CA Identity Managerで使用している証明書のアップデート方法について

Document created by Hirotaka_Iinuma Employee on Aug 14, 2017Last modified by Hirotaka_Iinuma Employee on Sep 29, 2017
Version 5Show Document
  • View in full screen mode

文書番号:JTEC002619

 

製品名:CA Identity Manager

 

バージョン: r12.6以前

 

OS:ALL

 

本ドキュメントではCA Identity Managerのプロビジョニングサーバとコンポーネント間の通信で使用している証明書についてプロビジョニングサーバとプロビジョニングディレクトリが別サーバにて構築されている環境での更新手順について記載します。

 

1. 事前準備

以下のサイトから証明書ファイルをダウンロードし、zipファイルを解凍します。

証明書ファイルのダウンロード

プロビジョニングサーバがインストールされているシステムで

環境変数のPATHに以下の設定を行います。

%JAVA_HOME%\bin

 

2. プロビジョニングディレクトリでの作業

2.1 以下のコマンドでサービスを停止

dxserver stop all

 

2.2 以下のフォルダのバックアップ

<CA Directory>\config\ssld

 

2.3 ダウンロードしたhostname-imp*-*.pemファイルを以下のフォルダへコピー

コピー元

\ootb_certs\pd\hostname-impd-*.pem

\ootb_certs\pd\hostname-imps-*.pem

コピー先

<dxserver>\config\ssld\personalities\

 

2.4 コピー後、既存のファイルと同じファイル名に変更、既存のファイルは削除

 

2.5 ダウンロードしたimpd_trusted.pemファイルを以下のフォルダへコピー

コピー元

\ootb_certs\pd\impd_trusted.pem

コピー先(上書き)

<dxserver>\config\ssld\

 

2.6 以下のコマンドでサービスを開始

dxserver start all

 

3. プロビジョニングサーバでの作業

3.1以下のサービスを停止

Provisioning Server

Provisioning Router

 

3.2 以下のフォルダのバックアップ

<CA Directory>\config\ssld

<Provisioning Server>\data\tls

 

3.3 ダウンロードしたhostname-imp*-*.pemファイルを以下のフォルダへコピー

コピー元

\ootb_certs\pd\hostname-impd-*.pem

\ootb_certs\pd\hostname-imps-*.pem

コピー先

<dxserver>\config\ssld\personalities\

 

3.4 コピー後、既存のファイルと同じファイル名に変更、既存のファイルは削除

 

3.5 ダウンロードしたimpd_trusted.pemファイルを以下のフォルダへコピー

コピー元

\ootb_certs\pd\impd_trusted.pem

コピー先(上書き)

<dxserver>\config\ssld\

 

3.6 ダウンロードしたtlsフォルダ下のファイルを以下のフォルダへコピー

コピー元

\ootb_certs\prov\data\tls\

コピー先(上書き)

<Provisioning Server>\data\tls\

 

3.7以下のサービスを起動

Provisioning Server

Provisioning Router

 

4. プロビジョニングマネージャでの作業

4.1 プロビジョニングマネージャの管理画面をクローズ

 

4.2 以下のフォルダのバックアップ

<Provisioning Manager>\data\tls

 

4.3 ダウンロードしたet2_cacert.pemファイルを以下のフォルダへコピー

コピー元

\ootb_cert\prov\data\tls\

コピー先(上書き)

<Provisioning Manager>\data\tls\et2_cacert.pem

 

4.4 ダウンロードしたeta2_client*.pemファイルを以下のフォルダへコピー

コピー元

\ootb_cert\prov\data\tls\client

コピー先(上書き)

<Provisioning Manager>\data\tls\client\eta2_client*.pem

  

5. Java Connector Serverでの作業

5.1 以下のサービスを停止

CA Identity Manager - Connector Server (Java)

CA Identity Manager - Connector Server (C++)

 

5.2 <JCS>\confフォルダ下の以下のファイルのバックアップ

ssl.keystore

eta2_server.p12

eta2_client.p12

 

5.3 ダウンロードしたeta2_*.p12ファイルを以下のフォルダへコピー

コピー元

\ootb_certs\jcs\eta2_*.p12

コピー先(上書き)

<JCS>\conf\

 

5.4 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Server\jcs\conf>keytool -v -importkeystore -srckeystore eta2_server.p12 -srcstoretype PKCS12 -destkeystore ssl.keystore -deststoretype JKS

出力先キーストアのパスワードを入力してください:Password01      注1)

ソース・キーストアのパスワードを入力してください:secret       注2)

