IBM i にルート証明書をインポートしたい

Question

この度、IBM i （AS/400）に新しいルート証明書をインポートする必要が出てきました。

ルート証明書は手元にあります。

以前リプレイス前のマシンではインポートを行ったことがあるのですが、やり方を失念してしまいました。

手元にある資料ではデジタル証明書マネージャー（以下、DCM）に接続する必要があるようですがリンクが古いのかアクセスできません。

新しいリンクも教えていただけると助かります。

Answer

ルート証明書は手元にあるとのこと、承知いたしました。

DCMはOSのバージョンあるいはPTFの適用によって、現在新しく刷新されています。

詳しくは以下のサイトをご確認ください。

新しいデジタル証明書マネージャーのURLは何ですか？
https://www.e-bellnet.com/category/technology/2402/2402-02.html

次に、実際のインポート方法についてですが、以下の手順にて進めていきます。

1. ルート証明書をIBM i （AS/400）の統合ファイルシステム（IFS）に設置する
2. DCMにより証明書のインポートを行う

それぞれのフェーズを説明していきます。

なお、今回は証明書「ISRG Root X1」をサンプルとしていますので、実際に導入したい証明書に読み替えてください。

1. ルート証明書をIBM i （AS/400）の統合ファイルシステム（IFS）に設置する

   PC上にダウンロードした証明書を、IBM i （AS/400）の統合ファイル・システムに設置します。

   以下は、Windowsのコマンドプロンプトを使用した転送例です。

   C:\Users\XXXXX>CD DOWNLOADS			
   			
   C:\Users\XXXXX\Downloads>FTP IBMI			
   XXX.XXX.XXX.XXX に接続しました。			
   220-QTCP AT IBMI.			
   220 CONNECTION WILL CLOSE IF IDLE MORE THAN 5 MINUTES.			
   501 OPTS UNSUCCESSFUL; SPECIFIED SUBCOMMAND NOT RECOGNIZED.			
   ユーザー (XXX.XXX.XXX.XXX:(none)): BELLDATA			
   331 ENTER PASSWORD.			
   パスワード:			
   230 BELLDATA LOGGED ON.			
   ftp> CD /tmp			
   250-NAMEFMT SET TO 1.			
   250 "/tmp" IS CURRENT DIRECTORY.			
   ftp> BIN			
   200 REPRESENTATION TYPE IS BINARY IMAGE.			
   ftp> PUT ISRG_Root_X1.crt			
   200 PORT SUBCOMMAND REQUEST SUCCESSFUL.			
   150 SENDING FILE TO /tmp/ISRG_Root_X1.crt			
   226 FILE TRANSFER COMPLETED SUCCESSFULLY.			
   ftp: 1604 バイトが送信されました 0.02秒 100.25KB/秒。			
   ftp>			

   これにより、IFS上に証明書が転送されました。

   IBM i （AS/400）上で確認したい場合は、コマンド「WRKLNK」を使用します。

   例：WRKLNK OBJ('/tmp/ISRG*')

   

   これで、インポートするための前準備が完了です。

2. DCMにより証明書のインポートを行う

   次にDCMにより証明書をインポートします。

   そのためにはまずDCMにアクセスします。管理者権限のユーザーにてログインしてください。

   

   ログイン後、証明書ストアを選択します。通常は「*SYSTEM」を使用します。

   

   もし証明書ストア「*SYSTEM」が存在しない場合はストアを作成してください。

   証明書ストア「*SYSTEM」をオープン後、「インポート」をクリックし証明書のインポートを行います。

   

   今回はルート証明書のインポートなので「認証局（CA）」を選択します。

   その後、IFS上にアップロードしたファイル名を指定、ラベルの指定（わかりやすい名前にする）を行い、「インポート」をクリックします。

   

   「証明書がインポートされました」のメッセージが出れば、インポート完了です。

   

   今回は「ISRG Root X1」をサンプルとしていますが、いくつかのルート証明書は、IBM i 側にも実は標準で持っています。

   昔のシステムではすべてインポート済みでしたが、今はデフォルトでは登録されておらず、必要に応じて取り込む必要があります。

   以下は、OS標準の証明書を取り込む方法です。

   証明書ストア「*SYSTEM」にアクセス後、「CAの取り込み」をクリックします。

   

   IBM i が持っているCA証明書の一覧が表示されますので、取り込みたい証明書を選択します。

   すでに導入済みのものはチェックが入っています。

   

   「取り込み」をクリックしていただくと、対象の証明書がインポートされます。

こうやって見ると、証明書のインポートは実はそれほど難しいものではありません。

昨今ではIBM i （AS/400）がクライアント側となり、全銀通信などやHTTP、FTPなどをSSL通信に変更することも増えてきているかと思います。

CA証明書は期限が長く設定されているので滅多に更新することはないですが、Windowsと違い自動的にインポートはされないので、証明書を使用している場合には手順は把握しておきたいですね。

by . かんぴょう木綿さん

あわせて読みたい記事

IBM i Access Client Solutions のODBCドライバー名称はどれを選べばいいですか？

サポートチーム便り2025.10.22

IBM i にルート証明書をインポートしたい

サポートチーム便り2025.10.22

IBM i で特定のユーザーが所有者になっているオブジェクトをリスト化できませんか？

サポートチーム便り2025.10.08

IBM i で同じ名前のソースメンバーが他のライブラリー/ファイルに存在するか調査したい

サポートチーム便り2025.10.08