この節では、SSL 証明書とは何か、完全な証明書チェーンとはどのようなものか、なぜそれらが WebSphere MQ 証明書ストアに必要なのかを説明します。
個人証明書 (個人または企業に発行された証明書) は、SSL 接続の開始に必要な場合は、それら自身を一意的に識別するためにキュー・マネージャーおよび MQ クライアントにより使用されることがあります。
発行者証明書は、それらが SSL ハンドシェークで受け取る任意の個人証明書の認証性を検証するために、キュー・マネージャーおよび WebSphere MQ クライアントによって使用されます (発行者証明書は、別の WebSphere MQ 文書で、認証局 (CA) または署名者証明書と呼ばれることがあります)。
各個人証明書は発行者証明書の証明書チェーンを含み、それらはルート認証局にさかのぼれるようになっています。
例:
証明書 R (ルート認証局) | | 発行者の代理となる V 証明書 I1 (中間認証局) | | 発行者の代理となる V 証明書 I2 (補助の中間認証局) | | 発行者の代理となる V 証明書 I3 (さらに補助的な中間認証局) | | 発行者の代理となる V 証明書 P (SSL ハンドシェークでその所有者を識別するために使用される個人証明書)
証明書チェーンはそのチェーン内の各証明書の認証性を検証するために使用され、それには個人証明書も含まれます。個人証明書からルート認証局の証明書まで、チェーン内の各証明書は、その「親」証明書を用いて検証され、順繰りにその親証明書はチェーンの 1 つ上にある証明書を用いて検証されます。
Global Security Toolkit (WebSphere MQ バージョン 6.0 で提供) は、それが管理する個人証明書の認証性を自動的に検証することにより、優れた証明書のハウスキーピングを推進します。したがって、各個人証明書を保管するには、完全な発行者証明書のセット (またはチェーン) が必要なのです。
Windows 上の WebSphere MQバージョン 5.3 は、完全な証明書チェーンなしで、証明書ストアに個人証明書を保管することを許可しています。Global Security Toolkit 鍵データベースにこのような証明書を移行しようとすると、その移行は失敗し、ご使用の SSL 接続はそれ以降機能しなくなります。