既存のエントリの別名eta2_serverが存在しています。上書きしますか。[いいえ]:  yes  注3)

別名eta2_serverのエントリのインポートに成功しました。

インポート・コマンドが完了しました: 1件のエントリのインポートが成功しました。0

のエントリのインポートが失敗したか取り消されました

[ssl.keystoreを格納中]

 

注1)destkeystore passwordにはConnector Serverをインストールした際に設定したパスワードを使用します。この中の例ではPassword01を使用します。(以降の設定の中でも同様にPassword01を使用します。以降のkeytoolの実行例の中でPassword01と書かれているパスワードについてはConnector Serverをインストールした際に設定したパスワードを使用します)

注2)srckeystore passwordには固定でsecretを入力します。(以降の設定の中でも同様です)

注3)上書きしますか。のメッセージが出力されない場合もあります。(以降の設定の中でも同様です)

 

5.5 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Server\jcs\conf>keytool -v -importkeystore -srckeystore eta2_client.p12 -srcstoretype PKCS12 -destkeystore ssl.keystore -deststoretype JKS

出力先キーストアのパスワードを入力してください:Password01

ソース・キーストアのパスワードを入力してください:secret

別名eta2_clientのエントリのインポートに成功しました。

インポート・コマンドが完了しました: 1件のエントリのインポートが成功しました。0

のエントリのインポートが失敗したか取り消されました

[ssl.keystoreを格納中]

 

5.6 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Server\jcs\conf>keytool -keypasswd -alias eta2_server -keystore ssl.keystore

キーストアのパスワードを入力してください:Password01

<eta2_server>の鍵パスワードを入力してくださいsecret

新規<eta2_server>の鍵のパスワード:Password01

新規<eta2_server>の鍵のパスワードを再入力してください:Password01

 

5.7 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Server\jcs\conf>keytool -keypasswd -alias eta2_client -keystore ssl.keystore

キーストアのパスワードを入力してください:Password01

<eta2_client>の鍵パスワードを入力してくださいsecret

新規<eta2_client>の鍵のパスワード:Password01

新規<eta2_client>の鍵のパスワードを再入力してください:Password01

 

6. Connector Xpressでの作業

6.1 Connector Xpressの管理画面をクローズ

 

6.2 <Connector Express>\confフォルダ下の以下のファイルのバックアップ

ssl.keystore

eta2_server.p12(存在する場合)

eta2_client.p12(存在する場合)

 

6.3 ダウンロードしたeta2_*.p12ファイルを以下のフォルダへコピー

コピー元

\ootb_certs\conxp\eta2_*.p12

コピー先(上書き)

<Connector Express>\conf

 

6.4 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Xpress\conf>keytool -v -importkeystore -srckeystore eta2_server.p12 -srcstoretype PKCS12 -destkeystore ssl.keystore -deststoretype JKS

出力先キーストアのパスワードを入力してください:changeit     注4)

ソース・キーストアのパスワードを入力してください:secret

既存のエントリの別名eta2_serverが存在しています。上書きしますか。[いいえ]: yes

別名eta2_serverのエントリのインポートに成功しました。

インポート・コマンドが完了しました: 1件のエントリのインポートが成功しました。0

のエントリのインポートが失敗したか取り消されました

[ssl.keystoreを格納中]

 

注4)destkeystore passwordには固定でchangeitを入力します。以降の設定でchangeitと記載されているものについては、固定でchangeitを入力します。

 

6.5 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Xpress\conf>keytool -v -importkeystore -srckeystore eta2_client.p12 -srcstoretype PKCS12 -destkeystore ssl.keystore -deststoretype JKS

出力先キーストアのパスワードを入力してください:changeit

ソース・キーストアのパスワードを入力してください:secret

別名eta2_serverのエントリのインポートに成功しました。

インポート・コマンドが完了しました: 1件のエントリのインポートが成功しました。0

のエントリのインポートが失敗したか取り消されました

[ssl.keystoreを格納中]

 

6.6 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Xpress\conf>keytool -keypasswd -alias eta2_server -keystore ssl.keystore

キーストアのパスワードを入力してください:changeit

<eta2_server>の鍵パスワードを入力してください secret

新規<eta2_server>の鍵のパスワード:changeit

新規<eta2_server>の鍵のパスワードを再入力してください:changeit

 

6.7 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Xpress\conf>keytool -keypasswd -alias eta2_client -keystore ssl.keystore

キーストアのパスワードを入力してください:changeit

<eta2_client>の鍵パスワードを入力してください secret

新規<eta2_client>の鍵のパスワード:changeit

新規<eta2_client>の鍵のパスワードを再入力してください:changeit

 

