動的ルーティング SSL 証明書

Liberty の動的ルーティングに関連して、メンバー証明書、コントローラー証明書、および動的ルーティング証明書の 3 種類の SSL 証明書があります。これら 3 種類の証明書のそれぞれに、関連する SSL 署名者証明書があります。SSL 署名者証明書は、それによって署名されている証明書の妥当性を保証します。

以下の 3 種類の証明書のそれぞれに、関連する署名者証明書があります。
メンバー証明書
Web サーバーが SSL を介してクライアント要求をメンバーにプロキシーで送付しようとするときに集合メンバーが提示する証明書。
コントローラー証明書
プラグインが集合コントローラー上の動的ルーティング・サービスに接続しようとするときに集合コントローラーがプラグインに提示する証明書。
動的ルーティング証明書
プラグインが集合コントローラー上の動的ルーティング・サービスに接続しようとするときにプラグインがコントローラーに提示する証明書。

プロキシーで送付される要求から集合メンバーへの SSL 通信のためには、Web サーバーはメンバー証明書が有効であることを信頼する必要があります。メンバー証明書が有効であることを Web サーバーが信頼するためには、メンバー署名者証明書が Web サーバー鍵ストア内になければなりません。

鍵ストアは、plugin-cfg.xml ファイル内の <Property Name="Keyfile" value=…/> xml エレメントで参照される .kdb ファイルです。

プラグインと動的ルーティング・サービスの間の SSL 通信のためには、以下の条件が満たされている必要があります。
  • プラグインはコントローラー証明書が有効であることを信頼する必要があります。
  • コントローラーは動的ルーティング証明書が有効であることを信頼する必要があります。
  • 動的ルーティング証明書は動的ルーティング・サービスへのアクセスを認可されている必要があります。
動的ルーティング証明書は、以下のいずれかの認可条件を満たしている必要があります。
  • 証明書所有者が、動的ルーティングによって使用されるデフォルト証明書所有者と一致している。 デフォルト証明書所有者は、dynamicRouting コマンドの setup オプションまたは genKeystore オプションが使用されるときにデフォルトで作成されます。デフォルト証明書所有者を以下に示します。
    DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer
  • [17.0.0.1 and later]証明書所有者が、集合コントローラーの server.xml 内の <dynamicRouting> XML エレメントの certificateSubject 属性の値と一致している。この証明書所有者が指定されている場合、dynamicRouting コマンドの setup オプションまたは genKeystore オプションが使用されるときに、デフォルトの代わりにこの証明書所有者が使用されます。以下の例を参照してください。
    <dynamicRouting certificateSubject=”CN=Plugin,OU=ops,O=MyCompany,L=Raleigh,ST=NC,C=US”/>
  • 証明書所有者が、セキュリティー・レジストリー内にある管理者ロールを割り当てられたユーザーに対応している。管理者ロールを備えたサブジェクトを持つ動的ルーティング証明書があれば、DMZ から集合内の管理機能にアクセスできます。このタイプの証明書を使用して動的ルーティング・サービスへのアクセスが行われた場合、ログにエラー・メッセージが記録されますが、通信は成功します。

dynamicRouting コマンドの setup オプションおよび genKeystore オプションは、Web サーバーと集合内のサーバーとの間の保護されたネットワーク通信を保証するために必要なすべての証明書がある鍵ストアを生成します。デフォルトのセキュリティー構成を使用する場合は、何も変更する必要はありません。

dynamicRouting コマンドの setup オプションまたは genKeystore オプションで作成されない証明書を使用するには、以下の条件が満たされている必要があります。
  1. すべての集合のメンバー署名者証明書が、plugin-cfg.xml ファイル内の <Property Name="Keyfile" value=…/> XML エレメントで参照される .kdb ファイル内にある。
    注: これが必要なのは、プラグインが SSL を使用してクライアント要求をプロキシーで送付する場合のみです。
    <Property Name="Keyfile" Value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key.kdb"/>
  2. コントローラー署名者証明書が、plugin-cfg.xml ファイル内で集合の <Connector> エレメントの <Property name="keyring" value=…/> XML エレメントで参照される .kdb ファイル内にある。
    <Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
  3. 動的ルーティング署名者証明書が、すべてのコントローラーの以下のディレクトリー内にある。

    ${server.output.dir}/resources/ collective/collectiveTrust.jks)

  4. 集合の動的ルーティング証明書が、plugin-cfg.xml ファイル内でコントローラーの <Connector> エレメントの <Property name="keyring" value=…/> XML エレメントで参照される .kdb ファイル内にある。以下の例を参照してください。
    <Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
  5. 動的ルーティング証明書の証明書所有者が、以下のオプションのいずれかである。
    • “DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer”
    • [17.0.0.1 and later]集合内のコントローラーの server.xml ファイル内の <dynamicRouting> XML エレメントの certificateSubject 属性の値。
    • 集合内で管理者ロールを割り当てられたユーザー (非推奨)。

トピックのタイプを示すアイコン 概念トピック

ファイル名: cwlp_wve_dynroute_cert.html