun.identity.liberty.ws.wsc.certalias=amclient
    これを次のように変更します。
    com.sun.identity.liberty.ws.wsc.certalias= <カスタムキーストアの非公開鍵の別名>
    <カスタムキーストアの非公開鍵の別名> は、前述の手順 3 で使用した <キー別名> と同じです。
    この証明書は、SOAP メッセージの署名に Liberty X509/SAML プロファイルを使用する、Web サービスクライアントによって使用されます。
  7. 次の行を探します。
    com.sun.identity.liberty.ws.trustedca.certaliases=amserver: <ホスト名>
    これを次のように変更します。
    com.sun.identity.liberty.ws.trustedca.certaliases=amdisco: <ホスト名>
  8. 変更を保存して AMConfig.properties ファイルを閉じます。
  9. 「サービス」ウィンドウで、アプリケーションサーバーを再起動します。
関連項目
Sun Java System Access Manager インスタンスのセキュリティー機構プロファイルの構成
Liberty SAML トークンプロファイルのサポートの構成
<セキュリティー機構> プロファイルを編集」ダイアログ
Web サービスクライアントの Liberty セキュリティー機構の有効化
Web サービスプロバイダの Liberty セキュリティー機構の有効化

著作権と商標について