7. Connector Server SDKでの作業

7.1 <CSSDK>\confフォルダ下の以下のファイルのバックアップ

ssl.keystore

eta2_server.p12

eta2_client.p12

 

7.2 ダウンロードしたeta2_*.p12ファイルを以下のフォルダへコピー

コピー元

\ootb_certs\jcs\eta2_*.p12

コピー先(上書き)

<CSSDK>\conf\

 

7.3 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Server SDK\conf>keytool -v -importkeystore -srckeystore eta2_server.p12 -srcstoretype PKCS12 -destkeystore ssl.keystore -deststoretype JKS

出力先キーストアのパスワードを入力してください:secret

ソース・キーストアのパスワードを入力してください:secret  

既存のエントリの別名eta2_serverが存在しています。上書きしますか。[いいえ]: yes

別名eta2_serverのエントリのインポートに成功しました。

インポート・コマンドが完了しました: 1件のエントリのインポートが成功しました。0

のエントリのインポートが失敗したか取り消されました

[ssl.keystoreを格納中]

 

7.4 keytoolの実行

C:\Program Files (x86)\CA\Identity Manager\Connector Server SDK\conf>keytool -v -importkeystore -srckeystore eta2_client.p12 -srcstoretype PKCS12 -destkeystore ssl.keystore -deststoretype JKS

出力先キーストアのパスワードを入力してください:secret

ソース・キーストアのパスワードを入力してください:secret

別名eta2_clientのエントリのインポートに成功しました。

インポート・コマンドが完了しました: 1件のエントリのインポートが成功しました。0

のエントリのインポートが失敗したか取り消されました

[ssl.keystoreを格納中]

 

8. jiam.jarファイルの更新

8.1 アプリケーションサーバの停止

 

8.2 以下のフォルダ下のjiam.jarファイルをバックアップ

<EAR_HOME>\iam_im.ear\library\

<IAM_Installation_location>\IAM Suite\Identity Manager\tools\lib\

<IAM_Installation_location>\Connector Xpress\lib\

 

JBOSS環境の各バージョン毎のPATHの例

jboss-5PATHの例

C:\jboss-5.1.0.GA\server\default\deploy\iam_im.ear\library\

jboss-6PATHの例

C:\jboss-eap-6.3\standalone\deployments\iam_im.ear\library\

 

8.3 jiam.jarファイルの更新方法(12.6 SP4から12.6 SP8)

ダウンロードしたjiam.jarファイルを以下のフォルダへコピー

コピー元  注

\ootb_certs\jiam\12-6-SPx\jiam.jar   

コピー先(上書き)

<EAR_HOME>\iam_im.ear\library\

<IAM_Installation_location>\IAM Suite\Identity Manager\tools\lib\

<IAM_Installation_location>\Connector Xpress\lib\

 

jiam.jarはご使用頂いているIMSPレベルのフォルダ下のファイルを使用ください

 

8.4 jiam.jarファイルの更新方法(12.6 SP1から12.6 SP3)

ダウンロードしたadmincacert.jksファイルを作業用フォルダへコピー

コピー元

\ootb_certs\jiam\12-6-SP1-12-6-SP3\admincacert.jks  

 

以下のフォルダ下のjiam.jarファイル(どれでもかまいません)を作業用フォルダへコピー

<EAR_HOME>\iam_im.ear\library\jiam.jar   

<IAM_Installation_location>\IAM Suite\Identity Manager\tools\lib\jiam.jar   

<IAM_Installation_location>\Connector Xpress\lib\jiam.jar   

 

jiam.jarに含まれているadmincacert.jksファイルをダウンロードしたadmincacert.jksjarコマンドによって差し替えを行います。 

 

コマンドの実行方法

jar uf <更新を行うjiam.jarファイルのパス> <ダウンロードしたadmincacert.jksのパス>

 

コマンド実行例(作業用フォルダをC:\tempとした場合)

C:\temp>jar uf jiam.jar admincacert.jks

 

更新したjiam.jarを以下のフォルダへコピー

コピー先(上書き)

<EAR_HOME>\iam_im.ear\library\

<IAM_Installation_location>\IAM Suite\Identity Manager\tools\lib\

<IAM_Installation_location>\Connector Xpress\lib\

 

8.5 アプリケーションサーバの起動

 

9. その他

本資料は以下のリンク先で記載されている情報をもとに、手順の日本語化および補足を行ったものです。

プロビジョニングサーバで使用している証明書の有効期限切れ(2017106)に伴うアップデートついて

Attachments

    Outcomes