WebSphere Message Broker バージョン 8.0.0.5 オペレーティング・システム: AIX、HP-Itanium、Linux、Solaris、Windows、z/OS

製品の最新バージョンについては、IBM Integration Bus バージョン 9.0 をご覧ください。

HTTPInput ノードと HTTPReply ノードで SSL (HTTPS) を使用するための構成

鍵ストア・ファイルを作成し、SSL を使用するようにブローカーまたは実行グループを構成し、HTTPS 要求を処理するためのメッセージ・フローを作成することにより、HTTPInput および HTTPReply ノードが HTTPS を使用して他のアプリケーションと通信するように構成します。

始める前に: Public Key Infrastructure のセットアップの指示に従って、Public Key Infrastructure (PKI) をブローカー・レベルでセットアップします。

以下のステップに従って、 HTTPInput および HTTPReply ノードが HTTP over SSL を使用して他のアプリケーションと通信するよう構成します。

  1. ブローカー・リスナーを使用している場合、SSL を使用するようにブローカーを構成します。
  2. 実行グループ・リスナーを使用している場合、SSL を使用するように実行グループを構成します。
  3. メッセージ・フローを作成します
  4. 構成のテスト

ブローカー・リスナーが一部の実行グループに使用されて実行グループ・リスナーが他の実行グループに使用されるようにブローカーおよび実行グループを構成した場合、実行グループの最初のセット用にステップ 1 を完了し、2 番目のセットの実行グループごとにステップ 2 を完了する必要があります。

HTTPS メッセージ用にどのリスナーを使用するかについて詳しくは、HTTP リスナーを参照してください。

ブローカーで SSL を使用するための構成

以下のステップを実行します。

  1. enableSSLConnector の値を設定することにより、ブローカー内の SSL サポートをオンにします。
    mqsichangeproperties broker name
      -b httplistener -o HTTPListener 
      -n enableSSLConnector -v true
  2. オプション: HTTPS メッセージ用にデフォルト・ポート 7083 を使用しない場合、ブローカーが listen する port を指定します。
    mqsichangeproperties broker name
      -b httplistener -o HTTPSConnector
      -n port -v Port to listen on for https

    UNIX システムでは、特権ユーザー・アカウント (ほとんどの場合はルート) の下で実行するプロセスだけが、1024 よりも低い番号のポートにバインドできます。

    ブローカーがこれらのポートを listen するには、ブローカーを開始するためのユーザー ID がルートでなければなりません。
  3. オプション: クライアント認証 (相互認証) を有効にします。
    mqsichangeproperties broker_name -b httplistener -o HTTPSConnector
      -n clientAuth -v true 
  4. 1 つ以上の HTTP リスナー・プロパティーを変更した場合は、変更後にブローカーを再始動します。
  5. オプション: 以下のコマンドを使用して、HTTP リスナー・プロパティーを表示します。
    mqsireportproperties broker_name -b httplistener -o AllReportableEntityNames -a 
    mqsireportproperties broker_name -b httplistener -o HTTPListener -a 
    mqsireportproperties broker_name -b httplistener -o HTTPSConnector  -a 

実行グループで SSL を使用するための構成

以下のステップを実行します。

  1. オプション: 実行グループが HTTPS 要求を listen する特定のポートを指定します。次に使用可能なポート番号を使用する場合は、この値を未設定のままにします。
    mqsichangeproperties broker name
      -e execution_group_name -o HTTPSConnector
      -n explicitlySetPortNumber -v port_number
    UNIX システムでは、特権ユーザー・アカウント (ほとんどの場合はルート) の下で実行するプロセスだけが、1024 よりも低い番号のポートにバインドできます。 実行グループがこれらのポートを listen するには、ブローカーを開始するためのユーザー ID がルートでなければなりません。

    このステップを完了しない場合、デフォルト範囲 (7843 - 7884) 内で最初に使用可能なポートが使用されます。

  2. オプション: クライアント認証 (相互認証) を有効にします。
    mqsichangeproperties broker_name
      -e execution_group_name -o HTTPSConnector
      -n clientAuth -v true 
  3. オプション: SSL プロトコルを変更します。 HTTPInput ノードのデフォルトのプロトコルは TLS です。 以下のコマンドを実行して、これを SSL に変更します。
    mqsichangeproperties broker_name
      -e execution_group_name -o HTTPSConnector
      -n sslProtocol -v SSL
  4. 1 つ以上のリスナー・プロパティーを変更した場合は、変更後にブローカーを再始動します。
  5. オプション: 以下のコマンドを使用して、HTTPS プロパティーを表示します。
    mqsireportproperties broker_name 
      -e execution_group_name -o HTTPSConnector  -r 

HTTPS 要求を処理するメッセージ・フローを作成する

HTTPInput ノードを HTTPReply ノードに接続することによって、 HTTPS を使用するための簡単なメッセージ・フローを作成できます。 HTTPInput ノードに設定する最も重要な 2 つのプロパティーは、以下のとおりです。

  • URL のパス接尾部。例えば、/* または /testHTTPS
  • 「HTTPS の使用」

/* は、HTTPInput ノードが、指定されたポート上の HTTP リスナーに送信されるあらゆる要求を処理することを意味します。 このオプションは、テスト目的には役立ちますが、実動システムには適しません。

これで、メッセージ・フローをブローカーにデプロイできます。 記述されたすべてのステップを完了した場合、HTTPS リスナーが開始したことを示すメッセージ BIP3132 がローカル・システム・ログ (Windows の場合はイベント・ログ) に書き込まれます。

これで、システムをテストすることができます。

構成のテスト

HTTPS が正しく構成されているかどうかをテストする最も簡単な方法は、 HTTPS を介してブローカーに要求を行うために Web ブラウザーを使用することです。

Web ブラウザーを開始して、以下の URL を入力します。
 https://localhost:7083/testHTTPS
ポート番号など、ブローカー構成に加えた変更を反映する形で URL の値を変更します。 証明書を受け入れるかを尋ねるウィンドウが表示されたならば、 「はい」を選択します。 ブラウザーはウィンドウを最新表示して、空の HTML ページを表示します。
  • Mozilla ブラウザーでは、空の HTML ページは次の例のようになります。
    <html>   
      <body/> 
    </html>
  • Internet Explorer では、以下の情報が表示されます。
    XML ドキュメントには最上位の要素を指定する必要があります。 Error processing resource
    'https://localhost:7083/testHTTPS'

これらの応答は、ブランク・ページが戻されたことを意味し、セットアップが正常に処理されたことを示します。 空のページに内容を追加するため、フローに Compute ノードを追加できます。

別の HTTPS クライアントを使用して、HTTPS 要求を処理できます。 クライアントの資料を読んで、SSL を介したクライアント接続を作成するには、クライアントをどのように構成したらよいかを調べます。

Web ブラウザーの代わりに、Java™ または .NET クライアントなどの別の HTTPS クライアントを使用することもできます。クライアントのタイプによっては、(keytool で作成された) 証明書を HTTP リスナーに関連付けられた鍵ストア・ファイルからエクスポートした後、クライアントの鍵ストアにインポートする必要があります。 クライアントの資料を参照して、SSL を介したクライアント接続を作成するには、クライアントをどのように構成したらよいかを確認してください。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        最終更新:
        
        最終更新: 2015-02-28 17:47:56


タスク・トピックタスク・トピック | バージョン 8.0.0.5 | ap12234_