WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

外部 WebSphere eXtreme Scale グリッド用に SSL を使用可能にする

Public Key Infrastructure をセットアップしてから実行グループで SSL を使用可能にすることにより、外部 WebSphere® eXtreme Scale グリッド用に SSL を使用可能にします。

始める前に:

WebSphere eXtreme Scale グリッドおよび公開鍵暗号方式の概念情報に目を通しておきます。

外部 WebSphere eXtreme Scale グリッドへのクライアント接続用に SSL を使用可能にすることができます。 組み込みグローバル・キャッシュ内のサーバーについては SSL を使用可能にすることはできません。

SSL 通信を使用可能にするには、鍵ストア、トラストストア、パスワード、および証明書を構成します。 サーバー認証を使用可能にするには、WebSphere eXtreme Scale サーバーから、ブローカーまたは実行グループのトラストストアに公開証明書をインポートします。 サーバーでのクライアント認証を必要とする場合は、WebSphere eXtreme Scale サーバーが信頼するブローカーまたは実行グループの鍵ストアに、秘密鍵を作成することも必要です。

その後、実行グループのプロパティーを設定することにより、SSL を有効にして必須プロトコルを指定します。 また、複数の鍵を持っている場合は、使用する特定の鍵を指名できます。 SSL 接続は、カタログ・サーバーまたはコンテナー・サーバーをホストしない実行グループからのみ作成できます。

以下のステップでは、外部 WebSphere eXtreme Scale グリッドにおいて SSL を使用可能にする方法を説明します。

  1. Public Key Infrastructure のセットアップの指示に従って、Public Key Infrastructure をセットアップします。 Public Key Infrastructure は、ブローカー・レベルまたは実行グループ・レベルでセットアップできます。

    外部 WebSphere eXtreme Scale グリッドへの接続で、JVM cacert ファイル内にある公開証明書を暗黙のうちに使用することはできません。

  2. 次のいずれかの方法を使用して、SSL を使用可能にする実行グループで、カタログ・サーバーとコンテナー・サーバーのどちらもホストしないようにします。
    • ブローカー・レベルのポリシーを none に設定することにより、実行グループのロールを手動で指定します。 例えば、実行グループがカタログ・サーバーもコンテナー・サーバーもホストしないようにするには、次の mqsichangeproperties コマンドを実行します。
      mqsichangeproperties broker_name -e execution_group_1 -o ComIbmCacheManager -n enableCatalogService,enableContainerService -v false,false
    • ブローカー・レベルのポリシーを disabled に設定することにより、組み込みグローバル・キャッシュをオフに切り替えて、どの実行グループも WebSphere eXtreme Scale サーバー・コンポーネントをホストすることがないようにします。
    ブローカー・レベルのポリシーを設定するには、以下のいずれかの方法を使用します。
    • コマンド行から、-b パラメーターに none または disabled を設定して次のコマンドを実行します。
      mqsichangebroker brokerName -b none
    • WebSphere Message Broker Explorer で該当するブローカーを右クリックして「プロパティー」をクリックしてから、「グローバル・キャッシュ」をクリックし、キャッシュ・ポリシーを none または disabled に設定します。
  3. オプション: ブローカー・レベルのポリシーを none に設定する場合、SSL を使用可能にする各実行グループの enableCatalogService プロパティーと enableContainerService プロパティーが false に設定されていることを確認してください。
    以下のいずれかの方法を使用します。
    • コマンド行から次のコマンドを実行し、両方のプロパティーが false に設定されていることを確認します。
      mqsireportproperties brokerName -e executionGroupName -o ComIbmCacheManager -r 
    • WebSphere Message Broker Explorer で各実行グループのプロパティーを選択してから、「グローバル・キャッシュ」を選択します。 「カタログ・サーバー使用可能」プロパティーと「コンテナー・サーバー使用可能」プロパティーが選択されていないことを確認します。
  4. SSL を使用可能にするには、該当する実行グループの以下のプロパティーを設定します。
    • SSL を使用可能にするため、clientsDefaultToSSLtrue に設定します。
    • SSL プロトコルを指定するため、sslProtocol を、IBM® JSSE2 セキュリティー・プロバイダーが認識する値に設定します。
    • 外部グリッドにクライアント認証が必要であり、複数の信頼できる秘密鍵がブローカー鍵ストアに存在する場合は、該当する鍵を sslAlias に設定します。
    これらのプロパティーの詳細は、cachemanager コンポーネントのパラメーター値を参照してください。
    実行グループのこれらのプロパティーを設定するには、以下のいずれかの方法を使用します。
    • 次の例に示すように、コマンド行から mqsichangeproperties コマンドを実行します。
      mqsichangeproperties broker_name -e execution_group_1 -o ComIbmCacheManager 
      -n clientsDefaultToSSL,sslProtocol,sslAlias -v true,SSL_TLS,ProdKey
    • WebSphere Message Broker Explorer で各実行グループのプロパティーを選択してから、「グローバル・キャッシュ」を選択します。 clientsDefaultToSSL を選択し、必要に応じて SSL プロトコルと SSL 鍵別名を設定します。
  5. 実行グループを再始動します。 詳しくは、mqsireload コマンドを参照してください。
  6. WebSphere eXtreme Scale グリッドへの接続の指示に従って WebSphere eXtreme Scale グリッドに接続します。

実行グループから (組み込みグリッドへ、または最初のリモート接続用に) 初めて接続されたときに、鍵ストア、トラストストア、およびプロトコルの設定が検証されます。 構成にエラーがあると警告として報告され、SSL 接続は禁止されます。 例えば、鍵ストア・ファイルが見つからない場合、鍵ストア・ファイルが破損している場合、または鍵ストアのパスワードが正しくない場合、警告が出されます。

SSL を使用可能にしてから、WebSphere eXtreme Scale サーバー・コンポーネントをホストする実行グループから接続しようとすると、接続は失敗し、詳細な例外メッセージ BIP7144 に接続が失敗した理由の説明が示されます。 SSL ハンドシェーク例外が発生すると、メッセージ・フローは失敗し、例外メッセージ BIP7147 が出されます。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:48:38


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | bc23797_