はじめに
次の記事ではCAIプロセスをSecure Agent実行環境にデプロイして実行する際に、証明書の検証をスキップするためにcurlコマンドの-kオプションを指定してました。
この記事では証明書の検証をおこなうために、カスタム証明書を作成・適用する手順を確認しています。
なお、この記事は次の記事の内容を理解していることを前提としています。
カスタム証明書の作成と適用手順
次のドキュメントでは、カスタム証明書を使用する際に必要となる、Process Serverサービスの基本的な構成や仕様について説明しています。
Cloud Application Integration - Configuring the Java KeyStore and TrustStore for Use with Process Server on a Secure Agent to Enable HTTPS/TLS
以下、Linux環境の利用を前提としたカスタム証明書の利用手順です。
- 注意事項
- ___FQDN___ の記載は全て、Secure Agent実行環境のFQDNに変更します。
- 環境変数 AGENT_DIR として、Secure Agentインストール先のディレクトリパスを指定します。Secure Agentのインストールディレクトリが /opt/infa1/infaagent の場合、あらかじめ次のコマンドを実行します。
- export AGENT_DIR=/opt/infa1/infaagent
- キーストアの作成
- keytool -genkey -dname "CN=___FQDN___, OU=Informatica, O=Informatica, L=RedwoodCity, ST=California, C=US" -alias ___FQDN___ -keypass password -keystore ~/cai.keystore -storepass password -keyalg "RSA" -validity 1000 -keysize 2048
- 公開鍵の作成
- keytool -exportcert -alias ___FQDN___ -storepass password -keystore ~/cai.keystore -file ~/___FQDN___.der
- openssl x509 -inform der -in ~/___FQDN___.der -out ~/___FQDN___.pem
- 秘密鍵のインポート(作成したキーストアより
- keytool -importkeystore -srckeystore ~/cai.keystore -destkeystore ${AGENT_DIR}/apps/process-engine/conf/ae.keystore -deststoretype JKS -srcalias ___FQDN___ -destalias ___FQDN___ -srcstorepass password -deststorepass password
- 公開鍵の配置
- cp ~/___FQDN___.pem ${AGENT_DIR}/apps/process-engine/conf/certs/
- Secure Agentの停止、OSの再起動
- IICSにログイン後、管理者画面にてProcess Serverサービスの設定を変更
プロパティ key-alias、hostname を対象に、それぞれ ___FQDN___ を指定します
- Secure Agentの起動
作成したカスタム証明書を信用する設定でcurlコマンドを実行する手順
作成したカスタム証明書を利用して、通信先のWEBサービスを信用するにはcurlコマンドの --cacert オプションとして前述のstep2.で作成した公開鍵(pemファイル)を指定します。以下、コマンドの実行例です。
curl --cacert ~/___FQDN___.pem https://___FQDN___:7443/process-engine/public/rt/recipe-psa-HelloWorld