この節では、Windows Secure Sockets Layer (SSL) 接続を WebSphere MQバージョン 5.3 から WebSphere MQ バージョン 6.0 に移行する手順を説明します。
概要
WebSphere MQ バージョン 6.0 は、キュー・マネージャーおよび MQ クライアント・チャネルの SSL
(Secure Sockets Layer) サポートを強化するために、Windows プラットフォーム上に Global Security Toolkit (GSKit) を提供します。この節のガイダンスに従って、WebSphere MQバージョン 5.3 のキュー・マネージャーまたはクライアントが SSL 接続を使用できるようセットアップされているかを判別し、それらのチャネルが引き続き WebSphere MQ バージョン 6.0 と一緒に動作するようにしてください。
移行プロセスにより、WebSphere MQバージョン 5.3 以前のバージョンによって使用されている Microsoft 証明書ストア内に保管されている証明書が、GSKit 鍵データベースに移行します。
考慮事項
- WebSphere MQ バージョン 6.0 を
インストールする前に WebSphere MQバージョン 5.3 を
アンインストールする場合は、次の手順を実行する必要があります。
- WebSphere MQバージョン 5.3 をアンインストールする前に、
証明書チェーンが完全であることを手動で検査する必要があります。
完全でない場合は、WebSphere MQバージョン 5.3 で提供される AMQMCERT ユーティリティーを
使用してチェーンを完成してください。
- WebSphere MQ バージョン 6.0 のインストール後に、
コマンド行から AMQTCERT コマンドを実行して証明書ストアを移行しなければなりません。
移行する証明書ストアのパスを指定する必要があります。
WebSphere MQバージョン 5.3 を
アンインストールしてから WebSphere MQ バージョン 6.0 を
インストールした場合、WebSphere MQバージョン 5.3 の
アンインストール時に証明書ストアの場所に関する情報がシステムから除去されるため、
インストール・プロセスはその場所を認識できません。
したがって、証明書チェーン・チェッカーはチェーンを検査することができず、AMQMCERT を
チェーンの修復に使用することもできなくなります。
つまり、ストアを移行するためにインストールで使用される
プロセスは、ストアを検出できず、その理由も認識できないため、
この方法を使用する場合は、手動でチェーンを検査し、ストアを移行しなければなりません。
これらのコマンドの詳細については、「WebSphere MQ バージョン 6.0 システム管理」を参照してください。
- プリインストール Launchpad がインストール・プロセスの最初に実行されます。ここから、「 WebSphere MQ 証明書ストア確認ウィザード」を実行できます。これは、証明書ストア内の証明書チェーンが完全であることを確認します。「WebSphere MQ 証明書ストア確認ウィザード」を実行しないことを選択すると、「ポストインストール作成ウィザード」が移行パネルに表示されず、
ご使用の証明書ストアは移行するようスケジュールされません。
- 「WebSphere MQ 証明書ストア確認ウィザード」および「ポストインストール作成ウィザード」を使用して、証明書の移行をスケジューリングできるのは、WebSphere MQバージョン 5.3 のインストールから直接 WebSphere MQ バージョン 6.0 のインストールに移行する場合のみです。
WebSphere MQバージョン 5.3 をアンインストールし、その後に WebSphere MQ バージョン 6.0 をインストールしても、インストール・プロセスは前のバージョンが WebSphere MQバージョン 5.3 であったことを認識せず、SSL 移行パネルは表示されません。この場合は、WebSphere MQバージョン 5.3 を
アンインストールする前に、プリインストール Launchpad を実行して、「WebSphere MQ 証明書ストア確認ウィザード」を実行することをお勧めします。このウィザードにより、証明書チェーンが完全であることが確認され、WebSphere MQ バージョン 6.0 のインストール後に、AMQTCERT を使用して証明書チェーンをインポートできるようになります。
- WebSphere MQ バージョン 6.0 を
サイレント・インストールする場合は、「ポストインストール作成ウィザード」に
自動的に引き継いで、証明書の移行をスケジュールするオプションがあります。このプロセスに従う場合は、証明書チェーンを
検査するために 「WebSphere MQ 証明書ストア確認ウィザード」は実行されません。
サイレント・インストールを実行しない場合は、プリインストール Launchpad を実行して、
証明書チェーンが完全であることを確認するために「WebSphere MQ 証明書ストア確認ウィザード」を実行するか、あるいはインストール前に AMQCCERT を使用して手動で証明書ストアを検査してください。
移行しない証明書
このプロセス中、いくつかの証明書は移行されません。移行されない証明書は以下のとおりです。
- GSKit がデフォルトで提供するセットに合致する証明書。GSKit は同じか、または更新されたそれ自身のセットを提供するので、これらは移行されません。
- 完全な認証局証明書チェーンがない孤立した証明書。証明書を GSkit 鍵データベース・ファイルにインポートできるのは、発行者からの証明書がすでにある場合に限られます。まず、ルート認証局証明書から始まり、存在している場合は中間の認証局証明書のチェーンに下がり、さらに存在している場合は、最も下位の認証局チェーンのメンバーによって発行された個人証明書で終わるという方法でのみ、証明書は GSkit 鍵データベースに追加されています。
- 期限切れの証明書。
証明書の移行タイプ
証明書の移行には、2 つのタイプがあります。
- 自動移行。キュー・マネージャーでは、実際の移行はキュー・マネージャーが最初に開始された時に行われます。移行が正常に完了すると、再び試行されることはありません。キュー・マネージャーは、移行が成功するか失敗するかにかかわらず、開始を試みます。クライアントでは、実際の移行は、クライアントが SSL チャネルを使用してキュー・マネージャーに初めて接続した際に行われます。移行が正常に完了すると、再び試行されることはありません。クライアントが開始されるかどうかは、移行の結果によって決まり、移行に失敗した場合はクライアントの開始も失敗します。プリインストール段階で
証明書ストアが正常に検証された場合、「ポストインストール作成ウィザード」 では、
指定された各キュー・マネージャーおよびクライアント・ストアに対して自動移行方式が採用されます。
- 手動移行。これは、証明書の転送 (AMQTCERT) という新規の制御コマンドが実行された場合に生じます。手動移行の場合は、それぞれのキュー・マネージャーおよびクライアントごとに AMQTCERT を使用する必要があります。ご使用の Microsoft 証明書ストアおよび GSKit 鍵データベースの場所および名前のステムを指定してください。
自動移行は、すべてのキュー・マネージャーおよびクライアントに対して、Microsoft 証明書ストアとそれに対応する GSKit 鍵データベースの場所および名前をそれぞれ指定しなくてよいという利点があります。
分かりやすい名前属性
Microsoft の証明書ストアでは、
通常、キュー・マネージャーまたはクライアントに対して 1 つの証明書が割り当てられます。移行では、GSKit データベースに
保管される前に、この証明書のコピーが変更されます。
この変更で、証明書の分かりやすい名前属性が、小文字のキュー・マネージャー名またはログオン ID が後に続く
ストリング ibmwebspheremq に設定されます。
以前の分かりやすい名前の値がある場合は、失われます。この分かりやすい名前の値は、GSKit 鍵データベースのラベルになります。